LinkedIn ist zu einem beliebten Ziel für Phishing-Angriffe geworden, und beim neuesten Betrug auf der Plattform wurden Nutzer mit Phishing-E-Mails angegriffen, die scheinbar von einem legitimen Geschäftskontakt stammen.
Da die Öffentlichkeit immer besser über die traditionellen Taktiken Bescheid weiß, mit denen sie ins Visier genommen wird, mussten die Cyberkriminellen ihre Taktiken anpassen, um nicht entdeckt zu werden.
Indem sie sich in legitime Benutzerkonten hacken, können die Betrüger ihren Opfern eine scheinbar harmlose E-Mail mit einem Link schicken, über den sie auf ein auf OneDrive gehostetes Dokument zugreifen können.
Die Gauner wissen, dass die Benutzer die Gültigkeit eines Links weniger in Frage stellen, wenn er von einem vertrauenswürdigen Freund oder Kontakt stammt, weshalb sich diese Masche als so erfolgreich erwiesen hat.
Der Anfang des Links in der E-Mail wirkt glaubwürdig genug, doch die zweite Hälfte endet mit dem Namen einer gehackten Prominenten-Website in den USA.
Wenn Nutzer auf den Link klicken, aktivieren sie ein Umleitungsskript, das die Anfrage an einen zweiten Server in Mexiko weiterleitet, der in der Adressleiste mit einem gültigen HTTPS-Zertifikat versehen ist.
Die URL der letzten Seite endet mit „/office365“, was darauf hindeutet, dass es sich bei der Website ursprünglich um eine geklonte Phishing-Website handelte, die eingerichtet wurde, um den Benutzernamen und das Kennwort des Opfers abzufangen. Es scheint jedoch, dass die Seite inzwischen geschlossen wurde, da sie eine 404-Fehlermeldung auf Spanisch anzeigt.
Mit über 500 Millionen Mitgliedern weltweit hat sich LinkedIn zum größten beruflichen Netzwerk der Welt entwickelt. Laut dem Digital Trust Report 2018 von Business Insider gilt es außerdem als die vertrauenswürdigste Social-Media-Plattform.
Leider hat dieses zahlenmäßige Wachstum in Verbindung mit einer vertrauensvolleren Online-Umgebung zu einer enormen Zunahme von Phishing-Betrug auf der Plattform geführt.
Wie man einen LinkedIn-Phishing-Betrug vermeidet
Um sich davor zu schützen, auf LinkedIn betrogen zu werden, gibt es eine Reihe von Schritten, die Sie unternehmen sollten:
- Begrenzen Sie die Kontaktinformationen auf Ihrem Profil – Sie sollten sich davor hüten, sensible Informationen wie Ihre Telefonnummer oder Privatadresse auf Ihrem LinkedIn-Profil zu teilen. Um diese Informationen zu entfernen, gehen Sie in Ihr Profil und löschen Sie sie.
- Aktivieren Sie den sicheren Browsing-Modus von LinkedIn – LinkedIn bietet sicheres Browsing über HTTPS, was sehr praktisch ist, wenn Sie über ein öffentliches WLAN darauf zugreifen. Um dies zu aktivieren, gehen Sie in die Einstellungen, klicken Sie auf die Registerkarte „Konto“, dann auf „Sicherheitseinstellungen verwalten“ und setzen Sie ein Häkchen in das Kästchen, das besagt: „Wenn möglich, verwenden Sie eine sichere Verbindung (HTTPS), um LinkedIn in dem sich öffnenden Pop-up-Fenster zu durchsuchen.“
- Begrenzen Sie die Informationen in Ihrem öffentlichen Profil – Auch wenn Sie sensible Kontaktinformationen in Ihrem Profil einschränken, könnte Ihr detaillierter beruflicher Werdegang Angreifern viele wertvolle Informationen liefern, die für einen Social-Engineering-Angriff verwendet werden könnten. Es lohnt sich, Ihr Profil durchzugehen und alle überflüssigen Informationen zu entfernen.
- Klicken Sie nicht auf verdächtige Links – Seien Sie vorsichtig bei Posts oder Nachrichten, die Sie auffordern, auf einen Link zu klicken. Auch wenn Sie die Person kennen, achten Sie genau auf die Sprache und den Ton der Nachricht. Wenn Ihnen etwas auch nur im Geringsten verdächtig vorkommt, schließen Sie es und melden Sie die Nachricht an LinkedIn.
- Seien Sie vorsichtig, wenn Sie sich über die Plattform auf Stellen bewerben – Wenn Sie sich online auf Stellen bewerben, seien Sie vorsichtig, wenn Personalverantwortliche Sie auffordern, Informationen an eine E-Mail-Adresse zu senden, die nicht mit dem Unternehmen verbunden ist. Die E-Mail-Domäne sollte den tatsächlichen Unternehmensnamen enthalten.
- Akzeptieren Sie niemals Verbindungsanfragen von jemandem, den Sie nicht kennen – LinkedIn ist eine großartige Möglichkeit, Verbindungen aufzubauen, aber mit über 33 Millionen gefälschten Konten auf der Plattform sollten Sie es vermeiden, sich mit jemandem zu verbinden, den Sie nicht kennen.
- Betriebssysteme auf dem neuesten Stand halten – Es ist auch wichtig, sicherzustellen, dass Ihre Software regelmäßig aktualisiert wird, um zu verhindern, dass Kriminelle durch Schwachstellen in älteren und veralteten Systemen Zugang zu Ihrem Computer erhalten.
- Zwei-Faktor-Authentifizierung aktivieren – Die Zwei-Faktor-Authentifizierung (2FA) bietet eine zusätzliche Sicherheitsebene für Online-Konten. Um die Zwei-Faktor-Authentifizierung auf LinkedIn zu aktivieren, gehen Sie in Ihre Einstellungen, klicken Sie auf Sicherheitseinstellungen verwalten, aktivieren Sie die zweistufige Verifizierung und geben Sie die Telefonnummer ein, an die Ihr Verifizierungscode gesendet werden soll. Klicken Sie auf Code senden und geben Sie ihn nach Erhalt in das Feld auf dem Gerät ein, das Sie für die Anmeldung verwenden. Klicken Sie auf „Verifizieren“ und dann auf „Fertig“.