LinkedIn est devenu une cible populaire pour les attaques de phishing et dans la dernière arnaque à frapper la plate-forme, les utilisateurs ont été ciblés avec des courriels de phishing qui semblent provenir d’un contact professionnel légitime.
A mesure que le grand public devient plus conscient des tactiques traditionnelles utilisées pour les cibler, les cybercriminels ont dû adapter leurs tactiques pour éviter la détection.
En piratant des comptes d’utilisateurs légitimes, les fraudeurs ont pu envoyer aux victimes un courriel apparemment inoffensif contenant un lien permettant d’accéder à un document hébergé sur OneDrive.
Les escrocs savent que les utilisateurs seront moins susceptibles de remettre en question la validité d’un lien s’il provient d’un ami ou d’un contact de confiance, ce qui explique le succès de l’arnaque.
Le début du lien dans le courriel semble assez crédible, cependant, la deuxième moitié se termine par le nom d’un site Web de célébrités piraté aux États-Unis.
Si les utilisateurs cliquent sur le lien, ils activent un script de redirection, détournant la requête vers un second serveur au Mexique, complété par un certificat HTTPS valide dans la barre d’adresse.
L’URL de la page finale se termine par ‘/office365’, ce qui suggère que le site était initialement un site de phishing cloné mis en place pour capturer le nom d’utilisateur et le mot de passe de la victime. Cependant, il semble que le site ait depuis fermé ses portes car il affiche un message d’erreur 404 en espagnol.
Avec plus de 500 millions de membres dans le monde, LinkedIn est devenu le plus grand réseau professionnel au monde. Il est également considéré comme la plateforme de médias sociaux la plus fiable selon le Digital Trust Report 2018 de Business Insider.
Malheureusement, cette croissance en nombre, associée à un environnement en ligne plus confiant, a entraîné une énorme croissance des escroqueries par phishing sur la plateforme.
Comment éviter une escroquerie par hameçonnage sur LinkedIn
Pour vous protéger d’une escroquerie sur LinkedIn, vous devez prendre un certain nombre de mesures :
- Limitez les informations de contact sur votre profil – Vous devez vous méfier de partager des informations sensibles telles que votre numéro de téléphone ou votre adresse personnelle sur votre profil LinkedIn. Pour supprimer ces infos, allez dans votre profil et supprimez en conséquence.
- Activez le mode de navigation sécurisé de LinkedIn – LinkedIn offre une navigation sécurisée via HTTPS, ce qui est génial si vous y accédez via un wi-fi public. Pour l’activer, allez dans les paramètres, cliquez sur l’onglet compte, puis sur Gérer les paramètres de sécurité et mettez une coche dans la case qui dit : » Lorsque cela est possible, utilisez une connexion sécurisée (HTTPS) pour naviguer sur LinkedIn dans la fenêtre contextuelle qui s’ouvre.’
- Limitez les informations dans votre profil public – Même si vous limitez les informations de contact sensibles sur votre profil, votre historique professionnel détaillé pourrait fournir aux attaquants de nombreuses informations précieuses qui pourraient être utilisées dans une attaque d’ingénierie sociale. Cela vaut la peine de passer en revue votre profil et de supprimer toute information détaillée qui n’est pas nécessaire.
- Ne cliquez pas sur les liens suspects – Méfiez-vous de tout message ou post qui vous demande de cliquer sur un lien. Même si vous connaissez la personne, faites très attention au langage et au ton du message. Si quelque chose vous semble un tant soit peu anormal, fermez le site et signalez le message à LinkedIn.
- Faites preuve de prudence lorsque vous postulez à des emplois via la plateforme – Lorsque vous postulez à des emplois en ligne, méfiez-vous des recruteurs qui vous demandent d’envoyer des informations à une adresse électronique qui n’est pas associée à l’entreprise. Le domaine de l’email doit contenir le nom réel de l’entreprise.
- N’acceptez jamais les demandes de connexion de quelqu’un que vous ne connaissez pas -LinkedIn est un excellent moyen d’établir des connexions, mais avec plus de 33 millions de faux comptes sur la plateforme, vous devriez éviter de vous connecter avec quelqu’un que vous ne connaissez pas.
- Maintenir les systèmes d’exploitation à jour – Il est également important de s’assurer que vos logiciels sont régulièrement mis à jour afin d’empêcher les criminels d’accéder à votre ordinateur grâce aux vulnérabilités des systèmes plus anciens et obsolètes.
- Activer l’authentification à deux facteurs – L’authentification à deux facteurs (2FA) ajoute une couche de sécurité supplémentaire aux comptes en ligne. Pour activer l’authentification à deux facteurs sur LinkedIn, allez dans vos paramètres, cliquez sur gérer les paramètres de sécurité, activez la vérification en deux étapes et entrez le numéro de téléphone auquel vous souhaitez que votre code de vérification soit envoyé. Cliquez sur envoyer le code et une fois que vous l’avez reçu, entrez-le dans la case de l’appareil que vous utilisez pour vous connecter. Cliquez sur vérifier, puis sur terminé.