LinkedIn è diventato un bersaglio popolare per gli attacchi di phishing e nell’ultima truffa a colpire la piattaforma, gli utenti sono stati presi di mira con email di phishing che sembrano provenire da un legittimo contatto d’affari.
Come il grande pubblico diventa più consapevole delle tattiche tradizionali che vengono utilizzate per prenderlo di mira, i criminali informatici hanno dovuto adattare le loro tattiche per evitare il rilevamento.
Infiltrandosi negli account degli utenti legittimi, i truffatori sono stati in grado di inviare alle vittime un’email apparentemente innocua con un link per accedere a un documento ospitato su OneDrive.
I truffatori sanno che gli utenti saranno meno propensi a mettere in dubbio la validità di un link se proviene da un amico o un contatto fidato, motivo per cui la truffa ha avuto così tanto successo.
L’inizio del link all’interno dell’email sembra abbastanza credibile, tuttavia, la seconda metà finisce con il nome di un sito web di celebrità violato negli Stati Uniti.
Se gli utenti cliccano sul link, attiveranno uno script di reindirizzamento, deviando la richiesta ad un secondo server in Messico, completo di un certificato HTTPS valido nella barra degli indirizzi.
L’URL della pagina finale termina con ‘/office365’, suggerendo che il sito era inizialmente un sito di phishing clonato impostato per catturare nome utente e password della vittima. Tuttavia, sembra che il sito abbia chiuso da allora, dato che mostra un messaggio di errore 404 in spagnolo.
Con oltre 500 milioni di membri in tutto il mondo, LinkedIn è diventato il più grande network professionale del mondo. È anche considerato la piattaforma di social media più affidabile secondo il Digital Trust Report 2018 di Business Insider.
Purtroppo, questa crescita dei numeri, unita a un ambiente online più fiducioso ha portato a un’enorme crescita delle truffe di phishing sulla piattaforma.
Come evitare una truffa di phishing su LinkedIn
Per proteggersi dall’essere truffati su LinkedIn, ci sono una serie di passi da fare:
- Limitare le informazioni di contatto sul proprio profilo – Si dovrebbe essere prudenti nel condividere informazioni sensibili come il numero di telefono o l’indirizzo di casa sul proprio profilo LinkedIn. Per rimuovere queste informazioni, entrate nel vostro profilo e cancellatele di conseguenza.
- Attivate la modalità di navigazione sicura di LinkedIn – LinkedIn offre una navigazione sicura tramite HTTPS che è ottima se state accedendo tramite wi-fi pubblico. Per abilitarlo, andate nelle impostazioni, cliccate sulla scheda dell’account, poi cliccate su Gestisci impostazioni di sicurezza e mettete un segno di spunta nella casella che dice: ‘Quando possibile, usa una connessione sicura (HTTPS) per navigare su LinkedIn nella casella pop-up che si apre.’
- Limitate le informazioni nel vostro profilo pubblico – Anche se limitate le informazioni di contatto sensibili sul vostro profilo, la vostra storia lavorativa dettagliata potrebbe fornire agli attaccanti molte informazioni preziose che potrebbero essere utilizzate in un attacco di social engineering. Vale la pena esaminare il tuo profilo e rimuovere tutte le informazioni dettagliate che non sono necessarie.
- Non cliccare su link sospetti – Diffida di qualsiasi post o messaggio che ti chiede di cliccare su un link. Anche se conosci la persona, presta molta attenzione al linguaggio e al tono del messaggio. Se qualcosa vi sembra anche solo un po’ strano, chiudetelo e segnalate il messaggio a LinkedIn.
- Fate attenzione quando fate domanda di lavoro attraverso la piattaforma – Quando fate domanda di lavoro online, diffidate dei reclutatori che vi chiedono di inviare informazioni a un indirizzo email che non è associato alla società. Il dominio e-mail dovrebbe contenere il nome effettivo della società.
- Non accettare mai richieste di connessione da qualcuno che non conosci -LinkedIn è un ottimo modo per costruire connessioni, ma con oltre 33 milioni di account falsi sulla piattaforma, si dovrebbe evitare di connettersi con qualcuno che non si conosce.
- Mantenere aggiornati i sistemi operativi – È anche importante assicurarsi che il software sia regolarmente aggiornato per evitare che i criminali possano accedere al tuo computer attraverso le vulnerabilità dei sistemi più vecchi e obsoleti.
- Attivare l’autenticazione a due fattori – L’autenticazione a due fattori (2FA) aggiunge un ulteriore livello di sicurezza agli account online. Per abilitare l’autenticazione a due fattori su LinkedIn, andate nelle vostre impostazioni, cliccate su manage security settings, attivate la verifica in due fasi e inserite il numero di telefono a cui volete che venga inviato il codice di verifica. Clicca su invia il codice e una volta che l’hai ricevuto, inseriscilo nella casella del dispositivo che stai usando per accedere. Clicca su verifica e poi clicca su fatto.