LinkedIn har blivit ett populärt mål för phishing-attacker och i den senaste bluff som drabbat plattformen har användarna fått phishing-e-post som ser ut att komma från en legitim företagskontakt.
I takt med att allmänheten blir mer kunnig om den traditionella taktiken som används för att rikta sig mot dem har cyberkriminella varit tvungna att anpassa sin taktik för att undvika att bli upptäckta.
Genom att hacka sig in i legitima användarkonton har bedragarna kunnat skicka offren ett till synes ofarligt e-postmeddelande med en länk för att få tillgång till ett dokument som finns på OneDrive.
Girurgerna vet att användarna kommer att vara mindre benägna att ifrågasätta giltigheten av en länk om den kommer från en betrodd vän eller kontakt, vilket är anledningen till att bluffen har visat sig så framgångsrik.
Länkens början i e-postmeddelandet verkar trovärdig, men den andra halvan slutar med namnet på en hackad webbplats för kändisar i USA.
Om användarna klickar på länken aktiverar de ett omdirigeringsskript som avleder förfrågan till en andra server i Mexiko, komplett med ett giltigt HTTPS-certifikat i adressfältet.
Den sista sidans webbadress slutar med ”/office365”, vilket tyder på att webbplatsen ursprungligen var en klonad phishing-webbplats som sattes upp för att fånga offrets användarnamn och lösenord. Det verkar dock som om webbplatsen har stängts eftersom den visar ett 404-felmeddelande på spanska.
Med över 500 miljoner medlemmar världen över har LinkedIn blivit världens största professionella nätverk. Det anses också vara den mest betrodda sociala medieplattformen enligt Business Insiders Digital Trust Report 2018.
Tyvärr har denna tillväxt i antal, i kombination med en mer tillitsfull onlinemiljö, resulterat i en enorm ökning av nätfiskebedrägerier på plattformen.
Hur man undviker ett nätfiskebedrägeri på LinkedIn
För att skydda dig från att bli lurad på LinkedIn finns det ett antal åtgärder som du bör vidta:
- Begränsar kontaktuppgifterna på din profil – Du bör vara försiktig med att dela känslig information som ditt telefonnummer eller din hemadress på din LinkedIn-profil. Om du vill ta bort denna information går du in i din profil och raderar den.
- Aktivera LinkedIns säkra surfläge – LinkedIn erbjuder säker surfning via HTTPS, vilket är bra om du använder dig av offentligt wi-fi. För att aktivera detta går du in i inställningar, klickar på fliken Konto, klickar sedan på Hantera säkerhetsinställningar och sätter ett kryss i rutan som lyder: ”När det är möjligt, använd en säker anslutning (HTTPS) för att bläddra på LinkedIn i popup-rutan som öppnas.”
- Begränsa informationen i din offentliga profil – Även om du begränsar känslig kontaktinformation i din profil kan din detaljerade arbetshistorik förse angripare med massor av värdefull information som kan användas i en social ingenjörsattack. Det är värt att gå igenom din profil och ta bort all detaljerad information som inte är nödvändig.
- Klicka inte på misstänkta länkar – Var försiktig med inlägg eller meddelanden där du uppmanas att klicka på en länk. Även om du känner personen ska du vara uppmärksam på språket och tonen i meddelandet. Om något verkar vara det minsta konstigt, stäng ner det och rapportera meddelandet till LinkedIn.
- Var försiktig när du ansöker om jobb via plattformen – När du ansöker om jobb på nätet ska du akta dig för rekryterare som ber dig att skicka information till en e-postadress som inte är kopplad till företaget. E-postdomänen bör innehålla det faktiska företagsnamnet.
- Acceptera aldrig anslutningsförfrågningar från någon du inte känner -LinkedIn är ett utmärkt sätt att skapa kontakter, men med över 33 miljoner falska konton på plattformen bör du undvika att ansluta dig till någon som du inte känner till.
- Håll operativsystemen uppdaterade – Det är också viktigt att se till att din programvara uppdateras regelbundet för att förhindra att brottslingar får tillgång till din dator genom sårbarheter i äldre och föråldrade system.
- Aktivera tvåfaktorsautentisering – Tvåfaktorsautentisering (2FA) lägger till ytterligare ett säkerhetslager till onlinekonton. För att aktivera tvåfaktorsautentisering på LinkedIn går du in i dina inställningar, klickar på hantera säkerhetsinställningar, aktiverar tvåstegsverifiering och anger det telefonnummer du vill att verifieringskoden ska skickas till. Klicka på skicka kod och när du har fått den skriver du in den i rutan på den enhet du använder för att logga in. Klicka på verifiera och sedan på gjort.