ÖZEL: Herkes, sadece herhangi bir işveren için geçerli olmayan bir işveren adına LinkedIn lider işe alım platformunda bir iş listesi oluşturabilir.
Ve daha da kötüsü, işveren bunları kolayca alamaz.
Şimdi, bu yeni bir şey olmayabilir, ancak kariyer web sitelerindeki özellik ve LAX doğrulama, saldırganların kötü amaçlı amaçlar için sahte listeleri göndermelerinin yollarını açıyor.
Saldırganlar, örneğin, bu Sosyal Mühendislik Taktiklerini kişisel bilgi toplamak ve meşru bir şirkete başvurduklarına inanan profesyonellerden özgeçmişleri kullanabilirler, verilerinin satılabileceğini veya kimlik avı dolandırıcılığı için kullanılabileceğinden, meşru bir şirkete başvurduklarına inanan profesyonellerden devam edebilir.
Bu hafta, Cyphere'de bir güvenlik uzmanı Harman Singh, bir güvenlik uzmanı ve yönetimi danışmanı, karşılaşması için oldukça rahatsız edici olan BleepingComputer ile bir "özelliği" paylaştı.
"Herkes bir şirketin LinkedIn hesabı altında bir iş gönderebilir ve bir şirket tarafından ilan edilen bir işle aynı görünür."
BleepingComputer'a bir e-posta röportajında BleepingComputer'a "Kontrol ettim, kontrol ettim ama bir iş göndermekten vazgeçtim." Dedi.
Bazıları bu "özelliğin" farkında olsa da, diğerleri için bu korkunç bir bulgu olabilir.
"Örneğin, Google'ın LinkedIn şirketi sayfası savunmasızsa, adına bir iş gönderebileceğiz ve başvuru sahiplerini [Kişisel Bilgi ve Kimlik Bilgileri ve Kimlik Bilgileri] ve Neyi Olağan Yayınları Olduğumuz Yeni Bir Web Sitesine yönlendirmek için bazı parametreler ekleyebileceğiz. Sosyal Mühendislik, "dedi Singh, BleepingComputer'a da söyledi.
BleepingComputer tarafından yapılan testlerde, lokallanmamış bir LinkedIn hesabı kullandım ve neredeyse isimsiz bir şekilde BleepingComputer adına yeni bir iş ilanı yayınlayabildim.
İş listesi, doğrudan BleepingComputer'dan geliyormuş gibi orijinal görünecektir. Ayrıca, işveren yerine işi gönderen kullanıcı tarafından belirlenen bir seçeneği oluşturan kullanıcı hesabını göstermedi.
Ve, listeleme saatler içinde Canlı, başvurular girmeye başladı:
Kısa bir testte, BleepingComputer, LinkedIn'in "Kolay Uygula" seçeneğinin de, bir başvuru sahibinin yüklendiği herhangi bir özgeçmişin, başvuranı harici bir web sitesine yönlendiren linkedinin yönlendirilmesinin aksine, doğrudan bir test e-posta hesabına geleceği şekilde bir test e-posta hesabına gelecek.
Başvuru sahiplerinin kişisel bilgilerini toplamak için bir test e-posta hesabı kullanılarak ve özgeçmişleri, başvuru sahibine veya işverene herhangi bir şüpheli etkinliğin herhangi bir göstergesi olmadığını, başvurucuyu hemen "phishy" görünebilecek bir web sitesine yönlendirirken görünmeyeceğini gördük.
Singh bu özelliğin geçmişte kötüye kullanıldığını ve kimlik avı kampanyaları için bir hotbed olabileceğine inanıyor.
Her ne kadar kalem test cihazları ve kırmızı ekipler, özelliği iyi bir şekilde kullanabilse de, keşif ve sosyal mühendislik için, Singh, aynı özelliği, çeşitli dolandırıcılık ve kimlik avı dolandırıcılığı için halkı hedeflemek için tehdit aktörleri tarafından kötüye kullanabilir.
Verilen, LinkedIn iş dolandırıcılığı yeni bir şey değil, şu ana kadarki çok daha fazla rapor edilenler, çoğunlukla sahte bir profil yaratan ve kendilerini bir şirketin "işe alımları" olarak toplayarak güveniyor.
Öte yandan bu saldırı, kimsenin kimliklerini açıklamadan hemen hemen herhangi bir organizasyon adına hemen herhangi bir kuruluş adına bir iş oluşturmasını sağlar.
Bir işveren olarak, yetkisiz partilerin ve tehdit aktörlerinin markanızı kullanarak sahte iş listeleri oluşturmasını engellemek için ne adımlar atabilirsiniz?
2019 yılında, LinkedIn, ortak iş dolandırıcılığı ile ilgili bazı ipuçları ile bir blog yazısı yayınlamış olmasına rağmen, burada tarif edilen belirli konuyu ele almaktan kısa devreye girer.
BleepingComputer, Şirketinizin Süper Yöneticisi olarak bile, kendinizi kaybettiğiniz bir sahte işin yapamayacağınız testlerimizi doğruladı.
Resmi BleepingComputer'ın LinkedIn hesabı aracılığıyla iş gönderme admin bağlantısını takiben yöneticiye bir hata gösterdi:
Neyse ki, işletmelerin yetkisiz iş ilanlarını engelleyebileceği bazı adımlar olabilir.
Örneğin, BleepingComputer tarafından yapılan bir testte, Google gibi bazı işverenler adına işler oluşturamadık:
Varsayılan olarak, bir LinkedIn şirket sayfasının yöneticisinin, iş listelerinin herkesten kısıtlamak için yöneticisinin bir yolu yoktur, ancak LinkedIn'in güvenlik ekibini e-postayla göndermek için bu işi yapar:
Singh, "Yetkisiz yazıları engellemenize izin veren seçenekleri etkinleştirmek için LinkedIn güven ve güvenlik ekibine el ile e-posta ile gönderebilirsiniz.
Bununla birlikte, bu e-posta adresi bağlantılı olarak paylaşılmadığı için, varlığını ve bu "özelliği" bloke etme yeteneğini bilmiyorsanız, bu tür bir saldırı için savunmasızsınız.
Ek olarak, Singh, işe alım ve İK ekiplerinizi, şirketinizin LinkedIn sayfalarını periyodik olarak izleme ve daha yavaş bir tane olsa, daha yavaş bir şey olsa, herhangi bir Bogus ilanlarını bildirmek için bilgilendirir.
BleepingComputer, LinkedIn'e daha fazla bilgi edinmek için ulaştı:
LinkedIn sözcüsü, BleepingComputer'a, "Üyelerimizi güvende tutmak ve sahtekarlıktan dolandırıcılık tutmak için her gün çalışıyoruz" dedi.
"İş arama, emniyet, sohbet ettiklerini tanıdığında, bunlar olduklarını söylüyorlar, çünkü heyecanladığınız işin gerçek ve otantik olduğunu ve dolandırıcılık nasıl olduğunu söylüyorlar."
"Sahte içeriğin gönderilmesi, yanlış bilgilendirme ve hileli işler Hizmet Şartlarımızın açık ihlalleridir. İşler gönderilmeden önce, sahte hesapları veya şüpheli dolandırıcıyı tespit etmek ve gidermek için otomatik ve manuel savunmalar kullanıyoruz."
Ancak, talebin aksine, otomatik sistemleri BleepingComputer tarafından testleri tespit etmedi ve test listelerinin LinkedIn'e e-postamıza kadar çıkartılmadı.
"Ne zaman sahte mesaj bulursak, onları hızlı bir şekilde çıkarmak için çalışıyoruz ve sürekli olarak algılamayı geliştirmek için yeni yollara yatırım yapıyoruz."
"Şirketlerin, LinkedIn'e göndermeden önce iş-e-posta doğrulamasını gerektiren araçlar sağlamayı," ifadelerinde bulundukları sonucuna varmıştır.
Daha kalıcı bir çözüm olana kadar, LinkedIn kullanıcılar ve işverenler, LinkedIn tarafından inceleme için şüpheli iş listelerini spam veya aldatmaca olarak bildirmelidir.
GÜNCELLEME 9:42 PM ET: Birini iletmek için, bir kişiyi iletmek için, "Neredeyse 'herhangi bir işveren için iş gönderebilir, bazı işverenler (örneğin, Google), yukarıda listelenen geçici çözümler nedeniyle başarılı olmadı.
ABD aracılık firmaları 'Finra Destek' kimlik avı saldırıları konusunda uyardı
Pegasus iPhone Hacks Güçlendirme Şeması'nda Lure olarak kullanılır
ABD brokerleri, Finra'yı taklit eden devam eden kimlik avı saldırıları konusunda uyardı
Sim Swap Scammer Pleads Guilty To
Microsoft: Evasive Office 365 Kimlik Avı Kampanyası 2020'den beri aktif
Kaynak: Bleeping Computer