Der Verifizierungsprozess von LinkedIn für neue Konten ist praktisch nicht vorhanden, ein Problem, das die Website zu einer Brutstätte für Betrüger und Nachahmer gemacht hat. Aber damit nicht genug: Ein neuer Bericht von BleepingComputer zeigt, dass zufällige Personen LinkedIn-Stellenanzeigen unter fast jedem Firmennamen veröffentlichen können, was Phishing-Angriffen und Rekrutierungsbetrug Tür und Tor öffnet.
Diese “Funktion” aber Harman Singh, ein Sicherheitsexperte bei Cyphere, war der erste, der öffentlich darüber sprach. In seinen Worten: “Jeder kann einen Job unter dem LinkedIn-Konto eines Unternehmens veröffentlichen und er sieht genau so aus wie ein Job, der von einem Unternehmen ausgeschrieben wird.”
Unternehmen können nicht entfernen diese gefälschten Stellenangebote, ohne LinkedIn direkt zu kontaktieren. Und das ist ein großes Problem, denn Betrüger können Bewerber mit diesen gefälschten Einträgen auf jede Website oder E-Mail-Adresse leiten.
RELATEDGefälschte LinkedIn-Profile können nicht erkannt werden
Wenn Sie B. eine gefälschte Stellenanzeige für Apple erstellen, könnten Sie Bewerber auf eine gefälschte Apple-Anmeldeseite umleiten, die Benutzernamen und Passwörter sammelt. Mithilfe von E-Mail-Korrespondenz können Sie Bewerber davon überzeugen, persönliche oder finanzielle Informationen wie Sozialversicherungsnummern (für “Hintergrundprüfungen”) oder Bankdaten (um die “Direkteinzahlung” einzurichten) weiterzugeben.
Standardmäßig gibt LinkedIn Unternehmen keine Kontrolle über nicht autorisierte Stellenangebote. Einige Unternehmen wie Google sind jedoch vor dieser Bedrohung geschützt. Das liegt daran, dass sie zusätzliche Steuerelemente für Stellenanzeigen haben, die durchschnittlichen Konten nicht zur Verfügung stehen. Die einzige Möglichkeit, diese Kontrollen der Stellenanzeigen zu entsperren, besteht darin, die private E-Mail-Adresse des Vertrauens- und Sicherheitsteams von LinkedIn (tns-SAFE@linkedin.com) zu ermitteln und sich über die schlechte Sicherheit der Stellenanzeigen zu beschweren. Kein Witz.
LinkedIn könnte dieses Problem lösen oder zumindest mildern, indem es unautorisierte Stellenangebote sofort für alle Unternehmen blockiert. Aber die Website scheint nicht sonderlich an Sicherheit interessiert zu sein! Für seinen Wert teilt LinkedIn BleepingComputer mit, dass es “automatische und manuelle Abwehrmaßnahmen” um gefälschte Stellenanzeigen zu blockieren, aber diese Abwehrmaßnahmen hinderten die Autoren von BleepingComputer nicht daran, betrügerische Stellenanzeigen für ihre Ermittlungen einzurichten.
Quelle: BleepingComputer