Il processo di verifica di LinkedIn per i nuovi account è praticamente inesistente, un problema che ha reso il sito Web un focolaio di truffatori e imitatori. Ma se ciò non bastasse, un nuovo rapporto di BleepingComputer mostra che persone a caso possono pubblicare annunci di lavoro su LinkedIn con il nome di quasi tutte le società, aprendo la porta ad attacchi di phishing e frodi di reclutamento.
Diverse persone potrebbero essere a conoscenza di questa “funzione,” ma Harman Singh, un esperto di sicurezza di Cyphere, è stata la prima persona a parlarne pubblicamente. Nelle sue parole, “chiunque può pubblicare un lavoro nell'account LinkedIn di un'azienda e appare esattamente come un lavoro pubblicizzato da un'azienda.
Le aziende non possono rimuovere questi falsi annunci di lavoro senza contattare direttamente LinkedIn. E questo è un grosso problema, perché i truffatori possono indirizzare i candidati a qualsiasi sito Web o indirizzo e-mail utilizzando questi elenchi falsi.
RELATEDI profili LinkedIn falsi sono impossibili da rilevare
Se se dovessi creare un falso elenco di lavoro per Apple, ad esempio, potresti reindirizzare i candidati a una pagina di accesso Apple falsa che raccoglie nomi utente e password. Utilizzando la corrispondenza e-mail, potresti convincere i candidati a condividere informazioni personali o finanziarie, come i numeri di previdenza sociale (per “controlli dei precedenti”) o le informazioni bancarie (per impostare il “deposito diretto”).
Per impostazione predefinita, LinkedIn offre alle aziende il controllo zero sugli annunci di lavoro non autorizzati. Ma alcune aziende, come Google, sono protette da questa minaccia. Questo perché hanno controlli aggiuntivi per gli elenchi di lavoro che non sono disponibili per gli account medi. L'unico modo per sbloccare questi controlli delle offerte di lavoro è cercare l'indirizzo e-mail privato del team Trust and Safety di LinkedIn (tns-SAFE@linkedin.com) e lamentarsi della scarsa sicurezza delle offerte di lavoro del sito. Non è uno scherzo.
LinkedIn potrebbe risolvere questo problema, o almeno mitigarlo, bloccando immediatamente gli annunci di lavoro non autorizzati per tutte le aziende. Ma il sito web non sembra così interessato alla sicurezza! Per quel che vale, LinkedIn dice a BleepingComputer che utilizza “difese automatiche e manuali” per bloccare annunci di lavoro falsi, ma queste difese non hanno impedito agli autori di BleepingComputer di creare annunci di lavoro fraudolenti per le loro indagini.
Fonte: BleepingComputer