Quy trình xác minh tài khoản mới của LinkedIn thực tế không tồn tại, một vấn đề khiến trang web trở thành điểm nóng cho những kẻ lừa đảo và mạo danh. Nhưng nếu điều đó là chưa đủ, một báo cáo mới từ BleepingComputer cho thấy những người ngẫu nhiên có thể đăng danh sách việc làm trên LinkedIn dưới gần như bất kỳ tên công ty nào, mở ra cánh cửa cho các cuộc tấn công lừa đảo và gian lận tuyển dụng.
Một số người có thể biết về “tính năng này”, nhưng Harman Singh, một chuyên gia bảo mật tại Cyphere, là người đầu tiên công khai nói về nó. Theo cách nói của anh ấy, “bất kỳ ai cũng có thể đăng một công việc bằng tài khoản LinkedIn của công ty và nó xuất hiện giống hệt như một công việc được quảng cáo bởi một công ty”.
Các công ty không thể xóa các danh sách việc làm giả mạo này mà không liên hệ trực tiếp với LinkedIn. Và đó là một vấn đề lớn, bởi vì những kẻ lừa đảo có thể hướng người nộp đơn đến bất kỳ trang web hoặc địa chỉ email nào bằng cách sử dụng những danh sách giả mạo này.
Nếu bạn đã tạo một danh sách việc làm giả mạo cho Apple, ví dụ: bạn có thể chuyển hướng người nộp đơn đến một Apple trang đăng nhập thu thập tên người dùng và mật khẩu. Bằng cách sử dụng thư từ qua email, bạn có thể thuyết phục người nộp đơn chia sẻ thông tin cá nhân hoặc thông tin tài chính, chẳng hạn như số an sinh xã hội (để “kiểm tra lý lịch”) hoặc thông tin ngân hàng (để thiết lập “tiền gửi trực tiếp”).
Theo mặc định, LinkedIn cung cấp cho các công ty quyền kiểm soát không đối với các danh sách việc làm trái phép. Nhưng một số công ty, như Google, được bảo vệ khỏi mối đe dọa này. Đó là bởi vì họ có thêm các kiểm soát danh sách việc làm không có sẵn cho các tài khoản trung bình. Cách duy nhất để mở khóa các kiểm soát danh sách việc làm này là tìm kiếm địa chỉ email cá nhân cho nhóm Tin cậy và An toàn của LinkedIn ([email protected]) và phàn nàn về bảo mật danh sách việc làm kém của trang web. Không phải trò đùa.
LinkedIn có thể giải quyết vấn đề này, hoặc ít nhất là giảm thiểu nó, bằng cách chặn ngay lập tức danh sách việc làm trái phép cho tất cả các công ty. Nhưng trang web dường như không quan tâm đến bảo mật! Đối với những gì nó đáng giá, LinkedIn nói BleepingComputer rằng nó sử dụng “biện pháp bảo vệ tự động và thủ công” để chặn danh sách việc làm giả mạo, nhưng những biện pháp phòng thủ này không dừng lại BleepingComputer’s người viết từ việc thiết lập danh sách việc làm gian lận cho cuộc điều tra của họ.
Nguồn: BleepingComputer
