Linkedin to niezbędne narzędzie służące do prowadzenia nowoczesnego biznesu, dzięki niemu można nawiązywać relacje biznesowe, poszukiwać pracowników i obserwować aktualne trendy w branży, w której działa nasza firma. To także miejsce, w którym zamieszczamy masę informacji o sobie, lub o naszym przedsiębiorstwie, co powoduje, że często możemy być na celowniku oszustów i nieuczciwej konkurencji.
Scam na LinkedIn – dlaczego jest tak popularny?
LinkedIn cieszy się wielką popularnością wśród scamerów z kilku powodów. Platforma ta zrzesza setki milionów użytkowników otwartych na zawieranie nowych relacji biznesowych. Pracownicy i pracodawcy korzystający z LinkedIn z reguły w przeciwieństwie do użytkowników innych mediów społecznościowych, takich jak X, Facebook i Instagram, nie ignorują zaproszeń od nieznajomych oraz wiadomości, które zawierają oferty biznesowe. Ten trend jest bardzo często wykorzystywany przez wszelkiego rodzaju cyberprzestępców, którzy podszywają się pod pracodawców i klientów, lub wykorzystują boty do zbierania danych.
Kolejnym powodem popularności LinkedIn wśród oszustów jest to, że użytkownicy i firmy, które mają profil na tym portalu, zamieszczają wiele cennych informacji o sobie i profilu swoich działalności. Wprawny oszust może wykorzystać te dane do tego, aby przeprowadzić skuteczny atak phishingowy skierowany przeciwko konkretnym pracownikom danej firmy.
Wiedząc już, skąd taka popularności platformy LinkedIn wśród oszustów, przeanalizujmy najpopularniejsze metody scamerów, którzy z niej korzystają.
Najpopularniejsze metody na wykorzystywanie LinkedIn do oszustw
Numerem jeden wśród metod oszustwa na Linkedin są kampanie phishingowe. Musimy jednak pamiętać o tym, że phishing na LinkedIn z reguły nie jest tak prymitywny, jak w przypadku innych mediów społecznościowych. Oszuści bardzo często doskonale znają metody z inżynierii społecznej i skutecznie manipulują swoimi rozmówcami. Scamerzy potrafią wykorzystać mechanizmy psychologiczne i cechy charakteru, zarówno te negatywne, jak chciwość i nadmierna skłonność do ryzyka, jak i te pozytywne, np. altruizm i ambicję swoich ofiar do osiągnięcia swojego celu. Co więcej, informacje, które jako firma lub pracownik zamieszczamy na swoich profilach, mogą pomóc oszustowi w tym, aby przygotować spersonifikowaną i unikalną taktykę przeciwko nam.
Jednak, w jaki sposób może wyglądać takie oszustwo z perspektywy pracodawcy? Jeżeli prowadzisz firmę, działającą w branży IT, możesz otrzymać wiadomość od rzekomego pracownika np. Microsoftu lub Google z atrakcyjną ofertą na zakup ich produktów lub lukratywną ofertę współpracy. Następnie otrzymujemy link do formularza, w którym mamy pozostawić swoje dane, lub dokonać wpłaty online. Niestety, jeśli natrafiliśmy na oszusta, to strona z formularzem została najprawdopodobniej sfałszowana, a my podaliśmy hakerowi nasze cenne dane, które może sprzedać lub wykorzystać do innych oszustw. Jakich?
Niektórzy oszuści mogą posunąć się nawet do tego, że zarejestrują firmę o bliźniaczych danych do naszej, a następnie będą ją wykorzystywali do oszukiwania naszych klientów, których znajdą w liście obserwujących naszej firmy na LinkedIn. Oprócz tego mogą także stworzyć profile, które podszywają się pod pracowników naszej firmy i zamieszczać oferty pracy. Podczas „rekrutacji”, oszust będzie proponował potencjalnym pracownikom uiszczanie opłat rekrutacyjnych lub oferty fałszywych, rzekomo bardzo atrakcyjnych inwestycji. Natomiast jeśli wpisaliśmy dane związane z naszą bankowością, to istnieje ryzyko, że oszust wykorzysta je do włamania się na nasze konto bankowe.
Inne ryzyko wiąże się z zamieszczaniem przez pracowników firmy w swoich profilach danych, takich jak adresy e-mail. Dla przykładu — product manager umieszcza firmowy adres e-mail na swoim koncie: jan.iksiń[email protected]. Doświadczony oszust domyśli się, że w Twojej firmie adresy e-mail tworzone są zgodnie ze wzorem imię.nazwisko@domena.
Sprytny oszust może poszukać na LinkedIn księgowej, która pracuje w Twojej firmie. Gdy już pozna jej personalia i będzie wiedział, jaki jest jej adres e-mail, to będzie mógł zastawić na nią pułapkę. Może np. wykupić domenę bardzo podobną do naszego kontrahenta (dane kontrahenta może również znaleźć na jego profilu LinkedIn) i wysłać z niej wiadomość, w której zamieszcza zaległą fakturę, albo wysyła prośbę o korektę ostatniej faktury. Nasza księgowa, pomimo tego, że nie czekała na żadne dokumenty, to najprawdopodobniej pobierze załącznik i sprawdzi, o jaką fakturę chodzi. Ponieważ często korespondowała z tym kontrahentem i zna go, to nie będzie sprawdzała tego, że jedna litera domeny się nie zgadza. Pobrany plik może zawierać między innymi oprogramowanie szpiegowskie, dzięki któremu oszust z czasem pozna wszystkie dane do najważniejszych kont związanych z naszą firmą. Plik może okazać się także złośliwym oprogramowaniem typu ransomware, które zaszyfruje kluczowe zasoby naszej firmy i aby je odzyskać, będziemy musieli zapłacić okup.
Warto mieć na uwadze także to, iż oszustwa na LinkedIn mogą działać łańcuchowo. Wyobraź sobie, że jesteś freelancerem i tworzysz np. strony internetowe. Któregoś dnia otrzymujesz wiadomość na LinkedIn z prośbą o ofertę na specjalistyczną stronę internetową od pracownika firmy, w której pracuje kilkadziesiąt osób. Oferta zostaje zaakceptowana, a ty ustalasz telefonicznie szczegóły zlecenia. Po kilku tygodniach pracy kończysz projekt i wystawiasz fakturę za wykonaną pracę.
Niestety, firma nie ma zamiaru uregulować zaległej płatności. Gdy próbujesz skontaktować się z firmą, to rozmawiasz tylko z pracownikami biurowymi, którzy szczerze nie potrafią zrozumieć, dlaczego ich pracodawca nie opłacił faktury. Niestety, dzieje się tak, ponieważ oni także mogą być oszukiwani przez swojego pracodawcę i nie zdają sobie z tego sprawy. Istnieje pewne prawdopodobieństwo na to, że taka firma powstała tylko po to, aby być przykrywką dla oszusta, który nie ma zamiaru się wywiązać ze swoich zobowiązań wobec Ciebie, swoich pracowników oraz innych kontrahentów. Zamiast tego szybko zakończy działalność, nie ureguluje zapłaty za Twoją usługę, a stronę, którą stworzyłeś, sprzeda komuś innemu.
W czasie pandemii powstało wiele fałszywych firm, które opierały swoją „działalność” na pracy zdalnej i oferowały swoim pracownikom umowy prowizyjne. „Pracodawcy” podczas rekrutacji oraz szkolenia swoich pracowników korzystali z wielu technik manipulacyjnych znanych sekt oraz z firm działających w formacie MLM, przez co pracownicy pracowali przez wiele miesięcy bez jakiegokolwiek wynagrodzenia i nadal szczerze wierzyli w to, że ich pracodawca jest uczciwy.
Niestety, ich praca często polegała na oszukiwaniu kolejnych podmiotów i kontrahentów. Najgłośniejszym przykładem takiej firmy było brytyjskie przedsiębiorstwo Madbird, które działało w branży projektowej. Ali Ayad, czyli właściciel tej firmy spreparował swoje doświadczenie zawodowe. Ponadto oszukiwał swoich pracowników i klientów za pomocą historii o swoim rzekomym bogatym doświadczeniu zawodowym. Przez wiele miesięcy udawało mu się uniknąć zdemaskowania, ponieważ był bardzo charyzmatyczny, świetnie manipulował uczuciami swoich pracowników i korzystał ze skradzionych projektów, które rzekomo sam wykonał. Ostatecznie po nagonce medialnej po prostu zniknął z sieci. Pamiętajmy jednak, że tego typu „przedsiębiorstw” jest znacznie więcej, także możemy się na nie natknąć.
W jaki sposób zabezpieczyć firmę przed oszustami na LinkedIn?
Najważniejszym elementem skutecznej ochrony przed oszustami na LinkedIn jest zabezpieczenie wszystkich urządzeń w naszej firmie za pomocą skutecznego systemu antywirusowego. Jeśli przetwarzamy lub gromadzimy dane krytyczne, to warto także rozważyć dodatkowe narzędzia wyposażone w technologię EDR i XDR. Dzięki nim będziemy mogli uchronić się przed niebezpieczeństwami związanymi ze złośliwym oprogramowaniem i sfałszowanymi stronami internetowymi, których jedynym celem jest kradzież naszych danych, takich jak: adres e-mail, hasła i dane bankowe.
Kolejnym istotnym etapem są regularne szkolenia swoich pracowników z zakresu podstawowych zasad cyberbezpieczeństwa. Wymagajmy od nich tego, aby korzystali z unikalnych, silnych haseł oraz, aby regularnie je zmieniali. Nauczmy ich także tego, aby nie pobierali podejrzanych plików i nie klikali w niebezpieczne, nieznane linki.
W przypadku otrzymania interesującej oferty na LinkedIn warto także wykonać telefon do centrali firmy, z którą rzekomo korespondujemy po to, by potwierdzić autentyczność pracownika. Zawsze dokładnie sprawdzajmy domeny adresów, z którymi korespondujemy, w tym także to, kiedy zostały one zarejestrowane.
Jeśli już zdecydujemy się na wykonanie usługi z klientem, którego pozyskaliśmy na LinkedIn, to jeśli to możliwe, to sprawdźmy na naszych branżowych grupach, czy z ów „klientem” nikt wcześniej nie miał problemów. Dzięki zachowaniu czujności i wykonaniu kilku wyżej wymienionych kroków możemy znacząco zminimalizować ryzyko tego, że ktoś nas oszuka na LinkedIn.
