У діловій соціальній мережі LinkedIn знайшли цікавий баг, що дозволяє опублікувати вакансію від імені будь-якої компанії. Виявлений метод не вимагає верифікації, а справжньому роботодавцю досить важко позбутися клона.
За допомогою таких лазівок, які розробники чомусь досі не врахували, різні онлайн-шахраї отримують можливість публікувати фейкові вакансії у зловмисних цілях. Наприклад, кіберзлочинці можуть використовувати соціальну інженерію для збору персональних даних та резюме, пише BleepingComputer.
Здобувачі, які надсилають ці відомості, вважають, що вони потрапляють в руки представників легітимних компаній, хоча насправді їх інформацію можуть продати або використати у фішингових атаках.
На проблему LinkedIn вказав фахівець компанії Cyphere Гарман Сінх. Поділившись з виданням BleepingComputer своєю знахідкою, Сінх зазначив, що уразливість дійсно небезпечна.
“Будь-хто може опублікувати вакансію від імені легітимного екаунта LinkedIn. У підсумку таку пропозицію не відрізниш від справжніх вакансій. Я особисто перевірив цей метод”, – зазначив експерт.
Деяким така “особливість” соціальної мережі вже може бути знайома, проте напевно знайдуться й ті, хто чує про цю лазівку вперше.
“Наприклад, якщо уразливою виявиться офіційна сторінка Google на майданчику LinkedIn, ми зможемо опублікувати вакансію від імені знаменитого інтернет-гіганта. При цьому також можна додати окремі параметри, які будуть редиректити претендентів на наш сайт, де їх можуть чекати фішингові прийоми і соціальна інженерія”, – продовжує Сінх.
Співробітники BleepingComputer вирішили перевірити слова фахівця і прийшли до висновку, що LinkedIn дійсно дозволяє створити вакансію від імені іншої компанії (див. скрін).
У виданні виявили, що використання тестового облікового запису електронної пошти для збору особистої інформації та резюме заявників не залишить жодних ознак будь-якої підозрілої діяльності для заявника або роботодавця, на відміну від перенаправлення заявника на веб-сайт, який може одразу виглядати як фішинг.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Чому три випадкових слова – це найкращий пароль? ІНСТРУКЦІЯ
Як не стати жертвою програм-вимагачів? ПОРАДИ
Якими будуть нові смартфони Galaxy Z Fold 3 та Z Flip 3? ОГЛЯД
Як уникнути шахрайських схем із використанням deepfake-відео? ПОРАДИ
Навіщо інші антивіруси, якщо у Вас є Windows Defender? ПОРАДИ
Як налаштувати режим “Не турбувати” на телефонах Samsung Galaxy? – ІНСТРУКЦІЯ
Нагадаємо, ізраїльський виробник рішень для верифікації та забезпечення прозорості в мобільних та online-екосистемах GeoEdge повідомив про виявлення першої у світі кібератаки на домашні IoT-пристрої з використанням шкідливої реклами.
Також баг на офіційному сайті виробника автомобілів Ford Motor відкривав конфіденційні дані, доступ до яких міг отримати будь-який хакер. Серед інформації були бази даних клієнтів, відомості про співробітників тощо.
Окрім цього, американська трубопровідна компанія Colonial Pipeline виплатила 4,4 мільйона доларів хакерам, які викрали особисті дані майже 6 тисячам нинішніх та колишніх працівників компанії. Colonial Pipeline була вимушена сплатити викуп через ймовірність загрози газової кризи.
І майже анекдотична ситуація трапилася із розробником шкідливих програм, який розпочав їх тестування у своїй системі, щоб випробувати нові функції, а згодом дані потрапили на розвідувальну платформу хакерів. Мова йде про розробника Raccoon – трояна-викрадача інформації, який може збирати дані з десятків програм.