У діловій соціальній мережі LinkedIn знайшли цікавий баг, що дозволяє опублікувати вакансію від імені будь-якої компанії. Виявлений метод не вимагає верифікації, а справжньому роботодавцю досить важко позбутися клона.

За допомогою таких лазівок, які розробники чомусь досі не врахували, різні онлайн-шахраї отримують можливість публікувати фейкові вакансії у зловмисних цілях. Наприклад, кіберзлочинці можуть використовувати соціальну інженерію для збору персональних даних та резюме, пише BleepingComputer.

Здобувачі, які надсилають ці відомості, вважають, що вони потрапляють в руки представників легітимних компаній, хоча насправді їх інформацію можуть продати або використати у фішингових атаках.

На проблему LinkedIn вказав фахівець компанії Cyphere Гарман Сінх. Поділившись з виданням BleepingComputer своєю знахідкою, Сінх зазначив, що уразливість дійсно небезпечна.

“Будь-хто може опублікувати вакансію від імені легітимного екаунта LinkedIn. У підсумку таку пропозицію не відрізниш від справжніх вакансій. Я особисто перевірив цей метод”, – зазначив експерт.

Деяким така “особливість” соціальної мережі вже може бути знайома, проте напевно знайдуться й ті, хто чує про цю лазівку вперше.У LinkedIn можна створити фейковий екаунт роботодавця та використовувати його для фішингу

“Наприклад, якщо уразливою виявиться офіційна сторінка Google на майданчику LinkedIn, ми зможемо опублікувати вакансію від імені знаменитого інтернет-гіганта. При цьому також можна додати окремі параметри, які будуть редиректити претендентів на наш сайт, де їх можуть чекати фішингові прийоми і соціальна інженерія”, – продовжує Сінх.

Співробітники BleepingComputer вирішили перевірити слова фахівця і прийшли до висновку, що LinkedIn дійсно дозволяє створити вакансію від імені іншої компанії (див. скрін).

У LinkedIn можна створити фейковий екаунт роботодавця та використовувати його для фішингу

У виданні виявили, що використання тестового облікового запису електронної пошти для збору особистої інформації та резюме заявників не залишить жодних ознак будь-якої підозрілої діяльності для заявника або роботодавця, на відміну від перенаправлення заявника на веб-сайт, який може одразу виглядати як фішинг.

У LinkedIn можна створити фейковий екаунт роботодавця та використовувати його для фішингу

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Чому три випадкових слова – це найкращий пароль? ІНСТРУКЦІЯ

Як не стати жертвою програм-вимагачів? ПОРАДИ

Якими будуть нові смартфони Galaxy Z Fold 3 та Z Flip 3? ОГЛЯД

Як уникнути шахрайських схем із використанням deepfake-відео? ПОРАДИ

Навіщо інші антивіруси, якщо у Вас є Windows Defender? ПОРАДИ

Як налаштувати режим “Не турбувати” на телефонах Samsung Galaxy? – ІНСТРУКЦІЯ

Нагадаємо, ізраїльський виробник рішень для верифікації та забезпечення прозорості в мобільних та online-екосистемах GeoEdge повідомив про виявлення першої у світі кібератаки на домашні IoT-пристрої з використанням шкідливої реклами.

Також баг на офіційному сайті виробника автомобілів Ford Motor відкривав конфіденційні дані, доступ до яких міг отримати будь-який хакер. Серед інформації були бази даних клієнтів, відомості про співробітників тощо.

Окрім цього, американська трубопровідна компанія Colonial Pipeline виплатила 4,4 мільйона доларів хакерам, які викрали особисті дані майже 6 тисячам нинішніх та колишніх працівників компанії. Colonial Pipeline була вимушена сплатити викуп через ймовірність загрози газової кризи.

І майже анекдотична ситуація трапилася із розробником шкідливих програм, який розпочав їх тестування у своїй системі, щоб випробувати нові функції, а згодом дані потрапили на розвідувальну платформу хакерів. Мова йде про розробника Raccoon – трояна-викрадача інформації, який може збирати дані з десятків програм.