W połowie września media obiegła wiadomość: "Hakerzy atakują polską branżę HR z wykorzystaniem LinkedIn". Jak się okazało, cyberprzestępcy wysyłając wiadomość z konta rekruterki, mogli m.in. wyłudzać dane. „Nie znamy netykiety LinkedIna” mówią specjaliści. A my sprawdzamy, jak być bezpiecznym w jednym z najpopularniejszych serwisów społecznościowych ostatnich czasów.
Ataki na konta w mediach społecznościowych nie są niczym nowym ani zaskakującym. Potencjał i siłę social mediów „docenili” także hakerzy. Z danych wynika, że w 2017 roku w godzinę średnio dokonywano na całym świecie 971 ataków hakerskich. Tylko w połowie 2018 roku było ich dwa razy więcej.
Ofiarami cyberprzestępców padają nie tylko „zwykli” użytkownicy Facebooka, Instragrama, LinkedIn czy Twittera. W 2013 roku hakerzy złamali hasło Twittera należącego do amerykańskiej agencji prasowej Associated Press. Opublikowali oni wówczas informację, że w Białym Domu wybuchła bomba, a w wyniku ataku ranny został ówczesny prezydent USA Barack Obama. Informacja doprowadziła do gwałtownej reakcji giełdy NASDAQ, z której zniknęło 150 miliardów dolarów.
W trakcie śledztwa ustalono, że hakerzy uzyskali dostęp do profilu agencji dzięki phishingowi - wyciąganiu od ofiar haseł do kont internetowych za pośrednictwem na przykład zawirusowanych linków.
W połowie września media obiegła wiadomość o „ataku na polską branżę HR”. Tym razem hakerzy wykorzystali serwis LinkedIn. Dzięki atakowi cyberprzestępcy zyskali możliwość rozsyłania fałszywej korespondencji zawierającej potencjalnie niebezpieczne linki, mogące np. wyłudzać dane.
Pracownica firmy, której profil zaatakowali hakerzy, poinformowała o tym fakcie w poście zamieszczonym w serwisie i ostrzegła swoją społeczność przed możliwymi negatywnymi konsekwencjami kliknięcia w odnośniki zawarte w wiadomościach rozsyłanych przez cyberprzestępców z jej konta. Według niej wiadomości zostały wysłane do ok. 750 osób, również związanych z branżą rekrutacyjną.
Przeczytaj: Hakerzy atakują polską branżę rekrutacyjną z wykorzystaniem LinkedIna
Do tej pory z tego typu sytuacjami mieliśmy do czynienia głównie za oceanem. Wzrost znaczenia LinkedIn, szczególnie w czasach pandemii sprawił, że serwis stał się dla hakerów łakomym kąskiem, bo, jak ocenia Gabriela Cerowska z agencji MOMA, LinkedIn rośnie w siłę.
- To już od dawna nie tylko przestrzeń do szukania pracy czy pracowników, ale także do rozwijania swojego biznesu, budowania wizerunku eksperckiego czy szukania potencjalnych klientów. Na LinkedInie znajdziemy prezesów dużych firm, ale także trenerów personalnych czy lekarzy weterynarii. W Polsce jeszcze uczymy się korzystać z tego medium - wiele firm nie ma swoich profili firmowych lub nieumiejętnie nimi zarządza. Na świecie jest ponad 600 mln zarejestrowanych użytkowników, a w Polsce niecałe 3 mln. Dopiero raczkujemy – podkreśla Cerowska.
To „polskie raczkowanie” kusi. Analizujący sytuację wspomnianego ataku specjaliści od cyberbezpieczeństwa podkreślają, że problemem polskich użytkowników serwisu jest brak znajomości netykiety obowiązującej na LinkedIn.
Sam serwis się zmienia, dodaje nowe funkcjonalności. Te w założeniu powinny ułatwiać nam kontakt z potencjalnym partnerem biznesowym, pracodawcą czy pracownikiem. Jest jednak też druga strona medalu.
- Ciągle pojawiają się nowe funkcjonalności, pozwalające udostępnić swój numer telefonu lub adres mailowy, aby ułatwić kontakt z potencjalnymi partnerami biznesowymi. To oczywiście, podobnie jak Facebook, atrakcyjny kąsek dla hakerów, ponieważ w dobie gospodarki cyfrowej dane stanowią coraz cenniejszy zasób – podkreśla Gabriela Cerowska.
Zobacz: LinkedIn zmienia swoje oblicze. To już nie tylko portal dla pracowników korporacji
Chroń się sam
Dbaj o cyberbezpieczeństwo - to hasło, które powinniśmy mieć wytatuowane. Szczególnie w dobie pracy zdalnej, zakupów internetowych, bankowości elektronicznej. Nasze pieniądze, newralgiczne dane to dla hakerów łakomy kąsek. Nawet jeśli na naszym koncie nie ma milionów, to już same dane są wiele warte.
- Ataki mające na celu przejęcie tożsamości zdarzają się codziennie. Celem jednych jest pozyskanie danych karty kredytowej, celem innych jest dostęp do komputera. Nie ma różnicy, czy to nasze konto „prywatne”, czy „biznesowe”. Szkody wyrządzone przez hakerów mogą być takie same - wyjaśnia Marcin Banaszkiewicz, trener LinkedIn.
Stąd pierwszym krokiem jest dbanie o bezpieczeństwo konta. Jak?
- To banał, ale może warto to powtarzać do skutku: uważajmy co udostępniamy, nawet jeśli nasze konta są "prywatne", oraz korzystajmy z silnych haseł. To powinno oczywiście działać w dwie strony - LinkedIn także powinien dbać o nasze bezpieczeństwo – podkreśla Gabriela Cerowska.
Z tym jednak bywa różnie. W 2016 roku ujawniono, że cztery lata wcześniej z serwisu wyciekła baza danych użytkowników wraz z ich adresami e-mail - w sumie 150 milionów rekordów. Oferta kupna bazy za... 5 bitcoinów, pojawiła się w dark necie.
Wracając jednak do bezpieczeństwa. Na silne hasło uwagę zwraca także Marcin Banaszkiewicz, podkreślając, że warto korzystać z dwupoziomowego uwierzytelniania.
- Warto zawsze stosować zabezpieczenie, które pomaga ustrzec się ataku. To dwupoziomowe potwierdzenie tożsamości przy logowaniu. Oprócz hasła do konta, możemy użyć hasła do konta Google, czy innego miejsca znanego tylko nam. To może być choćby SMS. Kiedy ktoś próbuje się zalogować na konto z takim zabezpieczeniem, będzie miał o wiele większy problem niż przy zwykłym haśle do konta.
Aktywni i świadomi
Dbanie o silne hasło lub dwupoziomowe potwierdzanie tożsamości to jedno. Problem może pojawić się jednak na poziomie naszej sieci.
- Wychodzę z założenia, że każdy kontakt to osoba, która potencjalnie może pomóc mi znaleźć pracę lub dać zlecenie. Jeśli ktoś pracuje w dziale HR, automatycznie trafia do mojej sieci – zdradza Piotr.
Tymczasem do nowych znajomości należy podchodzić nad wyraz ostrożnie.
- LinkedIn pozwala na informowanie rekruterów o tym, że szukamy pracy lub jesteśmy zainteresowani jej zmianą. Jeśli firma rekrutująca korzysta z pakietu premium, a my posiadamy dobrze przygotowany profil i kompetencje na dane stanowisko, to i tak do nas dotrze. Mamy także możliwość otrzymywania na maila ofert pracy, sprofilowanych pod nasze umiejętności lub korzystania w swoim profilu z zakładki praca. Nie musimy od razu przyjmować każdego rekrutera do znajomych. Jeśli już musimy, to sprawdźmy go – wyjaśnia Gabriela Cerowska.
Inaczej na tego typu podejście patrzy Marcin Banaszkiewicz.
- Ja również przyjmuję wszystkie zaproszenia. To nie od wysłania zaproszenia zależy to, czy ktoś nam skradnie cyfrową tożsamość. Najczęściej dzieje się to wtedy, kiedy klikamy w link od osoby, której nie znamy. To nie jest nigdy dobry pomysł. Wówczas przejęcie kontroli nad kontem, to zwykle tylko chwila. Nieprzyjęcie kogoś do kontaktu w obawie o kradzież tożsamości to zły pomysł. Codziennie jeździmy środkami komunikacji miejskiej z nieznanymi ludźmi. Każdy z nich może być kieszonkowcem, a pomimo tego wsiadamy do autobusu.
Konta na Facebooku czy Instagramie traktujemy bardziej prywatnie i pozwalamy sobie tu na zdecydowanie więcej. Z kolei LinkedIn jest naszym wirtualnym CV. Ważne jest zatem prowadzenie profilu w sposób przejrzysty i interesujący.
Idąć za radą Cerowskiej bądźmy aktywnymi uczestnikami portalowego życia w temacie czy branży, którą się interesujemy, w której chcemy budować własny wizerunek. Piszmy artykuły, udostępniajmy ciekawe treści, komentujmy, udzielajmy się w grupach. Przede wszystkim budujmy sobie jakościowych odbiorców. To daje na pewno większą szansę na brak spamu w wiadomościach prywatnych.
Zapraszając osoby do naszych kontaktów, zwróćmy uwagę na to, do kogo chcemy trafić i jaki mamy cel biznesowy – pracujmy na wcześniej zdefiniowanych personach. Zapraszając, wyślijmy krótką wiadomość, w której możemy nawiązać do wspólnych zainteresowań czy oferowanych przez nas usług czy produktów. LinkedIn daje także możliwość przetestowania płatnych narzędzi (sales navigator) do budowania bazy kontaktów – polecam skorzystać z tej opcji.
KOMENTARZE (0)