Czy na LinkedIn czujesz się bezpieczniej niż na innych portalach społecznościowych? W pierwszej chwili większość z nas zapewne odpowie na to pytanie twierdząco. W końcu to platforma, na której otaczają nas profesjonaliści – nie anonimowi internauci, ale osoby, które pracują w znanych nam firmach i organizacjach. Sam LinkedIn służy m.in. do rekrutacji ekspertów, nawiązywania kontaktów biznesowych i dzielenia się branżową wiedzą. To otwiera nowe możliwości zawodowe. Niestety – także dla cyberprzestępców.
Na początku tego roku tylko w Polsce LinkedIn miał niemal 7 milionów użytkowników. Aż 1,3 mln z nich to konta zarejestrowane od 2023 roku[1], co pokazuje, jak dynamicznie rozwija się ta platforma.
Poprzedni rok był jednak dla LinkedIn szczególny nie tylko z powodu intensywnego wzrostu. To właśnie wtedy na konta użytkowników portalu, również w Polsce, miał miejsce szereg cyberataków. Część włamań bazowała na wyciekach danych logowania, inne były tzw. atakami typu brute force – klasycznymi atakami siłowymi[2], czyli wykorzystywały metodę prób i błędów, testującymi różne możliwe kombinacje danych uwierzytelniających.
Efektem były zarówno przejęcia kont przez oszustów, jak i konta zablokowane przez sam LinkedIn z powodu wielu nieudanych prób logowania podejmowanych przez przestępców. W przypadku przejętych kont sprawcy zmienili adres e‑mail powiązany z kontem oraz dane do logowania, co uniemożliwiło właścicielom jakiekolwiek działanie. Skala ataku była ogromna, zaś wielu użytkowników miało problemy z odzyskaniem dostępu i sygnalizowało brak pomocy ze strony serwisu.
Cyberatak na LinkedIn – skutki
Z powodu biznesowego charakteru tej platformy społecznościowej konsekwencje cyberataków mogą być naprawdę poważne.
„W wyniku przejęcia kont przestępcy zyskują możliwość podszywania się pod osoby, którym ufamy. Dzięki temu mogą uzyskać dostęp np. do dodatkowych informacji o działaniu firmy lub instytucji czy też wywierać wpływ na opinię publiczną. Hakerzy mogą też usunąć treści tworzone przez wiele lat lub dodawać nowe, niezgodne z budowanym przez lata wizerunkiem – co w efekcie może spowodować utratę zaufania. To straty, których odrobienie może być trudne lub wręcz niemożliwe” – ocenia dr inż. Michał Glet z Wydziału Cybernetyki Wojskowej Akademii Technicznej.
Zagrożenia na LinkedIn
Na LinkedIn zagrażają nam nie tylko klasyczne cyberataki związane z przejęciem konta. Przestępcy wykorzystują także szereg innych sposobów, by uśpić naszą czujność i zyskać nieuprawniony dostęp.
Często nie jest to trudne, ponieważ wśród portali internetowych LinkedIn wzbudza najpewniej największe zaufanie. Jest to miejsce, z którego korzystamy w celach biznesowych czy rekrutacyjnych, gdzie widać ścieżkę zawodową, poprzednie i aktualne stanowiska, zdobyte wykształcenie – zatem informacje budzące zaufanie i pokazujące innym, kim jesteśmy, w dodatku w profesjonalny sposób. To sprawia, że często traktujemy zaproszenia z mniejszą ostrożnością niż w przypadku pozostałych mediów społecznościowych. Jednak tak jak na każdym innym portalu, także tutaj istnieją oszuści.
„Profil może założyć każda osoba i dowolnie go wypełnić przebiegiem kariery, profesjonalnymi kontaktami, własnymi i udostępnionymi publikacjami. Obecnie – w erze sztucznej inteligencji – spreparowanie budzącego zaufanie profilu na LinkedIn jest proste i szybkie” – ostrzega dr inż. Glet.
Warto być zatem świadomym potencjalnych zagrożeń, aby im przeciwdziałać i spokojnie korzystać z licznych benefitów oferowanych przez portal i użytkowników.
Jak być bezpiecznym na LinkedIn – łatwe wskazówki
Jeśli czytasz ten tekst, a dawno nie logowałeś się do LinkedIn, zrób to teraz i sprawdź, czy masz dostęp do swojego konta. Jeżeli tak, to kliknij ikonę Ja na stronie głównej, wejdź w Ustawienia, wybierz Logowanie i bezpieczeństwo i zobacz, na jakich urządzeniach jesteś obecnie zalogowany. Najlepiej przejrzyj je wszystkie, a na końcu zmień hasło, aby Twoje hasło na pewno nie pozostawało zapisane na urządzeniu, które nie należy do Ciebie i mogą się do niego logować różne osoby.
Silne hasło na LinkedIn
Dawno nie zmieniałeś hasła na LinkedIn? Zrób to dzisiaj. Mocne hasło to podstawowa zasada, która sprawdzi się praktycznie wszędzie. Pamiętaj jednak, aby stosować unikalne hasła, a nie jedno – choćby wydawało się najlepsze – do każdego portalu. Koniecznie sprawdź, jak stworzyć bezpieczne hasło.
Jeśli używasz tego samego hasła w wielu miejscach, w przypadku wycieku danych do logowania przestępcy bez problemu zalogują się też na inne Twoje konta na różnych portalach. Właśnie tak hakerzy zyskali dostęp do wielu kont podczas ataku na LinkedIn w zeszłym roku.
Jeśli masz unikalne, nowe, ale zbyt proste i oczywiste hasło, Twoje konto również jest narażone. Cyberprzestępcy wykorzystują – użyte m.in. w zeszłorocznym incydencie na LinkedIn – ataki siłowe. Choć trudno w to uwierzyć, jest to sposób niezwykle skuteczny, m.in. dzięki zbyt prostym kombinacjom i świetnym narzędziom używanym przez hakerów.
Pamiętaj: nigdy nie używaj hasła do służbowej poczty e‑mail do logowania na jakimkolwiek portalu!
Sprawdź ustawienia na swoim profilu LinkedIn
Kolejnym krokiem jest sprawdzenie poszczególnych ustawień na LinkedIn. Jak to zrobić? Ponownie wejdź w zakładkę Ustawienia, wybierz Prywatność danych oraz Logowanie i bezpieczeństwo.
Znajdziesz tam m.in.:
- adresy, które są przypisane do konta,
- miejsca, w których jesteś zalogowany,
- urządzenia, które pamiętają Twoje hasło czy numer telefonu.
Zweryfikuj te dane. Sprawdź, czy faktycznie są to Twoje adresy e‑mail. Jeśli znajdziesz tam stare, nieużywane od dawna, usuń je.
Adres i telefon na LinkedIn
Nie publikuj informacji takich jak adres domowy lub prywatny telefon w miejscach widocznych dla wszystkich użytkowników. Oczywiście w wielu przypadkach kontakt z Tobą będzie kluczowy dla Twojego biznesu, pozostań jednak ostrożny i udostępniaj w sieci wyłącznie minimum niezbędnych danych.
Dane osobowe – co ma być publiczne, a co prywatne
Możemy wybrać różne informacje dotyczące prywatności i w ten sposób kontrolować, co widzą inni. Nie przekreśli to naszych szans na ciekawy zawodowy kontakt, a jednocześnie sprawi, że nie każdy będzie mógł dowiedzieć się o nas wszystkiego.
Uwierzytelnianie dwuskładnikowe
Warto używać uwierzytelniania dwuskładnikowego (ang. Two Factor Authenticaton, 2FA) wszędzie, gdzie jest to możliwe. Koniecznie włącz je także na LinkedIn. To właśnie konta bez włączonej weryfikacji dwuetapowej po wycieku danych logowania stają się najbardziej zagrożone.
Jak włączyć weryfikację dwuetapową na LinkedIn:
- na komputerze wejdź na swój profil – kliknij ikonę Ja ze zdjęciem na stronie głównej,
- wybierz Logowanie i bezpieczeństwo i opcję Dwustopniowa weryfikacja, a następnie ją włącz,
- pod numer telefonu przypisany do konta otrzymasz kod weryfikacyjny.
Inną metodą weryfikacji jest aplikacja uwierzytelniająca. W tym przypadku kod uwierzytelniający otrzymasz w aplikacji.
Dzięki uwierzytelnianiu dwuskładnikowemu w momencie próby logowania z nowego miejsca lub urządzenia LinkedIn wyśle Ci kod weryfikacyjny. Dopiero po jego wpisaniu będzie można zalogować się na Twoje konto.
Aktualizuj oprogramowanie. Stosuj oprogramowanie antywirusowe
To jedna z głównych zasad cyberbezpieczeństwa. Pamiętaj, aby używać oryginalnych i sprawdzonych programów i regularnie je aktualizować zgodnie z zaleceniami producenta. Starsze wersje oprogramowania miewają luki, które wykorzystują przestępcy.
Zaproszenia do sieci kontaktów na LinkedIn
Nawiązuj kontakt z osobami zaufanymi, z którymi na przykład miałeś okazję porozmawiać, współpracować lub macie wspólne kontakty – w niepewnych sytuacjach możesz zapytać znajomego, czy osobiście zna osobę, która chce dołączyć do Twojej sieci. Budowanie kontaktów jest bardzo ważne, ale należy robić to ostrożnie.
Prawdziwe dane, fałszywe konto
Hakerzy mogą tworzyć fałszywe konta z danymi prawdziwych osób i wykorzystywać dane zdobyte w sieci do budowania profili, które wzbudzają zaufanie. Mogą także tworzyć profile nieistniejących osób pracujących w prawdziwych organizacjach. LinkedIn wprowadził możliwość weryfikacji kont, z której skorzystała już część użytkowników, ale dopóki nie jest to obowiązkowe, należy zachować czujność, nawet jeżeli widzimy znane nam i budzące zaufanie firmy.
Weryfikacja na LinkedIn
Platforma wprowadziła możliwość weryfikacji m.in. tożsamości. Po przejściu tego procesu użytkownik otrzymuje znaczek, który potwierdza, że dana osoba jest tą, za którą się podaje. Sam temat weryfikacji tożsamości wzbudził wśród użytkowników wiele dyskusji i podzielił ich na zwolenników i przeciwników tej metody.
Proces weryfikacji jest możliwy przez udostępnienie skanu paszportu lub innego dokumentu tożsamości z NFC (ang. Near Field Communication, czyli komunikacja bliskiego zasięgu) i wykonaniu selfie, a dane te przekazywane są do firmy Persona. Chociaż obie firmy zapewniają o całkowitym bezpieczeństwie takich danych, to warto mieć świadomość, że to głównie użytkownik ponosi zazwyczaj konsekwencje potencjalnego wycieku lub ataku hakerskiego.
Ataki phishingowe na LinkedIn
Bardzo często oszuści podszywają się m.in. pod rekruterów. W swoim profilu wpisują nieprawdziwe dane, powołując się na pracę w znanych i szanowanych organizacjach. W wiadomościach prywatnych wysyłają ofertę pracy i zachęcają do określonych działań, np. kliknięcia wiadomości czy pobrania załącznika, aby uzyskać więcej informacji. Nie otwieraj takich załączników i nie klikaj w linki. Jeżeli martwisz się, że ominie Cię świetna oferta, poproś potencjalnego rekrutera o komplet informacji w wiadomości lub o firmowy numer telefonu, pod który możesz zadzwonić. Sprawdź te informacje w kilku niezależnych źródłach, aby zweryfikować ich prawdziwość.
Jesteś rekruterem? Unikaj przesyłania linków i załączników, aby nie stracić wartościowych kandydatów i nie budować przyzwyczajeń, które mogą narażać na cyberataki.
Tajny wywiad na LinkedIn
Choć szpiegostwo na LinkedIn może wydawać się scenariuszem na film, to niestety istnieje w rzeczywistości – i to od wielu lat. Na ten rodzaj „oszustwa” szczególnie narażeni są m.in. naukowcy, urzędnicy i osoby zajmujące się innowacjami, bezpieczeństwem oraz mające dostęp do poufnych informacji.
To właśnie ta grupa w Wielkiej Brytanii była celem szpiega[3], który stworzył sieć fałszywych profili i zbudował w ten sposób ogromną siatkę kontaktów. Posługując się fałszywymi profilami, oferował m.in. zatrudnienie, korzyści finansowe, możliwość biznesowej współpracy czy wycieczki i wystąpienia, których konsekwencją mogłyby być materiały służące do zdyskredytowania czy szantażu danej osoby.
Według danych brytyjskiej służby bezpieczeństwa MI5 tylko w latach 2016 – 2021 co najmniej 10 000 brytyjskich obywateli skontaktowało się przez LinkedIn z fałszywymi profilami powiązanymi z państwami uznawanymi przez Wielką Brytanię za wrogie[4]. O podobnych zagrożeniach ostrzegają także Stany Zjednoczone oraz Niemcy, a skala zagrożenia z pewnością obejmuje tysiące użytkowników na całym świecie.
Jak rozpoznać fałszywy profil na LinkedIn?
Często rozpoznanie fałszywego profilu będzie trudne, ale warto być czujnym na takie elementy jak: brak zdjęcia, zdjęcie z internetu przedstawiające inną osobę lub wygenerowane przez sztuczną inteligencję. Ważnym czynnikiem może być też zarówno zbyt mała, jak i zbyt duża liczba kontaktów oraz niska aktywność w sieci. Spreparowane konta, nawet jeżeli regularnie publikują, to rzadko w autentyczny sposób angażują się w aktywność pod innymi profilami lub dyskusje z obserwatorami.
Wiadomości na LinkedIn – jak zweryfikować taką informację
„Zwróć uwagę na błędy w wiadomości i sposób konstrukcji zdań. Tak jak w przypadku innych oszustw internetowych także tu mogą one sygnalizować scam, czyli oszustwo lub manipulacje, których celem jest wyłudzenie pieniędzy, danych osobowych lub nakłonienie Cię do określonego działania. Gdy otrzymujesz wiadomość prywatną, powinieneś zweryfikować także konto danej osoby. Niestety cyberprzestępcy mogą działać podobnie jak na innych portalach – czyli przejmować konta prawdziwych osób, by wykorzystywać je do oszustwa. Jeżeli więc masz wątpliwości, a sprawa wiąże się z ewentualnym dostępem do informacji lub dotyczy finansów, skontaktuj się samodzielnie innymi kanałami z firmą lub osobą, aby potwierdzić autentyczność” – radzi ekspert z Wydziału Cybernetyki WAT.
Wiadomość od „przełożonego”
Znanym już na świecie, a stosunkowo nowym w Polsce oszustwem są wiadomości od „przełożonego”. Często dostają je pracownicy z mniejszym stażem w organizacji. Przez LinkedIn są oni proszeni o zakup np. voucherów dla klientów za prywatne środki lub przy użyciu firmowej karty lub wykonanie pilnego przelewu. Zdarza się nawet, że starszy, doświadczony pracownik potwierdzi, że to polecenie jest naturalne i nie należy mieć obaw. W takim przypadku koniecznie należy skontaktować się bezpośrednio lub telefonicznie z przełożonym, aby poinformować o otrzymanej prośbie. Pozwoli to uniknąć nie tylko strat finansowych – prywatnych lub firmowych, ale i wycieku informacji w wyniku przejęcia konta.
Odbiorcami tego typu maili są też osoby odpowiedzialne w firmach za sprawy finansowe lub księgowe – do nich „przełożony” może skierować prośbę np. o pilne uregulowanie zaległej faktury lub inną operację finansową, która „nie może czekać”.
Ten rodzaj oszustwa stanowi także przykład na to, iż wszelkie sprawy służbowe i finansowe powinny być realizowane w chronionych kanałach organizacji, nie przez platformy społecznościowe.
Jeżeli nie jesteś pewny, jak zareagować na jakąś wiadomość, skontaktuj się z osobą, która wysłała Ci prośbę, telefonicznie lub osobiście i zweryfikuj informacje u źródła.
Fałszywe oferty pracy
Jednym z popularnych oszustw na LinkedIn są także fałszywe oferty pracy, szczególnie zdalnej. W ten sposób cyberprzestępcy zdobywają dane, także poufne – takie jak PESEL, a nawet dane logowania do bankowości i numery kart płatniczych.
Kontakt z potencjalnymi ofiarami rozpoczyna „rekruter”, który angażuje kandydata w pełny proces rekrutacji – najczęściej ograniczający się do wiadomości. Następnie przekazuje informację o chęci zatrudnienia. Tutaj pojawiają się prośby o dane „niezbędne do podpisania umowy”, kopie dokumentów takich jak dowód osobisty, czasem konieczność wykonania przelewu weryfikacyjnego na małą kwotę. Każda prośba ma uzasadnienie, które wielu osobom może wydać się podejrzane, ale nie niemożliwe.
Innym sposobem na przejęcie danych jest przesyłanie wiadomości z linkiem do opisu oferty pracy czy szczegółów projektu – pozornie wygląda to wiarygodnie, ale może zawierać niebezpieczne oprogramowanie, programy szpiegujące i wirusy, które są instalowane na naszych urządzeniach.
Zaproszenie do sieci zainfekowanej – czy przyjmować zaproszenia od nieznajomych na LinkedIn?
Nieznane osoby wysyłające nam wiadomości z linkiem powinny wzbudzić zwiększoną czujność. Jednak nawet niewinne z pozoru zaproszenia do kontaktu mogą mieć ukryty cel. Na LinkedIn, który jest przecież portalem biznesowym, zdarzają się już także oszustwa bazujące na informacji o wygranej w konkursie czy nawet… randkowe.
Kontakt zaczyna się od rozmowy biznesowej, ale prowadzi do zbudowania zaufania i zaangażowania oraz przeniesienia relacji na inne komunikatory. Stamtąd już krótka droga do typowych oszustw np. na „przebywającego na misji” lekarza czy żołnierza.
Inne rodzaje oszustwa to zaproszenia do udziału w fałszywym badaniu lub ankiecie, których konsekwencją może być m.in. utrata danych.
Także w przypadku każdej wiadomości nakłaniającej do odwiedzenia strony lub kliknięcia w link należy zachować ostrożność. Cyberprzestępcy doskonale wiedzą, jak przygotować treść, która pasuje do danego portalu i przekona Cię do kliknięcia. Dlatego zanim postąpisz według ich scenariusza, daj sobie chwilę. Zrób drobny research – samodzielnie wyszukaj osobę oraz firmę w internecie i sprawdź wiarygodność danego profilu.
Dane z LinkedIn ułatwiają phishing?
Szczegółowe dane o poszczególnych osobach pozyskane z LinkedIn mogą znacznie ułatwiać np. ataki phishingowe. Duży zbiór danych pomaga w tworzeniu dobrze ukierunkowanych, spersonalizowanych wiadomości do pracowników. Dzięki temu chętniej klikają oni np. w przesłane linki.
Może to spowodować zainfekowanie niebezpiecznym oprogramowaniem. Ułatwia także nakłonienie osoby zatrudnionej w danej organizacji do określonych zachowań – choćby zrealizowania przelewu czy przekazania poufnych informacji osobie podającej się za przełożonego lub pracownika wysokiego szczebla.
Straty finansowe nie są jedynymi zagrożeniami dla organizacji. Dla firm niebezpieczeństwo to m.in. utrata reputacji czy naruszenie bezpieczeństwa danych.
Dane reklamowe
LinkedIn – tak jak inne platformy – pozyskuje także informacje m.in. o Twoich zainteresowaniach i może je wykorzystywać m.in. w celu wyświetlania Ci dopasowanych reklam. W zakładce Ustawienia znajdziesz opcję Dane reklamowe. Sprawdź, czy wyłączyłeś wszystkie funkcje, z których nie chcesz korzystać.
Zmiany na rzecz bezpieczeństwa
LinkedIn konsekwentnie wprowadza zmiany, które mają podnieść bezpieczeństwo użytkowników, takie jak weryfikacja tożsamości, wykrywanie fałszywych zdjęć profilowych i usuwanie fałszywych profili. Pamiętajmy jednak, że wiele zależy od nas samych i naszych ostrożnych zachowań. Dlatego jeszcze dziś poświęć kwadrans i zastosuj nasze wskazówki. Bądź bezpieczny z #cyberWAT.
Dominika Naruszko
projekt graficzny: Katarzyna Puciłowska
[1] Gamoń Adrian, Raport „LinkedIn w Polsce i na świecie w 2024 roku”: https://adriangamon.com/raport/, [dostęp 12.11.2024 r.]
[2] https://attack.mitre.org/techniques/T1110/, [dostęp 12.11.2024 r.]
[3] https://www.bbc.com/news/uk-66599376, [dostęp 12.11.2024 r.]
[4] https://www.bbc.com/news/technology-56812746, [dostęp 12.11.2024 r.]