Ataques de Phishing no Linkedin: entenda e proteja-se

Em função da pandemia, muitas pessoas foram demitidas de seus empregos e recorreram à rede de networking profissional LinkedIn para procurar recolocação. Porém, com o aumento do número de usuários em busca de emprego, os cibercriminosos aproveitaram a situação para realizar ataques de phishing. Mas engana-se quem pensa que os alvos são somente as pessoas.

Para facilitar a ação dos hackers, muitos dados pessoais e corporativos ficam expostos no LinkedIn, como nomes de pessoas e empresas, nomes de funcionários e os seus respectivos cargos, ou as tecnologias usadas nas empresas. Essas informações podem ser extremamente úteis para os cibercriminosos, pois dizem respeito não apenas aos profissionais, mas também às empresas para as quais trabalham.

Neste artigo, vamos explicar como esses criminosos agem e dar dicas para se proteger dessas fraudes.

Por que o LinkedIn é usado para esses ataques?

De modo geral, as pessoas ficam mais vulneráveis porque costumam confiar mais no LinkedIn do que em outras redes sociais, já que ele envolve uma imagem mais séria e corporativa, voltada para o networking profissional. Por isso, os usuários podem se tornar presas fáceis de ataques de spearphishing direcionados para determinadas empresas e seus funcionários. Nessa modalidade de phishing, o hacker pode se passar por um recrutador, colega de trabalho ou outra pessoa em quem o alvo possa confiar.

Outro fator que contribui para a realização de fraudes é a falta de verificação de status no LinkedIn. Embora essa rede social ofereça contas Premium que mostram um pequeno logotipo “IN” nas páginas de perfil das pessoas, a identidade delas não é verificada, como acontece em outros sites. Redes sociais como Twitter e Facebook, por exemplo, colocam uma pequena marca ao lado do nome das pessoas verificadas, mas o LinkedIn não adota essa prática.

Casos de ataques de phishing mais comuns

O phishing é uma técnica usada por criminosos para roubar dados de usuários a partir de sites falsos, e-mails, mensagens SMS, entre outras fontes. Essas informações são usadas para clonar cartões, utilizar documentos para realizar compras, entre muitas outras fraudes.

Geralmente, as vítimas de phishing recebem um e-mail alertando sobre uma suposta solicitação de contato na rede social. Ao clicar no link, elas são direcionadas para uma página que pede para que aguardem alguns segundos. Neste intervalo, elas podem ter os seus dados expostos e os seus sistemas infectados com malwares.

Porém, quando o phishing é executado dentro do LinkedIn, os fraudadores se fazem passar por empresas legítimas recrutando profissionais ou possíveis contatos comerciais para enviar e-mails e links, em busca de direcionar os usuários para sites fraudulentos. E-mails com assuntos como “conta suspensa”, fechamento e encerramento da sua conta do LinkedIn e alerta de segurança do perfil do LinkedIn são exemplos de phishing. Além disso, em alguns casos, os falsos recrutadores podem solicitar informações sensíveis aos usuários, como CPF, RG, CNH, filiação, dentre outras.

Para realizar esses ataques, os cibercriminosos podem utilizar o InMail, uma ferramenta do próprio Linkedin que permite que os recrutadores ou pessoas fora de sua rede enviem mensagens aos usuários sem estarem conectados a eles. Ou podem utilizar o serviço de mensagens padrão para se comunicar com as suas conexões.

As vítimas, confiando na rede social, podem abrir um anexo enviado por alguém desconhecido e acabam tendo as suas informações sensíveis expostas ou seus sistemas infectados. Porém, o LinkedIn nunca perguntará a sua senha ou pedirá que você baixe programas – se receber uma solicitação assim, certamente é uma tentativa de phishing.

A própria rede social faz um alerta sobre os e-mails de phishing aos usuários e dá dicas de possíveis sinais de aviso de uma mensagem deste tipo:

  • Mensagens que contêm erros de ortografia e que não são endereçadas pessoalmente a você;
  • Mensagens que pedem que você execute alguma ação imediatamente;
  • Mensagens que pedem que você abra um anexo para instalar uma atualização de software.

Como se proteger do phishing no LinkedIn

Existem dicas básicas que podem ajudar na sua segurança ao utilizar o LinkedIn:

  • Jamais aceite uma solicitação de conexão no LinkedIn de uma pessoa que você nem sabe quem é ou a empresa para a qual ela trabalha.
  • Ao receber um e-mail, cheque o perfil do remetente, bem como o logo de sua empresa.
  • Fique atento também para mensagens com erros gramaticais ou mal escritas.
  • Não compartilhe informações pessoais através de mensagens ou no InMail.
  • Não clique em links e nem insira informações pessoais nos sites visitados após clicar nesses links.
  • Ao se candidatar para vagas de emprego, tome cuidado com as solicitações de envio de informações para sites que não estejam relacionados com a empresa que ofereceu a vaga.
  • Faça uma verificação recorrente de páginas que utilizam o nome da sua empresa, cheque se elas estão tentando se passar pela sua marca e denuncie qualquer tentativa de fraude ao LinkedIn. Para isso, encaminhe o e-mail suspeito para phishing@linkedin.com.
  • Para garantir a segurança dos seus dados, uma boa política de segurança da informação é fundamental. Com essa finalidade, as empresas devem não apenas investir em ferramentas de cibersegurança eficientes, mas também alertar os colaboradores sobre os riscos desses golpes.
  • Realize campanhas de teste de phishing para identificar os funcionários que podem ser enganados e assim, aprofundar o treinamento dessas pessoas.
  • Utilize softwares de segurança, como antivírus, firewall, backup e duplo fator de autenticação.
  • Mantenha a higiene do seu sistema, instalando as atualizações de fornecidas pelo fabricante para reduzir a exposição.

Reforce a segurança da sua empresa, conte com a equipe da AIM7.

Compartilhe este artigo

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email
Share on telegram

Confira os próximos assuntos