LinkedIn đang được tin tặc coi là mảnh đất lừa đảo màu mỡ vào năm 2022

LinkedIn đang được tin tặc coi là mảnh đất lừa đảo màu mỡ vào năm 2022

Có một thực trạng chung hiện nay đáng báo động đó là mạng xã hội nào càng nhiều người sử dụng thì càng có nhiều nguy cơ bị các tin tặc tấn công. Không ngoại lệ, người dùng LinkedIn ( trang mạng xã hội tìm kiếm việc làm) đang dần bị các hacker đưa vào tầm nhắm với các chiến dịch lừa đảo đầy gian xảo của chúng.

Các cuộc tấn công giả mạo ở LinkedIn tăng mạnh năm 2022

1. Nguy cơ bị tin tặc tấn công trên Linkedln

Theo các báo cáo kiểm toán mạng vào quý đầu tiên của 2022, kết quả cho thấy LinkedIn đã nằm trong tầm ngắm của 52% tin tặc trên toàn cầu - một con số đáng báo động cho người dùng LinkedIn. Đây cũng là lần đầu tiên các hacker đổ dồn về thị trường này nhiều đến thế! Nó còn được tin tặc sử dụng nhiều hơn các gã khổng lồ công nghệ như Apple, Google hay Microsoft.

“Mạng xã hội hiện vượt mặt các lĩnh vực như vận chuyển hàng hoá, bán lẻ và công nghệ, trở thành lĩnh vực bị nhắm tới nhiều nhất bởi các nhóm tội phạm”, Công ty an ninh mạng nổi tiếng Check Point cho hay.

Với việc LinkedIn (trang network tìm việc làm) xếp ở vị trí thứ 5 với tỉ lệ các vụ tấn công giả mạo lớn. Các cuộc tấn công giả mạo (Phishing) tăng 44% so với quý trước,  LinkedIn đã vượt qua DHL (giữ vị trí thứ 2 với 14% tổng số lượng lừa đảo trong quý) để trở thành cái tên được nhắm đến nhiều nhất, với các vụ tấn công an ninh mạng.

Theo báo cáo bảo mật mới nhất của Checkpoint cho thấy xu hướng các tội phạm sẽ liên hệ với người dùng LinkedIn qua một email chính thức nhằm cố gắng dụ họ nhấp vào một liên kết độc hại. Đây được gọi là Phishing (tấn công giả mạo) là hình thức kẻ xấu giả mạo một đơn vị uy tín như ngân hàng, trang web giao dịch trực tuyến, ví điện tử,… để lừa đảo người dùng  cung cấp, chia sẻ các thông tin cá nhân cho chúng.  Phương thức tấn công này thường được tin tặc thực hiện thông qua email và tin nhắn. Người dùng khi mở email và click vào đường link giả mạo sẽ được yêu cầu đăng nhập và nếu người dùng nhập thông tin thì sẽ bị “mắc câu”, tin tặc sẽ có được thông tin ngay lập tức.

“Mục tiêu của những hành vi tấn công này là lừa nạn nhân nhấp vào link độc hại. Những email từ LinkedIn, đơn vị vận chuyển, hoặc các những công ty có hình thức gửi mail cho khách hàng bị nhắm tới, thường rất lý tưởng cho mục tiêu này vì nội dung email chỉ nêu ra thông tin tóm tắt, người nhận mail sẽ bị thôi thúc để nhấp vào một link khác để khám phá chi tiết hơn” Archie Agarwal, nhà sáng lập kiêm CEO của ThreatModeler chia sẻ với tờ báo E-commerce Times.

2. Một số lưu ý quan trọng

Lợi dụng lòng tin người dùng, in tặc thường gửi email, các đường dẫn để câu mồi 

Tin tặc thường nhắm vào người dùng LinkedIn với hai ưu điểm chính: thứ nhất là dùng sự tin tưởng, khai thác thông tin của nạn nhân khi truy cập các đường dẫn mạng LinkedIn, đây được xem là một hình thức rất hữu dụng thay thế cho hình thức các trang web của công ty. Bên cạnh đó, hàng triệu người sử dụng LinkedIn để tìm kiếm và nộp đơn xin việc mỗi ngày, các nhóm lừa đảo đang nhắm đến dữ liệu cá nhân của nhiều người dùng mạng xã hội LinkedIn, thông qua những lời mời nhận việc giả, Khi mở lời mời làm việc giả mạo, nạn nhân đã vô tình bắt đầu cài đặt lén lút backdoor không lọc, more_eggs [tên của trojan], lúc đó một phần mềm sẽ được hacker cài vào máy tính của bạn, tạo cơ hội lây nhiễm phần mềm độc hại vào hệ thống như ransomware, spyware,...

Tuy nhiên, Hank Schless - quản lý cấp cao của công ty giải pháp bảo mật Lookout đã nói rằng việc kẻ tấn công sử dụng LinkedIn làm đầu mối cho các cuộc tấn công lừa đảo được thiết kế theo phương pháp xã hội là hoàn toàn hợp pháp vì nó được chấp nhận như một nền tảng chuyên nghiệp có thể sử dụng được. Nó không khác biệt mấy so với bất kỳ nền tảng xã hội nào khác, hacker có thể dễ dàng tạo một hồ sơ giả mạo trông rất thật để gửi tin nhắn cho bạn bằng một liên kết hoặc tệp đính kèm độc hại.

Ông Patrick Harr, CEO công ty chống lừa đảo SlashNext cho hay: “Không thể ngăn chặn được các hành vị lừa đảo xuất phát từ các dịch vụ hợp pháp, đồng thời các biện pháp phòng thủ an ninh mạng hiện tại chưa được điều chỉnh để phát hiện ra những kiểu tấn công này.”

Hiện nay, các cuộc tấn công này đang gia tăng và đỉnh điểm là các phần mềm để tống tiền. Khi người dùng vô tình tải phần mềm từ việc kick vào các link độc hại. Điều này có nghĩa là đã cho phép hacker quyền  xem, chỉnh sửa hoặc lưu bất kỳ tệp nào trên hệ thống của bạn, cũng như tạo cơ hội lây nhiễm phần mềm độc hại vào hệ thống như Ransomware, Spyware,…

3. Các giải pháp đối phó hacker

Agarwal cảnh báo rằng: “Các nền tảng như LinkedIn và DHL có động cơ thông báo cho người dùng qua email và tin nhắn, buộc người dùng khi kick vào sẽ phải liên kết người dùng với nền tảng đó để tăng lượt truy cập và sử dụng. Điều này đã vô tình tạo cơ hội,  tiếp tay cho các tổ chức lừa đảo”

Chính vì thế, thay vì nhấp vào email, người dùng LinkedIn nên truy cập trực tiếp vào nền tảng đã thông báo cho bạn và tìm kiếm chi tiết thông báo đó ở đó. Nếu nhà tuyển dụng gửi cho bạn một tệp mà bạn thấy không quen thuộc, hãy dành một chút thời gian để kiểm tra lý lịch nhanh và xem liệu họ có phải là nguồn xác thực hoặc đáng tin cậy hay không.

4. Xác minh độ tin cậy

Thực chất việc sử dụng các nền tảng mạng xã hội đem lại rất nhiều lợi ích, điều quan trong chúng ta cần phải trở thành những người dùng thông thái, sáng suốt và biết chọn lọc thông tin. LinkedIn là nơi kết nối các doanh nghiệp với những lao động đang cần việc làm, mảnh đất màu mỡ để các bán hàng, tiếp thị,… Theo quan sát của Oliver Tavakoli, CEO tại công ty bảo mật Vectra AI, tất cả thông tin trên LinkedIn, dù có chuyên nghiệp đến đâu cũng có thể hoàn toàn là giả mạo.

Ông Oliver Tavakoli đưa ra lời khuyên: “Để tránh bị lừa đảo trên LinkedIn, khi nhận được một email lạ gửi đến hộp thư công việc của bạn. Hãy vận dụng những kiến thức, nhận biết của ban để xác định được các âm mưu lừa đảo, chỉ chấp nhận kết nối từ người quen hoặc những người đã chính thức giới thiệu với bạn”.

“LinkedIn nên nỗ lực tìm và xóa các hồ sơ giả mạo. Gắn cờ các tuyên bố không chính xác, như vậy sẽ giúp người dùng xác định được các hồ sơ giả mạo dễ dàng hơn nhiều” Ông Tavakoli Ohast phát biểu thêm.

Cuối cùng về phía người dùng, không có giải pháp nào tốt hơn bằng tự cảnh giác, học cách nhận biết các dấu hiệu của những kẻ lừa đảo và đặt lòng tin đúng nơi, để không bị rơi vào bẫy của những kẻ lừa đảo.

 copyright © mega.com.vn