Pouvez-vous faire confiance à LinkedIn avec vos données personnelles?
LinkedIn reste la plate-forme sociale la plus fiable selon le rapport sur la confiance numérique 2020. Il s'est constamment classé numéro 1, devant d'autres géants des médias sociaux comme Facebook et Twitter, pendant des années.
Selon de nombreux consommateurs, la plate-forme pour les entreprises du monde entier est celle que les gens ont le plus confiance pour stocker leurs données privées en toute sécurité. Mais à quel point pouvez-vous vraiment faire confiance à LinkedIn?
LinkedIn a-t-il déjà subi une violation de données majeure?
LinkedIn n'est pas à l'abri des fuites de données. En fait, une violation de monstre en 2012, dont on pense pour la première fois qu'elle aurait divulgué 6,5 millions d'informations d'identification de compte, s'est avérée bien pire.
La fuite initiale qui contenait 6,5 millions de mots de passe de compte a été initialement publiée sur un forum russe sur la cybercriminalité en 2012. LinkedIn a confirmé la violation et a encouragé les utilisateurs à changer leurs mots de passe. Mais des années plus tard, ils ont découvert que ce n'était que la pointe de l'iceberg.
En 2016, un hacker nommé «Peace» a colporté le reste des informations d'identification LinkedIn volées sur le dark web. Le pirate informatique a affirmé avoir détenu les informations de 167 millions d'utilisateurs de LinkedIn. Il a été rapporté que 90% des mots de passe non salés ont été craqués dans les 72 heures.
Pourquoi les cybercriminels ciblent-ils LinkedIn?
Outre la fuite massive de données, LinkedIn est devenu un favori parmi les cybercriminels, car les profils contiennent une mine d'or d'informations sur les organisations.
Et comme de nombreux utilisateurs font tellement confiance à LinkedIn, ils incluent des détails très spécifiques sur leur carrière dans leurs profils. Cela facilite la création de toutes sortes de campagnes de phishing ciblant les personnes et les entreprises.
Escroqueries LinkedIn envoyées à votre e-mail
De nombreuses escroqueries par hameçonnage sont effectuées en dehors de la plateforme. Les gangs font semblant de travailler pour LinkedIn et rédigent des courriels, avec le logo de LinkedIn, pour voler des informations aux utilisateurs.
Ces e-mails contiennent généralement un lien vers un faux site Web conçu pour collecter vos informations ou télécharger des logiciels malveillants sur votre appareil.
Ne cliquez pas sur les liens dans les e-mails . Si vous n'êtes pas sûr, connectez-vous à votre compte à l'aide d'un autre onglet, navigateur ou appareil.
E-mails vous demandant de valider votre compte
Il n'y a pas de confirmation par e-mail @LinkedIn . Une grande campagne de phishing est en cours. pic.twitter.com/j4L2LoEBEs
– Zerospam (@Zerospam) 1 avril 2014
Outre les alertes de sécurité habituelles qui vous avertissent d'une tentative de connexion à partir d'un appareil inconnu, il y a le faux e-mail de phishing vous demandant de confirmer votre e-mail.
Ceux-ci disent souvent que la plate-forme a été mise à niveau et que vous devez valider votre compte. Vous recevrez un lien et vous serez invité à valider le compte dans les 72 heures ou "LinkedIn fermera les comptes non confirmés".
Mais le lien ne mène pas à un site LinkedIn: vous pouvez le voir lorsque vous le survolez avec votre souris.
Il existe également un e-mail de phishing qui vous avertit de la désactivation de votre compte par LinkedIn en raison de l'inactivité.
Fausse demande de contact
Les e-mails de phishing LinkedIn peuvent même contenir de fausses demandes. Vous recevrez un e-mail vous informant d'une demande de contact d'une personne sur LinkedIn.
Il comprendra un bouton qui devrait vous permettre d'approuver la demande; survolez-le et vous verrez qu'il renvoie à un site en dehors de LinkedIn.
Certaines escroqueries sophistiquées utilisent l' usurpation d'URL pour rendre le lien plus légitime. Cela vaut donc la peine de le répéter: ne cliquez pas sur les liens dans les e-mails . Toutes les demandes réelles vous attendent lorsque vous vous connectez au véritable LinkedIn.
Quelles sont les escroqueries LinkedIn les plus courantes?
Les types d'escroqueries les plus néfastes sont lancés par des opérateurs qui infiltrent la plateforme. Ils créent de faux profils, envoient des demandes de contact et communiquent via la messagerie LinkedIn ou LinkedIn InMail.
Beaucoup d'entre eux réussissent car il est toujours facile de créer un faux profil sur LinkedIn et les gens font confiance à la plate-forme.Ils supposent donc automatiquement que tout le monde est légitime.
Escroqueries d'emploi
Si vous êtes approché sur LinkedIn avec une offre d'emploi aujourd'hui, ignorez-la. Voici la #scam : http://t.co/0s9zMeWl6o pic.twitter.com/5Xod7pNcdo
– Scam Detector (@ScamDetector) 29 août 2014
Les escroqueries les plus courantes dans l'application sont les escroqueries au travail. Puisque LinkedIn est souvent utilisé pour rechercher des emplois, les pirates exploitent leur désespoir en se faisant passer pour de faux recruteurs.
Ils créeront un faux profil, contacteront les demandeurs d'emploi via InMail ou par message, puis proposeront des emplois bien rémunérés qui nécessitent peu de travail.
Certains étudient votre profil et vous proposent des emplois en fonction de vos informations d'identification pour rendre l'arnaque plus efficace. L'une des escroqueries les plus courantes offrira aux utilisateurs la possibilité d'être un client mystère ou un assistant personnel travaillant à domicile.
La plupart vous envoient un lien vers un faux site conçu pour collecter vos informations.
D'autres faux vous demandent de télécharger une pièce jointe avec ce qui est censé être la description complète du poste. D'autres diront que la pièce jointe est un formulaire de demande que vous devez remplir et renvoyer. Une fois que vous avez ouvert la pièce jointe, les logiciels malveillants seront téléchargés sur votre système.
Qu'est-ce que l'arnaque du client mystère?
Dans un tour très particulier, je viens de recevoir un message LinkedIn de @SekouSmithNBA me demandant de devenir un client mystère. Bien que j'apprécie la tentative de Sekou de m'orienter vers une carrière lucrative, je préfère être un acheteur évident et visible. pic.twitter.com/u4bM3z48OI
– Kent Sterling (@KentSterling) 15 novembre 2018
Certaines de ces escroqueries peuvent être si élaborées et convaincantes que les gens finissent par perdre des milliers de dollars.
L'escroquerie de client mystère, par exemple, fonctionne en envoyant à un utilisateur de LinkedIn sans méfiance un message lui proposant un emploi en tant qu'acheteur secret.
Les escrocs envoient alors un chèque que les victimes doivent déposer sur leur compte bancaire. Il leur sera demandé de déduire leur commission et d'utiliser le reste pour acheter des cartes rechargeables et des cartes-cadeaux ou tester le service de transfert d'argent en magasin.
Les escrocs demandent à la victime d'envoyer une partie de l'argent qu'elle a déposé via le service Western Union ou MoneyGram en magasin. Si on leur a demandé d'acheter des cartes-cadeaux, ils devront envoyer les numéros sur les cartes.
Quelques jours plus tard, la victime recevra un message de sa banque lui indiquant que le chèque qu'elle a déposé était un faux et que l'argent sera récupéré du compte.
Faux profils LinkedIn utilisés pour le phishing
Les cybercriminels créent également de faux profils pour étudier vos informations d'identification et celles de vos contacts pour une campagne de phishing ciblée.
Des campagnes telles que le harponnage, la chasse à la baleine et le phishing frauduleux du PDG sont plus compliquées que vos courriels frauduleux ordinaires. Celles-ci sont ciblées pour les rendre plus efficaces et les pirates devront étudier l'organisation ou la personne avant l'attaque.
L'un des moyens les plus simples d'obtenir des informations sur une organisation et ses employés consiste à étudier les profils LinkedIn. Et en acceptant une demande de contact d'un hacker, vous lui donnez accès aux informations sur votre profil et vos contacts.
Être votre contact leur donne également une apparence légitime et digne de confiance.
Comment repérer un faux profil LinkedIn
Il existe des signes révélateurs qu'un profil peut être faux, dont l'un contient très peu d'informations et trop peu de contacts (généralement moins ou un peu plus de 100).
Un autre signe est un engagement nul ou très faible. Vous pouvez consulter les recommandations de leur profil pour voir ce que d'anciens collègues ont à dire sur la personne … ou s'ils ont d'anciens collègues.
Vous pouvez vérifier dans la section "Activité" de leur profil pour voir les publications passées, les engagements, les commentaires et les interactions avec d'autres utilisateurs. Le manque d'interaction sera souvent le signe que personne d'autre ne connaît cette personne ou que le profil est nouveau.
Certains n'auront aucune photo du tout, mais la plupart en auront une qui a été volée, parfois sur des sites d'images. Pour vérifier si la photo a été retirée ailleurs en ligne, vous pouvez effectuer une recherche d'image inversée rapide. Voici une liste utile d'applications et de sites qui vous aideront à le faire.
Quelles sont les mesures de sécurité de LinkedIn?
Après la brèche de 2012, LinkedIn a déployé quelques fonctionnalités de sécurité pour aider à protéger les données de leurs utilisateurs. Avant la violation, LinkedIn utilisait un système de base de données de mots de passe avec des hachages simples qui étaient facilement fissurés, de sorte qu'ils sont passés à un système qui à la fois haché et salé les mots de passe.
Ils ont rapidement activé l'authentification à deux facteurs (2FA), permettant aux utilisateurs de contrecarrer les tentatives de connexion non autorisées avec un code supplémentaire à saisir.
Un onglet de sécurité supplémentaire permet aux utilisateurs de voir leurs sessions actives. Grâce à cette fonctionnalité, les utilisateurs peuvent vérifier les appareils actuellement connectés à leur compte LinkedIn, y compris les détails sur l'appareil, c'est-à-dire l'emplacement approximatif, le navigateur, le système d'exploitation et l'adresse IP. Vous pouvez vous déconnecter de tout si vous ne les reconnaissez pas.
LinkedIn a également introduit la fonctionnalité de blocage des utilisateurs. En utilisant cela, vous pouvez choisir de masquer les profils et de ne plus recevoir de messages (et de spam embêtant) de certains utilisateurs.
Détecteur d'URL LinkedIn et détection automatisée des faux comptes
Pour protéger les utilisateurs contre les campagnes de phishing, LinkedIn utilise désormais un service back-end qui analyse tout le contenu généré par les utilisateurs à la recherche de logiciels malveillants, de phishing et d'autres contenus dangereux. Ils exécutent leur algorithme de détection d'URL sur de gros morceaux de texte pour vérifier les URL.
Outre le détecteur d'URL, LinkedIn utilise un système de détection de faux comptes qui identifie les profils contrôlés par les pirates. Les nouvelles tentatives d'enregistrement des utilisateurs sont évaluées par un modèle appris par machine qui empêche la création de faux comptes en masse. La plupart des campagnes de cybercriminalité impliquent la création de plusieurs faux comptes et ils sont interceptés par le système.
Les petits lots de faux comptes sont filtrés à l'aide d'autres méthodes, y compris l'intervention humaine. Les utilisateurs peuvent signaler une activité suspecte sur le site ou des profils fragmentaires.
Pouvez-vous faire confiance aux gens sur LinkedIn?
Tout comme toute autre plateforme de médias sociaux, LinkedIn n'est pas à l'abri des fuites de données et des attaques de cybercriminels. Même avec des mesures de sécurité en place, certaines attaques peuvent ne pas être détectées par les systèmes de LinkedIn, et c'est à vous de vous protéger.
Vérifiez vos paramètres de sécurité, activez 2FA et examinez les profils avant d'accepter les invitations à vous connecter. Ce n'est pas parce que c'est censé être le site des professionnels que vous pouvez baisser la garde.