Недавно несколько друзей спросили меня, как киберпреступники могут получить доступ к их контактным данным, особенно к номерам мобильных телефонов и адресам электронной почты. Я в основном ответил им, что существует несколько методов, которые преступники могут использовать для сбора такой информации. Один из распространенных методов включает данные, украденные во время утечек, которые затронули онлайн-платформы и их пользователей за эти годы. В конечном итоге это привело к процветающему рынку краденых личных данных, как в даркнете, так и все чаще также и в «обычном интернете».

Но есть и другой возможный сценарий, который может позволить любому человеку с дурными намерениями составить свои собственные «списки контактов», набитые актуальными и ценными данными. Встречайте LinkedIn, крупнейшую в мире социальную сеть для профессионалов, где преступники ранее с относительной легкостью собирали общедоступную информацию о миллионах своих пользователей, включая полные имена, номера телефонов, адреса электронной почты, информацию о месте работы и многое другое.

Такое обилие доступной информации связано с самой природой платформы. Пользователи LinkedIn часто, и вполне понятно, предпочитают делать свою информацию общедоступной, включая их личные или профессиональные контактные данные. Непреднамеренным следствием этого является то, что преступникам не нужно полагаться на информацию, которая могла быть украдена или утеряна много лет назад, и некоторая из нее может быть уже неактуальной и неточной.

Вместо этого они могут использовать веб-скрейперы для сбора всей доступной информации о своих потенциальных целях. Затем они могут совершить кражу личных данных или нацелиться на работодателей пользователей с помощью мошенничества с корпоративной электронной почтой (BEC) или других атак социальной инженерии.

Среди прочего, веб-скрейперы могут:

  • Создавать список сотрудников компании

Здесь злоумышленнику достаточно настроить программное обеспечение для сбора данных для доступа к вкладке «Люди» целевой компании, что приведет к получению актуального списка сотрудников. Очевидно, пользователи LinkedIn, как правило, поддерживают свои профили в актуальном состоянии с информацией о текущей работе.

  • Составлять список «целей из цепочки поставок», связанных с компанией

Некоторые преступники могут пойти дальше и проанализировать взаимодействия в публикациях компании в социальных сетях, чтобы выявить потенциальных поставщиков и партнеров, тем самым получив новые приоритетные цели или потенциальные пути для атаки на цепочку поставок основной цели.

Что вы решаете опубликовать?

Во многих случаях информация людей может быть либо общедоступной, либо видимой только тем, кто находится в сети прямых контактов пользователя. Объем доступной информации также может варьироваться:

  • Профили LinkedIn, которые не раскрывают никаких контактных данных за пределами платформы

Выбирая не делиться какой-либо контактной информацией за пределами платформы и ваших прямых контактов, вы значительно ограничиваете объем информации, которую преступники могут собрать о вас. Ваше полное имя, должность и географическое положение вашей компании, конечно, останутся видимыми.

linkedin-image-1
Контактная информация, доступная людям, не входящим в список прямых (или 1-й степени) соединений
linkedin-image-3
Контактная информация, доступная людям, не входящим в список прямых (или 1-й степени) соединений
  • Профили LinkedIn, которые делают адрес электронной почты общедоступным

Хотя пользователи LinkedIn часто делятся своей личной контактной информацией, некоторые могут также раскрывать свои текущие корпоративные адреса электронной почты. В любом случае, это может позволить злоумышленникам более целенаправленно взаимодействовать со своими жертвами, а также дать им представление о типичном формате электронной почты, используемом компанией (хотя, очевидно, это далеко не единственный простой способ получить эту информацию).

  • Профили LinkedIn, которые делают номера телефонов общедоступными

Некоторые люди могут выбрать раскрытие своего номера телефона, например, в надежде, что рекрутеры и работодатели смогут легче связаться с ними для собеседований, или, возможно, что это облегчит общение с потенциальными деловыми контактами или клиентами. Однако, как и в случае с электронной почтой, это может привести к мошенническим звонкам, сообщениям (также известным как smishing), потенциальному злоупотреблению данными и утечкам конфиденциальности.

linkedin-image-2
Контактная информация для людей, ранее добавленных в сеть контактов

Снижение рисков

Сама природа социальных сетей, и любой платформы, позволяет преступникам получать доступ к некоторым нашим данным онлайн. Однако существует несколько мер, которые вы можете предпринять, чтобы предотвратить доступ преступников к вашей наиболее ценной информации в LinkedIn:

  • Настройте параметры конфиденциальности LinkedIn

LinkedIn предлагает различные опции для ограничения информации, доступной тем, кто находится за пределами ваших кругов общения. Вам следует применять аналогичные меры и на других сайтах социальных сетей, но это может быть особенно важно в LinkedIn. Обратитесь к нашей статье о том, как безопасно пользоваться LinkedIn, где мы рассмотрели этот и другие аспекты безопасности на платформе.

  • Ограничьте объем информации в своем профиле

Как платформа социальных сетей, LinkedIn предоставляет инструменты для налаживания контактов и поиска работы, но рассмотрите возможность приоритетного общения через саму платформу и избегайте обмена внешними контактными данными.

  • Не принимайте запросы на добавление в друзья без разбора

На платформе много ботов и поддельных профилей, поэтому проверяйте подлинность каждого запроса на добавление в друзья, прежде чем принимать его. Также будьте осторожны при ответе на сообщения в LinkedIn, особенно если они запрашивают вашу личную информацию или отправляют вам ссылки или вложения.

  • Регулярно просматривайте список своих контактов

Учитывая распространенность поддельных профилей, регулярно просматривайте свой список контактов и удаляйте подозрительные.

  • Будьте осторожны при публикации обновлений профиля

Возможно, вам не всегда нужно обновлять свой рабочий статус сразу же после изменения ситуации и сообщать об этом всему миру. Преступники могут отслеживать такие изменения и использовать ваше ограниченное знание новой рабочей среды или ситуации для отправки вам вредоносных электронных писем или текстовых сообщений.

Повторимся, обязательно проверьте настройки конфиденциальности своего профиля, чтобы контролировать, кто может видеть вашу контактную информацию, и тем самым минимизировать риск нежелательных контактов или утечек конфиденциальности. LinkedIn — это ценная социальная медиа-платформа, но крайне важно найти баланс между налаживанием контактов и защитой вашей личной информации.

СОПУТСТВУЮЩЕЕ ЧТЕНИЕ:

Пошаговое руководство по безопасному использованию LinkedIn

Поддельные друзья и подписчики в социальных сетях — и как их распознать

Социальные сети на рабочем месте: что можно и чего нельзя делать сотрудникам в плане кибербезопасности

Читать полный анализ на WeLiveSecurity →