مجلة عالم التكنولوجيا
مجلة تكنولوجية شاملة

كيف يمكنك تجنب فخ التصيد الاحتيالي على LinkedIn؟

35

عالم التكنولوجيا     ترجمة 

 

يُغير مجرمو الإنترنت دائمًا تكتيكاتهم من أجل تحقيق أهدافهم. ومع التصيد الاحتيالي يتمثل الهدف في جمع بيانات الاعتماد المصرفية أو أرقام بطاقات الائتمان أو الوصول إلى رسائل البريد الإلكتروني من المستخدمين؛ ما يسمح لهم بإجراء عمليات احتيال أكثر تعقيدًا، مثل عملية الاحتيال سيئة السمعة المتعلقة بالبريد الإلكتروني للأعمال، والتي أثرت في العديد من الشركات لعدة سنوات.

والآن تتضمن بعض عمليات التصيد الاحتيالي هندسة اجتماعية متقدمة. وتُعد إساءة استخدام موقع LinkedIn أحد تلك الأساليب الفعالة للغاية؛ لأن الكثير من المهنيين يستخدمون LinkedIn ويعتمدون عليه في أنشطتهم أو علاقات العمل.

يذكر أن LinkedIn هو موقع على شبكة الإنترنت يُصنف ضمن الشبكات الاجتماعية، وقد تأسس في ديسمبر عام 2002 وبدأ التشغيل الفعلي في 5 مايو 2003. ويُستخدم الموقع أساسًا كشبكة تواصل مهنية. وفي يونيو 2012 بلغ عدد المسجلين في الموقع أكثر من 176 مليون عضو من أكثر من 200 دولة.

والموقع متوفر بـ 24 لغة عالمية؛ منها: العربية والإنجليزية والفرنسية والألمانية والإسبانية والبرتغالية والروسية والتركية واليابانية.

وبحسب بيان من شركة “كوانتكاست” في شهر أكتوبر 2012 فإن LinkedIn يزوره شهريًا أكثر من 42.7 مليون زائر من داخل أمريكا، وأكثر من 117.2 مليون زائر من أنحاء العالم. وفي مايو 2011 بدأت أسهم LinkedIn التداول في بورصة نيويورك.

وفي 13 يونيو 2016 قامت شركة مايكروسوفت بالاستحواذ على LinkedIn في صفقة بلغت 26 مليار دولار.

ويسمح LinkedIn للأعضاء (العمال وأصحاب العمل) بإنشاء ملفات تعريف واتصالات ببعضهم البعض في شبكة اجتماعية عبر الإنترنت قد تمثل علاقات مهنية في العالم الحقيقي. كما يمكن للأعضاء دعوة أي شخص (سواء كان عضوًا حاليًا أم لا) ليصبح رابطًا.

 

LinkedIn ورسائل البريد الإلكتروني التصيدية

أوضح منشور حديث لشركة الأمن السيبراني Kaspersky بعض الأمثلة على هذا النوع من رسائل البريد الإلكتروني المخادعة، وهي:

أولًا: تتكون الرسالة الأولى من رسالة بريد إلكتروني يفترض أنها قادمة من موقع LinkedIn، لكنها في الواقع مزورة وتأتي من مجرم إنترنت.

وتم تنفيذ المحتوى بشكل جيد، ولكن ما يجب أن يثير الشك ويكشف عن أن محتوى البريد الإلكتروني هذا مزيف هو عنوان المرسل، الذي لا علاقة له بـ LinkedIn؛ إذ تستخدم رسائل البريد الإلكتروني الشرعية من الشبكة الاجتماعية دائمًا المجال linkedin.com.

ثانيًا: بمجرد النقر على رسالة البريد الإلكتروني المزيفة يقود الرابط المستخدم المطمئن إلى صفحة تصيد مستضافة على عنوان URL مختلف تمامًا عن العنوان الشرعي.

وبمجرد قيام المستخدم بإدخال بيانات اعتماده في هذه الصفحة، تنتهي اللعبة، فسوف يتمكن مجرمو الإنترنت من استخدام حساب المستخدم كما يحلو لهم.

ثالثًا: تحذر شركة Kaspersky أيضًا من رسائل البريد الإلكتروني المخادعة التي تسيء استخدام LinkedIn؛ ما يؤدي إلى محتوى مختلف تمامًا.

لكن أغرب شيء يحدث للمستخدم الذي يقرر النقر فوق الارتباط أنه لا يتم توجيهه إلى صفحة تسجيل دخول مزيف يُفترض أنه من LinkedIn ولكن إلى استطلاع مالي عبر الإنترنت. في هذا النوع من الاحتيال يتم إغراء المستخدم بملء استبيان صغير قبل تقديم معلومات عن نفسه، بما في ذلك رقم الهاتف والذي يمكن استخدامه لارتكاب عمليات احتيال أخرى.

 

– الجرائم المالية من التصيد الاحتيالي على LinkedIn

تتم معظم محاولات التصيد الاحتيالي والهندسة الاجتماعية التي تسيء استخدام شبكة LinkedIn المهنية لأغراض الجرائم المالية.

ويتم إجراء بعض عمليات التصيد الاحتيالي لجمع بيانات اعتماد LinkedIn مباشرة، أو لإغراء المستخدم بتقديم بيانات اعتماد أخرى، مثل البريد الإلكتروني الشخصي أو الخاص بالشركة أو حتى رقم الهاتف أو معلومات بطاقة الائتمان.

وبمجرد حصولهم على معلومات بطاقة الائتمان يمكنهم استخدام البطاقة أو بيعها عبر الإنترنت. عندما يتمكنون من الوصول إلى عنوان البريد الإلكتروني الخاص بشخص ما يمكنهم استخدامه لعمليات احتيال أكثر تقدمًا، مثل انتحال شخصية الشخص لخداع بعض الأصدقاء لإرسال الأموال، أو البحث عن رسائل البريد الإلكتروني المخزنة للوصول بشكل أكبر إلى خدمات أخرى، أو الحصول على معلومات خاصة يمكن بيعها بسهولة، مثل معلومات جواز السفر.

ويُعد امتلاك حق الوصول إلى حساب الشركة أمرًا مثيرًا للحيوية للمهاجم ذي الدوافع المالية، فقد يجد معلومات ليبيعها أو معلومات كافية لإنشاء عملية احتيال حقيقية.

كيف يمكنك تجنب الوقوع فريسة لفخ التصيد الاحتيالي على LinkedIn؟
كيف يمكنك تجنب الوقوع فريسة لفخ التصيد الاحتيالي على LinkedIn؟

 

 

– الملفات الشخصية المزيفة على LinkedIn المستخدمة في التجسس الإلكتروني

في السنوات الأخيرة كانت هناك العديد من الأمثلة على جهات فاعلة حقيقية للتجسس الإلكتروني تسيء استخدام LinkedIn للتواصل مع موظفي الشركات التي يريدون التنازل عنها.

على سبيل المثال لا الحصر: في يونيو 2020 كشفت شركة ESET السلوفاكية لأمن الإنترنت عن هجمات إلكترونية ضد شركات طيران وشركات عسكرية في أوروبا والشرق الأوسط. وفي عملية التجسس الإلكتروني تلك استخدم ممثل التهديد الهندسة الاجتماعية القائمة على LinkedIn لإنشاء موطئ قدم قبل نشر البرامج الضارة.

في هذه الحالة أنشأ المهاجمون ملفًا شخصيًا مزيفًا على LinkedIn واستخدموه للتواصل مع الموظفين في الشركات التي أرادوا استهدافها. بمجرد بدء الحديث سيقومون بهندسة الضحايا اجتماعيًا لإطلاق برامج ضارة لتهديد الشركة.

في حالة أخرى كشف تحقيق أجرته وكالة “أسوشيتيد برس” عن استخدام صورة تم إنشاؤها بواسطة الذكاء الاصطناعي في ملف شخصي مزيف على موقع LinkedIn تحت اسم “كاتي جونز”، والتي استهدفت العديد من الملفات الشخصية لمراكز الأبحاث.

 

– كيف تكتشف التصيد الاحتيالي على LinkedIn والملفات الشخصية المزيفة؟

قد يكون من الصعب اكتشاف التصيد الاحتيالي على LinkedIn لأن بعض رسائل البريد الإلكتروني الخاصة بالتصيد الاحتيالي قد تبدو مقنعة للغاية؛ لذا كيف يمكنك اكتشاف التصيد الاحتيالي على LinkedIn؟

  • انظر إلى معلومات المرسل، يجب أن يأتي من عنوان بريد إلكتروني موجود على موقع com. ومع ذلك فهذا لا يعني أن المحتوى ليس مزيفًا.
  • ابحث عن الأخطاء الإملائية في سطر الموضوع ونص البريد الإلكتروني.
  • انظر إلى الرابط الذي تريد النقر فوقه للمضي قدمًا. إذا كان ينقلك إلى عنوان URL لا يستخدم المجال com فهو تصيد احتيالي.
  • إذا كان يحتوي على ملف مرفق فهو مزيف، فلن يرسل لك LinkedIn ملفات. من المحتمل أن يكون الملف الذي سيصيب جهاز الكمبيوتر الخاص بك إذا تم فتحه.
  • في جميع الحالات إذا كنت تشك في شيء ما فتجاهل البريد الإلكتروني وافتح متصفحك وادخل إلى LinkedIn بالطريقة المعتادة. يمكنك بعد ذلك رؤية ما يحدث في واجهة المستخدم والتعامل معها بأمان.

 

– ماذا عن الملفات الشخصية المزيفة على LinkedIn؟

  • تحقق من كل ملف التعريف: هل هناك تناقضات أو معلومات غريبة؟
  • تحقق من جهات الاتصال أو عدد جهات الاتصال. إذا كان الرقم منخفضًا جدًا فقد يكون ملفًا شخصيًا تم إنشاؤه حديثًا تم إعداده للاحتيال.

وإذا كانت لديك شكوك وكنت مهتمًا حقًا بالرسالة فلا تتردد في الاتصال بالمكتب الرئيسي في الشركة، واسأل عن الشخص. فإذا أكدوا لك أن الشخص موجود في الشركة اتصل بالشخص على الهاتف وتأكد من أنه بالفعل الشخص الذي أرسل لك الرسالة.

في النهاية تذكر أن المجرمين الإلكترونيين يمكنهم أيضًا اختراق حسابات LinkedIn واستخدامها؛ لذلك من المهم الحصول على تأكيد عبر قناة اتصال أخرى عند تلقي رسائل غريبة على LinkedIn.

 

المصدر:

Don’t fall for LinkedIn phishing: How to watch for this credential-stealing attack

 

اقرأ آيضًا:

كيف يمكنك حذف حسابك على LinkedIn أو إلغاء تنشيطه مؤقتًا؟

 

الرابط المختصر :
close

مرحبا 👋

سعداء بالتواصل معكم
قم بالتسجيل ليصلك كل جديد

نحن لا نرسل البريد العشوائي! اقرأ سياسة الخصوصية الخاصة بنا لمزيد من المعلومات.

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.