LinkedIn est toujours la plateforme sociale la plus fiable selon le rapport 2020 sur la confiance numérique. Il s'est régulièrement classé numéro 1, devant d'autres géants des médias sociaux comme Facebook et Twitter, pendant des années.
Selon de nombreux consommateurs, la plate-forme de la communauté mondiale des affaires est celle que les gens sont le plus confiants dans le stockage sécurisé de leurs données privées. Mais jusqu'à quel point pouvez-vous vraiment faire confiance à LinkedIn ?
LinkedIn n'est pas à l'abri des fuites de données. En fait, une brèche monstrueuse en 2012, d'abord supposée avoir divulgué 6,5 millions d'informations d'identification de compte, s'est avérée bien pire.
La fuite initiale contenant 6,5 millions de mots de passe de compte a été initialement publiée sur un forum russe sur la cybercriminalité en 2012. LinkedIn a confirmé la violation et a encouragé les utilisateurs à changer leurs mots de passe. Mais des années plus tard, ils ont découvert que ce n'était que la pointe de l'iceberg.
En 2016, un hacker nommé "Peace" a colporté le reste des identifiants LinkedIn volés sur le dark web. Le pirate a affirmé avoir eu les informations de 167 millions d'utilisateurs de LinkedIn. Il a été signalé que 90 % des mots de passe non salés ont été piratés dans les 72 heures.
Outre la fuite massive de données, LinkedIn est devenu l'un des favoris des cybercriminels, car les profils contiennent une mine d'informations sur les organisations.
Et comme de nombreux utilisateurs font tellement confiance à LinkedIn, ils incluent des détails très spécifiques sur leur carrière dans leurs profils. Cela facilite la création de toutes sortes de campagnes de phishing ciblant les personnes et les entreprises.
De nombreuses escroqueries par hameçonnage se font en dehors de la plateforme. Les gangs font semblant de travailler pour LinkedIn et rédigent des e-mails, avec le logo de LinkedIn, pour voler des informations aux utilisateurs.
Ces e-mails contiennent généralement un lien vers un faux site Web conçu pour collecter vos informations ou télécharger des logiciels malveillants sur votre appareil.
Ne cliquez pas sur les liens dans les e-mails . En cas de doute, connectez-vous à votre compte à l'aide d'un autre onglet, navigateur ou appareil.
Outre les alertes de sécurité habituelles qui vous avertissent d'une tentative de connexion à partir d'un appareil inconnu, il y a le faux e-mail de phishing vous demandant de confirmer votre adresse e-mail.
Ceux-ci indiquent souvent que la plate-forme a été mise à jour et que vous devez valider votre compte. Vous recevrez un lien et vous serez invité à valider le compte dans les 72 heures ou "LinkedIn fermera les comptes non confirmés".
Mais le lien ne mène pas à un site LinkedIn :vous pouvez le voir lorsque vous le survolez avec votre souris.
Il existe également un e-mail de phishing qui vous avertit que LinkedIn désactive votre compte en raison de son inactivité.
Les e-mails de phishing de LinkedIn peuvent même contenir de fausses demandes. Vous recevrez un e-mail vous informant d'une demande de contact émanant d'une personne sur LinkedIn.
Il comprendra un bouton qui devrait vous permettre d'approuver la demande ; passez la souris dessus et vous verrez qu'il renvoie vers un site extérieur à LinkedIn.
Certaines escroqueries sophistiquées utilisent l'usurpation d'URL pour rendre le lien plus légitime. Cela vaut donc la peine de répéter : ne cliquez pas sur les liens dans les e-mails . Toutes les demandes réelles vous attendront lorsque vous vous connecterez à l'authentique LinkedIn.
Les types d'escroqueries les plus néfastes sont lancés par des opérateurs qui infiltrent la plateforme. Ils créent de faux profils, envoient des demandes de contact et communiquent via la messagerie LinkedIn ou LinkedIn InMail.
Beaucoup d'entre eux sont couronnés de succès car il est toujours facile de créer un faux profil sur LinkedIn et les gens font confiance à la plate-forme, ils supposent donc automatiquement que tout le monde est légitime.
Les escroqueries les plus courantes effectuées dans l'application sont les escroqueries à l'emploi. Étant donné que LinkedIn est souvent utilisé pour rechercher des emplois, les pirates exploitent leur désespoir en se faisant passer pour de faux recruteurs.
Ils créeront un faux profil, contacteront les demandeurs d'emploi par InMail ou par message, puis proposeront des emplois bien rémunérés qui nécessitent peu de travail.
Certains étudient votre profil et vous proposent des emplois en fonction de vos références pour rendre l'arnaque plus efficace. L'une des escroqueries les plus courantes offre aux utilisateurs la possibilité d'être un client mystère ou un assistant personnel travaillant à domicile.
La plupart vous envoient un lien vers un faux site conçu pour récolter vos informations.
D'autres contrefaçons vous demandent de télécharger une pièce jointe avec ce qui est censé être la description complète du poste. D'autres diront que la pièce jointe est un formulaire de demande que vous devez remplir et renvoyer. Une fois que vous aurez ouvert la pièce jointe, des logiciels malveillants seront téléchargés sur votre système.
Certaines de ces escroqueries à l'emploi peuvent être si élaborées et convaincantes que les gens finissent par perdre des milliers de dollars.
L'escroquerie du client mystère, par exemple, fonctionne en envoyant à un utilisateur LinkedIn sans méfiance un message lui proposant un emploi en tant que client secret.
Les escrocs envoient ensuite un chèque que les victimes doivent déposer sur leur compte bancaire. On leur demandera de déduire leur commission et d'utiliser le reste pour acheter des cartes rechargeables et des cartes-cadeaux ou pour tester le service de transfert d'argent en magasin.
Les escrocs demandent à la victime d'envoyer une partie de l'argent qu'elle a déposé via le service Western Union ou MoneyGram en magasin. S'il leur a été demandé d'acheter des cartes-cadeaux, ils devront envoyer les numéros sur les cartes.
Avance rapide jusqu'à quelques jours plus tard, la victime recevra un message de sa banque lui indiquant que le chèque qu'elle a déposé était faux et que l'argent sera récupéré sur le compte.
Les cybercriminels créent également de faux profils pour étudier vos identifiants et ceux de vos contacts en vue d'une campagne de phishing ciblée.
De telles campagnes telles que le harponnage, la chasse à la baleine et l'hameçonnage frauduleux du PDG sont plus compliquées que vos e-mails frauduleux ordinaires. Ceux-ci sont ciblés pour les rendre plus efficaces et les pirates devront étudier l'organisation ou la personne avant l'attaque.
L'un des moyens les plus simples d'obtenir des informations sur une organisation et ses employés consiste à étudier les profils LinkedIn. Et en acceptant une demande de contact d'un pirate, vous lui donnez accès à des informations sur votre profil et vos contacts.
Être votre contact les rend également légitimes et dignes de confiance.
Il existe des signes révélateurs qu'un profil peut être faux, notamment le fait qu'il contient très peu d'informations et trop peu de contacts (généralement moins ou un peu plus de 100).
Un autre signe est d'avoir un engagement nul ou très faible. Vous pouvez consulter les recommandations de son profil pour voir ce que d'anciens collègues ont à dire sur la personne... ou s'il a d'anciens collègues.
Vous pouvez consulter la section "Activité" de leur profil pour voir les publications, les engagements, les commentaires et les interactions passés avec d'autres utilisateurs. Le manque d'interaction sera souvent un signe que personne d'autre ne connaît cette personne ou que le profil est nouveau.
Certains n'auront aucune photo du tout, mais la plupart en auront une volée, parfois sur des sites d'images de stock. Pour vérifier si la photo a été prise ailleurs en ligne, vous pouvez effectuer une recherche d'image inversée rapide. Voici une liste utile d'applications et de sites qui vous aideront à le faire.
Après la violation de 2012, LinkedIn a déployé quelques fonctionnalités de sécurité pour aider à protéger les données de ses utilisateurs. Avant la violation, LinkedIn utilisait un système de base de données de mots de passe avec des hachages simples qui étaient facilement déchiffrés. Ils sont donc passés à un système qui hachait et salait les mots de passe.
Ils ont rapidement activé l'authentification à deux facteurs (2FA), permettant aux utilisateurs de contrecarrer les tentatives de connexion non autorisées avec un code supplémentaire qu'ils doivent saisir.
Un onglet de sécurité supplémentaire permet aux utilisateurs de voir leurs sessions actives. Grâce à cette fonctionnalité, les utilisateurs peuvent vérifier les appareils actuellement connectés à leur compte LinkedIn, y compris les détails sur l'appareil, c'est-à-dire l'emplacement approximatif, le navigateur, le système d'exploitation et l'adresse IP. Vous pouvez vous déconnecter de n'importe lequel si vous ne le reconnaissez pas.
LinkedIn a également introduit la fonctionnalité de blocage des utilisateurs. Grâce à cela, vous pouvez choisir de masquer les profils et de ne plus recevoir de messages (et de spams embêtants) de certains utilisateurs.
Pour protéger les utilisateurs contre les campagnes de phishing, LinkedIn utilise désormais un service back-end qui analyse tout le contenu généré par les utilisateurs à la recherche de logiciels malveillants, de phishing et d'autres contenus dangereux. Ils exécutent leur algorithme de détection d'URL sur de gros morceaux de texte pour vérifier les URL.
Outre le détecteur d'URL, LinkedIn utilise un système de détection de faux comptes qui identifie les profils contrôlés par des pirates. Les nouvelles tentatives d'enregistrement d'utilisateurs sont évaluées par un modèle appris par machine qui empêche la création de faux comptes en masse. La plupart des campagnes de cybercriminalité impliquent la création de plusieurs faux comptes et ils sont interceptés par le système.
De plus petits lots de faux comptes sont filtrés à l'aide d'autres méthodes, y compris l'intervention humaine. Les utilisateurs peuvent signaler une activité suspecte sur le site ou des profils sommaires.
Comme toute autre plate-forme de médias sociaux, LinkedIn n'est pas à l'abri des fuites de données et des attaques des cybercriminels. Même avec des mesures de sécurité en place, certaines attaques peuvent ne pas être détectées par les systèmes de LinkedIn, et c'est à vous de vous protéger.
Vérifiez vos paramètres de sécurité, activez 2FA et passez en revue les profils avant d'accepter les invitations à vous connecter. Ce n'est pas parce que c'est censé être le site des professionnels que vous pouvez baisser votre garde.
