Atenção: Schemers usam as contas dos seus contatos do LinkedIn para enviar mensagens de phishing
Você provavelmente já sabe que nunca deve interagir com mensagens enviadas por remetentes desconhecidos, mas o que você faz quando alguém dos seus contatos envia um link ou um arquivo e pede para visualizá-lo? Se você quer estar seguro, é melhor reservar um momento para considerar se esperava receber esse conteúdo e se é normal que o remetente o envie. Caso contrário, você poderá abrir arquivos maliciosos ou visitar sites de phishing. Embora nenhum de seus contatos queira colocá-lo nessa situação, de propósito, os cibercriminosos que podem invadir as contas de seus amigos ou colegas certamente o desejariam. Como você vê, os especialistas em segurança cibernética foram notificados sobre uma mensagem de phishing no LinkedIn que foi enviada a partir de uma conta hackeada de um usuário que estava próximo da vítima alvo. Se você ainda não ouviu essas mensagens, convidamos você a ler nossa postagem no blog e aprender mais sobre esse golpe do LinkedIn.
Índice
Como esse golpe do LinkedIn funciona?
Os primeiros a examinar uma das mensagens do golpe do LinkedIn foram os pesquisadores da Naked Security que foram notificados pelo colega. Depois de dar uma olhada, os especialistas confirmaram que a mensagem foi enviada por um criminoso cibernético que estava se passando pelo proprietário da conta invadida. O texto foi amigável, mas breve, pois o remetente simplesmente explicou que estava enviando um documento compartilhado via OneDrive.
O endereço URL do link anexado começou com www.businessinsight , o que pode parecer que o link deve levar a um site legítimo. Portanto, se um usuário, que recebe uma mensagem de phishing no LinkedIn, não a inspecionar mais, pode não ver nada de suspeito. Afinal, essas mensagens parecem vir de amigos, colegas ou outras pessoas com as quais o usuário alvo pode estar em contato com frequência suficiente para fazer com que a mensagem de phishing no LinkedIn pareça normal.
No entanto, uma inspeção mais aprofundada do link revelou que ele não leva ao business-insight.net , mas a um site de phishing. Como a última parte do endereço URL do link enviado foi / office365 , os especialistas suspeitam que o site dos hackers pode ter carregado uma cópia da página de login do Microsoft Office365 . Os pesquisadores não podem ter cem por cento de certeza disso porque o link foi bloqueado durante os testes, e tudo o que viram foi a página não encontrada . No entanto, duvidamos que essa tenha sido a última tentativa dos cibercriminosos de enganar os usuários do LinkedIn, e é por isso que recomendamos ter um cuidado extra se você tiver uma conta nesta plataforma.
Como se proteger de golpes e ataques do LinkedIn?
O motivo pelo qual a pessoa que denunciou o golpe do LinkedIn não interage com a mensagem de phishing recebida no LinkedIn é que ele notou algo incomum. Não houve erros gramaticais ou quaisquer outros sinais usuais que possam indicar que a mensagem vem de golpistas. No entanto, ao contrário da pessoa que o hacker estava representando, ele usou o nome completo da pessoa ao assinar o texto. Uma maneira formal de assinar uma mensagem levantou suspeitas e a vítima alvo decidiu examiná-la.
Se você não quiser ser enganado a abrir links maliciosos ou arquivos recebidos via LinkedIn ou qualquer outra plataforma, sempre preste atenção até nos mínimos detalhes. Se você recebeu um arquivo ou um link que esperava obter de um de seus contatos, deve estar seguro. No entanto, se você receber uma mensagem com esse conteúdo do nada, entre em contato com o remetente por telefone ou outro sistema de mensagens e pergunte se ele escreveu a mensagem suspeita.
Além disso, existem mais precauções que você pode e deve tomar se receber arquivos ou links questionáveis. Caso seja um arquivo, é altamente recomendável digitalizá-lo com uma ferramenta antimalware legítima antes de abri-lo. Se suas suspeitas forem confirmadas, a ferramenta antimalware escolhida deve ajudá-lo a se livrar de dados potencialmente perigosos. Quanto aos links anexados, você deve sempre dar uma olhada no endereço de URL deles. Os sites de phishing geralmente contêm partes dos endereços URL das páginas legítimas da Web para torná-las inofensivas.
Ainda assim, em vez de assumir que o site é confiável, você deve inspecionar o link inteiro e procurar por partes aleatórias que possam não fazer sentido. Atenção especial deve ir para a última parte do link, pois mostra para onde você será redirecionado. Para ser mais preciso, um link de phishing pode conter o nome de uma empresa respeitável no início, mas a última parte do endereço de URL pode revelar que leva a uma página da Web que não tem nada a ver com o nome da empresa mencionado.
Como os cibercriminosos podem invadir as contas do LinkedIn?
Igual a qualquer outra conta, seu perfil do LinkedIn pode ser invadido se você estiver usando uma senha fraca ou comprometida. Atualmente, uma senha forte é uma combinação de pelo menos 10 a 12 caracteres que inclui letras maiúsculas e minúsculas, números e símbolos. Além disso, uma senha segura deve ser exclusiva. Isso significa que a mesma combinação não pode ser usada para várias contas. Se a senha da sua conta não corresponder a esses requisitos, ela poderá ser fraca.
E as senhas comprometidas? Normalmente, esse título é atribuído a códigos que podem ter sido expostos, por exemplo, durante uma violação de dados. Não importa se uma senha foi exposta apenas em uma plataforma ou site. Qualquer outra conta que use a mesma senha está em risco. Assim, uma vez que uma senha é violada, ela fica comprometida. Os cibercriminosos que possuem credenciais violadas podem procurar contas que usem os mesmos nomes de login e códigos de acesso em vários sites e plataformas. As senhas violadas também costumam ser vendidas na dark web, portanto, suas credenciais comprometidas podem ser usadas mais rapidamente do que você pensa.
Como proteger sua conta do LinkedIn?
Os usuários que não desejam que suas contas sejam usadas indevidamente para a fraude do LinkedIn ou ataques semelhantes devem primeiro garantir que estejam usando uma senha complexa que não tenha sido comprometida. Em outras palavras, você deve configurar uma senha única que nunca usou antes. Se você tem medo de esquecer uma senha complexa e não deseja passar pelo processo de recuperação de senha, recomendamos o uso de um gerenciador de senhas dedicado.
Por exemplo, o Cyclonis Password Manager pode gerar senhas exclusivas de até 32 caracteres e lembrar todas elas para você. Se você escolher, nosso aplicativo pode até fazer login automaticamente em suas contas para facilitar o acesso a elas. Você não precisa se preocupar com a segurança das credenciais de login, pois a ferramenta as armazena em um cofre criptografado. Além disso, oferece precauções extras de segurança, como autenticação de dois fatores e logout automático . Já mencionamos que é gratuito e funciona no Windows , Mac , Android e iOS ? Você pode aprender mais sobre os recursos que ele oferece aqui .
Além de criar uma senha forte para sua conta do LinkedIn, também recomendamos ativar a autenticação de dois fatores. Dessa forma, conhecer suas credenciais de login não será mais suficiente para invadir sua conta, pois a camada de segurança extra a protegerá. O LinkedIn tem algumas opções de autenticação para escolher e, se você precisar de ajuda para ativar esse recurso, siga as instruções fornecidas aqui .
Ataques como o golpe do LinkedIn nos lembram o quanto devemos ter cuidado com o conteúdo que pode parecer inofensivo à primeira vista. Além disso, casos como esse provam que os hackers não precisam necessariamente se interessar por suas informações pessoais. Os responsáveis por esse golpe do LinkedIn empregavam contas invadidas para abordar suas vítimas de uma maneira que não levantasse suspeitas. O que queremos dizer é que não há uma boa desculpa para hábitos de senha preguiçosos e, se você deseja estar seguro online, deve levar a sério a segurança da senha.
