Banyaknya profil LinkedIn palsu menempatkan HR melawan bot – Krebs di Keamanan

Penyebaran profil eksekutif palsu baru-baru ini di LinkedIn Ini menciptakan semacam krisis identitas untuk situs web jaringan bisnis dan perusahaan yang mengandalkannya untuk merekrut dan menyaring karyawan potensial. Identitas LinkedIn palsu—yang menautkan gambar profil yang dihasilkan oleh kecerdasan buatan ke teks dari akun yang sah—menciptakan masalah besar bagi departemen SDM perusahaan dan bagi mereka yang mengelola grup LinkedIn khusus undangan.

Minggu lalu, KrebsOnSecurity memeriksa Sebuah torrent profil LinkedIn non-asli Semua menuntut peran Chief Information Security (CISO) di berbagai perusahaan Fortune 500, termasuk BiogenDan tanda pangkatDan ExxonMobilDan Hewlett Packard.

Sejak itu, tanggapan dari pengguna dan pembaca LinkedIn telah memperjelas bahwa profil palsu ini muncul secara kolektif untuk hampir semua peran eksekutif – tetapi terutama untuk pekerjaan dan industri yang berdekatan dengan peristiwa dunia terkini dan tren berita.

Hamish Taylor jalankan Spesialis keberlanjutan Grup di LinkedIn, yang memiliki lebih dari 300.000 anggota. Bersama dengan pemilik bersama grup, Taylor mengatakan bahwa mereka melarang Lebih dari 12.700 dugaan profil palsu sepanjang tahun initermasuk lusinan novel terbaru yang digambarkan Taylor sebagai “upaya satir untuk memanipulasi pakar kemanusiaan dan bantuan krisis”.

“Kami menerima lebih dari 500 permintaan profil palsu untuk bergabung setiap minggu,” kata Taylor. “Neraka telah melanda sejak sekitar Januari tahun ini. Sebelum itu kami tidak mendapatkan segerombolan palsu yang kami lihat sekarang.”

Slide pembuka dari seruan Taylor Group kepada LinkedIn.

Taylor baru-baru ini memposting posting LinkedIn berjudul “Krisis Identitas Palsu LinkedIn, yang mengejek “60 Pakar Bantuan Krisis yang Paling Tidak Dicari” – profil palsu yang mengaku ahli dalam upaya pemulihan bencana setelah badai baru-baru ini. Gambar di atas dan di bawah hanya menunjukkan satu kelompok profil yang diidentifikasi oleh grup sebagai tidak asli. Hampir semua profil ini telah dihapus dari LinkedIn setelah KrebsOnSecurity men-tweet tentang mereka minggu lalu.

“Segerombolan” akun bot LinkedIn lainnya yang diidentifikasi oleh grup Taylor.

Mark Miller adalah pemiliknya DevOps. grup Di LinkedIn, dia mengatakan dia berurusan dengan profil palsu setiap hari – seringkali ratusan sehari. Apa yang disebut Taylor sebagai “kawanan” akun palsu yang digambarkan Miller sebagai “gelombang” permintaan dari akun palsu.

“Ketika robot mencoba menyusup ke dalam kelompok, ia melakukannya secara bergelombang,” kata Miller. “Kami akan melihat 20-30 permintaan yang datang dengan jenis informasi yang sama di profil.”

Setelah memfilmkan gelombang permintaan profil palsu yang dicurigai, Miller mulai mengirim foto ke tim penyalahgunaan LinkedIn, yang mengatakan kepadanya bahwa mereka akan meninjau permintaannya tetapi mungkin tidak diberitahu tentang tindakan apa pun yang diambil.

Beberapa profil bot yang diidentifikasi oleh Mark Miller sedang mencari akses ke grup LinkedIn DevOps miliknya. Semua profil ini terdaftar dalam urutan kemunculannya, kata Miller.

Miller mengatakan bahwa setelah berbulan-bulan mengajukan keluhan dan berbagi informasi profil palsu dengan LinkedIn, jaringan media sosial tampaknya melakukan sesuatu yang menyebabkan volume permintaan keanggotaan grup dari akun palsu turun drastis.

“Saya menulis surat kepada perwakilan LinkedIn kami dan mengatakan kami sedang mempertimbangkan untuk menutup grup karena botnya sangat buruk,” kata Miller. “Saya berkata, ‘Anda harus melakukan sesuatu di bagian belakang untuk mencegah hal ini. “

Jason Lathrop Dia adalah Wakil Presiden Teknologi dan Operasi di ISOoutsource, sebuah perusahaan konsultan yang berbasis di Seattle dengan sekitar 100 karyawan. Seperti Miller, pengalaman Lathrop melawan profil bot di LinkedIn menunjukkan bahwa raksasa jejaring sosial itu pada akhirnya akan menanggapi keluhan tentang akun yang tidak asli. Artinya, jika pengguna yang terpengaruh mengeluh cukup keras (mempostingnya secara publik di LinkedIn tampaknya membantu).

Sekitar dua bulan lalu, kata Lathrop, perusahaan melihat gelombang pengikut baru, dan mengidentifikasi lebih dari 3.000 pengikut yang semuanya berbagi item yang berbeda, seperti gambar profil atau deskripsi teks.

“Kemudian saya perhatikan bahwa mereka semua mengaku bekerja dengan kami dengan judul acak di dalam organisasi,” kata Lathrop dalam sebuah wawancara dengan Krebs on Security. “Ketika kami mengeluh ke LinkedIn, mereka memberi tahu kami bahwa profil ini tidak melanggar pedoman komunitas mereka. Tapi sebenarnya tidak! Orang-orang ini tidak ada, dan mereka mengklaim bahwa mereka bekerja untuk kami!”

Lathrop mengatakan bahwa setelah keluhan ketiga perusahaannya, perwakilan LinkedIn menanggapi dengan meminta ISOutsource untuk mengirim daftar spreadsheet setiap karyawan sah perusahaan, dan tautan profil terkait mereka.

Tak lama kemudian, profil palsu yang tidak ada dalam daftar perusahaan dihapus dari LinkedIn. Lathrop mengatakan dia masih tidak yakin bagaimana mereka akan menangani membiarkan karyawan baru masuk ke perusahaan mereka di LinkedIn di masa depan.

Masih belum jelas mengapa LinkedIn muncul Dibanjiri banyak profil palsu akhir-akhir iniAtau bagaimana gambar profil palsu diperoleh. Pengujian acak dari gambar profil menunjukkan bahwa mereka serupa tetapi tidak identik dengan gambar lain yang diposting di Internet. Beberapa pembaca telah menunjuk ke satu sumber yang mungkin – situs web thispersondoesnotexist.com, yang menjadikan penggunaan kecerdasan buatan untuk membuat headshots unik sebagai latihan tunjuk dan klik.

perusahaan keamanan siber Mandiant (Baru-baru ini diakuisisi oleh Google) Beritahu Bloomberg Peretas yang bekerja untuk pemerintah Korea Utara menyalin resume dan profil dari platform daftar pekerjaan terkemuka LinkedIn dan, pada kenyataannya, sebagai bagian dari skema rumit untuk mendapatkan pekerjaan di perusahaan crypto.

Profil palsu juga dapat dikaitkan dengan apa yang disebut Trik “Pembantaian Babi”di mana orang-orang terpikat oleh orang asing yang genit secara online untuk berinvestasi dalam pertukaran mata uang kripto yang pada akhirnya menyita dana apa pun ketika para korban mencoba untuk menguangkan.

Selain itu, pencuri identitas telah diidentifikasi Untuk menyamar di LinkedIn sebagai karyawan untuk pekerjaandan mengumpulkan informasi pribadi dan keuangan dari orang-orang yang tertipu oleh penipuan perekrutan.

Tetapi Taylor, direktur kelompok keberlanjutan, mengatakan bot yang melacak mereka secara aneh tidak menanggapi pesan, dan mereka tampaknya tidak mencoba memposting konten.

Taylor menilai, “Mereka jelas tidak diawasi.” “Atau mereka hanya diciptakan dan kemudian dibiarkan membusuk.”

Pengalaman ini dibagikan oleh manajer grup DevOp, Miller, yang mengatakan bahwa dia juga mencoba memikat profil palsu dengan pesan yang menunjukkan kepalsuan mereka. Miller mengatakan dia khawatir seseorang dapat membuat jaringan sosial bot yang besar untuk beberapa serangan di masa depan di mana akun bot dapat digunakan untuk memperkuat informasi yang salah secara online, atau setidaknya mendistorsi kebenaran.

“Ini seperti seseorang sedang membangun jaringan bot yang besar, jadi ketika ada pesan besar yang perlu keluar, mereka bisa memposting massal dengan semua profil palsu ini,” kata Miller.

Dalam cerita minggu lalu tentang topik tersebut, saya menyarankan agar LinkedIn mengambil satu langkah sederhana yang membuatnya sangat mudah bagi orang untuk membuat keputusan yang tepat tentang mempercayai profil tertentu: menambahkan tanggal “dibuat” ke setiap profil. Twitter melakukan ini, dan ini sangat berguna untuk menyaring banyak gangguan dan komunikasi yang tidak diinginkan.

Beberapa pembaca kami di Twitter mengatakan LinkedIn perlu memberi lebih banyak alat kepada pemberi kerja – mungkin semacam API – yang akan memungkinkan mereka dengan cepat menghapus profil yang secara salah mengklaim bekerja di organisasi mereka.

Pembaca lain menyarankan bahwa LinkedIn juga dapat mencoba menawarkan sesuatu yang mirip dengan tag Twitter terverifikasi kepada pengguna yang memilih untuk memverifikasi bahwa mereka dapat membalas email di domain yang terkait dengan perusahaan yang mereka iklankan saat ini.

Menanggapi pertanyaan dari KrebsOnSecurity, LinkedIn mengatakan sedang mempertimbangkan ide verifikasi domain.

“Ini adalah tantangan berkelanjutan dan kami terus berupaya meningkatkan sistem kami untuk menghentikan produk palsu sebelum muncul secara online,” kata LinkedIn dalam sebuah pernyataan tertulis. “Kami menghentikan sebagian besar aktivitas penipuan yang kami deteksi di komunitas kami – sekitar 96% akun palsu dan sekitar 99,1% spam dan penipuan. Kami juga mencari cara baru untuk melindungi anggota kami seperti memperluas verifikasi domain email. Komunitas kami berkisar pada orang-orang nyata yang melakukan percakapan, bertujuan dan selalu untuk meningkatkan legitimasi dan kualitas masyarakat kita.”

di Sebuah cerita yang diterbitkan pada hari RabuBloomberg mencatat bahwa LinkedIn sejauh ini sebagian besar menghindari skandal seputar bot yang telah menjangkiti jaringan seperti Facebook dan Twitter. Tetapi kilau itu mulai membuahkan hasil, karena lebih banyak pengguna terpaksa membuang lebih banyak waktu mereka untuk melawan akun yang tidak asli.

“Yang jelas, profil LinkedIn sebagai jejaring sosial untuk profesional yang serius menjadikannya platform yang ideal untuk meninabobokan anggota ke dalam rasa aman yang salah,” Tim Kiplan menulis. “Memperburuk risiko keamanan adalah banyaknya data yang dikumpulkan dan diterbitkan LinkedIn, yang menopang seluruh model bisnisnya tetapi tidak memiliki mekanisme verifikasi yang kuat.”