Dünya

İş Arama Platformlarındaki Sahte İş İlanlarına Dikkat ! Kimlik Bilgilerinizin Peşinde Olabilirler


Dijital platformların kullanımı yaygınlaştıkça dolandırıcılar da bu platformlarda yeni yöntemler bulmaya devam ediyorlar. Son
dönemde  sıklıkla başvurulan yöntemlerden biriside sosyal mühendislik dolandırıcılığı olarak da adlandırılan iş ağı oluşturmayı amaçlayan platform olan Linkedin üzerinde sahte iş ilanı oluşturularak gerçekleştiriliyor.

Herkes, her işveren adına LinkedIn‘ de iş ilanı oluşturabilir. Linkedin’de bir iş ilanı oluşturmak için herhangi bir doğrulama gerekmiyor. Daha da kötüsü, işveren oluşturulan sahte iş ilanlarını kolayca kaldıramıyor. Saldırganlar bu ilanlar aracılığıyla iş başvurusu yapan kişilerin kişisel bilgilerini ve özgeçmişlerini toplayarak elde ettikleri verileri satmak veya dolandırıcılıkta kullanmak için bu sosyal mühendislik yöntemlerini kullanıyor.

Bu yöntem sadece yeni açılacak bir şirket adına oluşturulacak Linkedin sayfası aracılığıyla gerçekleşmemektedir. Örneğin Google şirketinin Linkedin sayfası savunmasız ise saldırganlar onlar adına bir iş ilanı verilebilmekte ve başvuranların kişisel bilgilerinin toplanabileceği bir web sitesine yönlendirecek parametreleri sahte iş ilanına ekleyebilmektedir. Başka bir web sitesine yönlendirmek yerine deneme e-posta hesapları da kullanılabilmekte ve bu yöntem başvuru sahiplerine ya da işverenlere herhangi bir şüpheli faaliyet izlenimi vermemektedir.

Bu açıklar nedeniyle son dönemde Linkedin ile ilgili spam e-postalarda artışlar gözlenmektedir. Kimi zaman gerçekliği doğrulanmış profillere ait  müşteri listeleri alıcılara satılmakta kimi zaman da bu müşteri verileri sahte profiller oluşturularak farklı bir dolandırıcılık yönteminde kullanılabilmektedir.

Linkedin aracılığıyla kullanılan bir diğer sosyal mühendislik yöntemi ise ağa katılma isteği şeklinde hazırlanmış e-postalarla yapılmaktadır. Bu yöntem klasik bir phishing(kimlik avı dolandırıcılığı) yöntemidir. İlgili e-postaya tıklandığında sahte linkedin adresine yönlendirme yapılmakta ve açılan pencerede girilen hesap bilgileri saldırganlar tarafından çalınmaktadır.

Bu tip bir olayla karşılaşıldığında Linkedin platformunun yardım sayfasından dolandırıcılık faaliyetlerinin bildirilmesi mümkündür. Linkedin kendi sayfasında yaygın olarak karşılaşılan dolandırıcılık yöntemlerinden olan “miras veya ön ödeme sahtekarlığı”, “iş ilanlarında dolandırıcılık”, “teknik destek dolandırıcılığı” ve “tanışma ve romantik ilişki kurma dolandırıcılığı” hakkında kullanıcılarını uyarmaktadır.

Ayrıca gerçek olamayacak kadar çekici görünen tekliflere, yazım veya dil bilgisi hataları içeren mesajlara, ilgili kişiye kişisel olarak gönderilmemiş mesajlara ve kişisel veya finansal bilgileri isteyen mesajlara karşı daha dikkatli olunmasını ve bu mesajların dolandırıcılık amacı taşımasının muhtemel olduğu konusunda uyarı yapılmaktadır. Dolandırıcılığa maruz kalındığında kolluk kuvvetlerine durumu bildirmek de önem arz etmektedir.

İşverenler bakımından ise şirketleri adına verilecek sahte iş ilanlarını önlemenin birtakım yolları bulunmaktadır. İşverenler Linkedin güvenlik ekibine e-posta göndererek yetkisiz kişilerden gelecek iş ilanı gönderilerinin engellenmesini ve yalnızca kendileri tarafından bildirilecek yetkili ekip üyelerinin iş ilanı göndermesine izin veren seçeneklerin etkinleştirilmesini talep edebilirler.

Bunun haricinde şirket içerisinde İK birimlerine şirketin sayfalarını periyodik olarak izleme görevi verilebilirler. Tabi burada Linkedin’e düşen en önemli görev ise iş ilanı açma aşamasında doğrulama gerektirecek araçları kullanıma almak olacaktır.

 

Kaynak: https://www.bleepingcomputer.com/news/security/you-can-post-linkedin-jobs-as-almost-any-employer-so-can-attackers/

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!