LinkedIn在眾多社交網絡平台中定位比較特別,其用戶資料可謂完全透明,對完全陌生的人士也給予相當高的信任,其缺點是很相對容易製作假個人資料,事實上也充斥著相當數量的假帳號訛稱是跨國企業的高層,在公司的角度,到底能否不受假帳號影響,以及如何保護公司的品牌?
LinkedIn打擊假個人資料的方法
LinkedIn上的假個人檔案絕非新事物,每六個月平台都會發表內含被封的假個人檔案數字,每年的數字的各異,由2019年初至2022年中期間,總共約1億4千萬假個人檔案被封鎖。當中大部份的個人檔案自動被封鎖,其中在登記階段佔大多數,在建立初期就被「擊落」約佔70到90%(視乎時期而定)。因為用戶投訴而被封鎖的假個人檔案少於1%。
LinkedIn並沒有詳述如何辨別可疑個人檔案,但頻繁地發送訊息和地理位置錯配(檔案顯示位置與帳號登記完全不同)都是線索之一,而且某些模式與其他已經被偵測或封鎖假檔案相似也會成為可疑的對象。去年底LinkedIn導入多種「打假」的技術:
- 檢查頭像相片是否由AI生成
- 可疑訊息而在會帶有警告標示
- 在「About this profile」部份會顯示該帳號登記的大約日期,以及其他資料協助用戶分辨是否可信。
「打假」的成效
有外國傳媒對LinkedIn的打假進行了小實驗,記者首先建立了兩個完全假的個人檔案,並以AI生成文字和照片,第二天便收到LinkedIn要求用戶確定身份並最終封鎖有關帳號。其後記者採用另一種方法,複製另一位編輯的資料用來建立帳號,唯一分別只有頭像照片(使用另一張真照片),聯絡資料則提供在Proton Mail登記的電郵地址(加密的網上電郵服務易於隱藏身份),結果假帳號在LinkedIn接近兩個月,接收和發送訊息、新增聯絡人甚至宣傳他們的內容都能如常進行,最後記者自行刪除有關帳號。
實驗結果顯示LinkedIn對付簡單的假個人檔案十分有效,但有心人只要花一點時間和耐心去準備較具說服力、使用某人的真實資料,就能輕鬆越過防線。
如何清除公司LinkedIn的「假員工」
可能已經有人使用了你公司的名稱以及真員工的資料,去進行他們的不法行為,所以應該盡快從員工名單中去除假個人檔案,首先是檢視問題的規模,簡單地比較LinkedIn檔案中公司員工和真實員工的數字。此外,以地理位置作為辨別,由於假個人檔案的騙徒可能針對某地區的受害者,再對比公司員工的分佈,根據以上結果如果只有少量「假員工」,可以從地理位置入手進行辨別,然後向LinkedIn進行舉報。
如果問題嚴重,建議由上至下進行清除,先從高層的假員工入手,對比高階管理層的名字,如果發現相同便從登記日期入手,同時也要注意地理位置的錯配,以及奇怪的頭像相片等等。
其他公司的假員工
除了自己公司的假員工,騙徒也可能偽冒其他公司的員工,曾經有個員攻擊者透過LinkedIn接觸一位員工,訛稱提供工作機會,然後向他發送受感染的PDF檔案,以取得公司網絡的存取權限以及盜取交易認證的金鑰,結果成功盜取了超過價值5億美元的加密貨幣。要抵禦這種攻擊並不容易,提升員工的網絡安全意識十分重要,不妨定期提供合適的網絡安全培訓。
資料來源:Kaspersky Blog
