Hamis állásajánlatokkal támadják az álláskeresők gépeit
Pár napja jelent meg az a hír, mely szerint állásajánlatoknak tűnő tartalmakkal fertőzik meg a potenciális álláskeresők számítógépeit, közösségi karrieroldalon kutatnak áldozatok után a kiberbűnözők. Az álláskeresés már önmagában is olyan helyzeteket teremt, amikor sok adatunkat kell kiadni, komplett önéletrajzokat feltölteni - vajon mennyire biztonságosak az álláskereső portálok és a vállalati HR-oldalak, ahol rengeteg személyes adatunkat adjuk meg egy-egy álláspályázat során? Csizmazia-Darab István, az ESET IT biztonsági szakértője segített összegyűjteni, hogy mire érdemes figyelni az álláskeresőknek.
Lopott fotó, hiányos karrierút
A cikkben említett hamis LinkedIn fiókot nem könnyű felismerni, de ha vesszük a fáradságot és több részletet megvizsgálunk, akkor kiderülhet a csalás. „A csalók sokszor egyszerűen ellopják egy vonzó kinézetű felhasználó fotóját, és annak tudta nélkül egyszerűen beillesztik egy hamis profilba, hogy bizalmat ébresszenek. Az ilyen képekkel történő visszaéléseket a fordított rendszerű képkereséssel fülelhetjük le, például a TinEye segítségével” - mondja Csizmazia-Darab István. „A kitöltött adatok jellege is segíthet valamennyire, az igazi profilok ugyanis egyfajta keverékei a professzionális munkatapasztalatoknak és a személyes adatoknak, azaz sokszor a hobbi, az önkéntes munka is feltüntetésre kerül.” A szakértő szerint, ha szemlátomást hiányos, foghíjas az adatlap, kezdjünk gyanakodni. De még ha a munkatapasztalatok kitöltésre is kerültek, akkor is érdemes ezeket végignézni, azt keresve, hogy nincsenek-e gyanús fordulatok, hihetetlen vargabetűk, következetlen elemek a listában.
Összetákolt profil hamis ígéretekkel
„A visszaigazolt kapcsolatok száma is lehet jelzés értékű: egy friss, sebtiben összetákolt profil és egy évek óta ismert, szakmai kapcsolatokkal bőségesen rendelkező ismert, elismert szakember adatlapja között óriási lehet a különbség” - mondja a szakember, hiszen a régi bejáratott tagoknak több száz kapcsolatuk lehet, amit egy pár napja gyorsan beregisztrált profil biztosan nem tud felmutatni. A hamis profilt sok esetben hamis névvel hozzák létre: ilyenkor segíthet, ha a névre máshol is rákeresünk. Ha ilyenkor kiderül, hogy a név egy kevéssé ismert színész vagy egy regényhős neve is, akkor rögtön gyanakodhatunk. A kiberbiztonsági szakértő szerint sok átverés arra alapoz, hogy állítólagos befektetőket, munkatársakat keres, vagy pedig részesedést ígér a jelentkezőknek közismert hírességek nevében: például Warren Buffet, Bill Gates, Richard Branson vagy Elon Musk. Ilyenkor sem árt körültekintőnek lenni és utánanézni az állítások igazságtartalmának.
Helyesírás!
A kéretlen reklámokban, spamekben elég jól fel lehet ismerni az amatőr tákolmányokat a szegényes szókincs, a hibás helyesírás és furcsa tördelés alapján. A hamis LinkedIn profil esetében is árulkodhatnak ezek a jelek arról, hogy távoli országok csalói, alapos angoltudás nélkül, esetleg gépi nyersfordítással próbálkoznak megtéveszteni bennünket.
„Ha az adott LinkedIn profil megkeresésünkre nem reagál, nem lép kapcsolatba velünk, akkor is gyanút foghatunk, hogy az mindössze megtévesztésül készült el valamely csalási kampány háttereként” - mondja Csizmazia-Darab István, az ESET IT biztonsági szakértője. „Hiszen az oldalon jellemző partnerek közti interaktivitás, gyors reagálás már nincs meg a hamis profil mögött, mert arra már nem fordítottak gondot az elkövetők.”
Ha hamis profilt találunk, akkor magában a közösségi oldal rendszerében is van lehetőségünk jelenteni azt - ezt tegyünk is meg, hogy a gyanús tevékenységnek az üzemeltetők mielőbb véget tudjanak vetni, és ne tudjanak további felhasználókat megtéveszteni.
Karrieroldalak
A szakértő szerint a biztos háttérrel rendelkező, professzionális állásközvetítő cégek ajánlatai több szempontból is megbízhatóbban ellenőrzöttek: ők ugyanis hivatalosan szerződést kötnek a hirdetővel. Ezek az online karrieroldalak folyamatosan biztosítják a GDPR szerinti személyes adatkezelést, és a teljes ciklus alatt ellenőrzésük alatt tartják a keresés-kiválasztás-ajánlattétel-elfogadás folyamatát. És bár nem versenyezhetnek a LinkedIn széles lehetőségeivel, annak naprakészségével, de talán biztosabb hátteret jelenthetnek annak, aki az ilyesfajta kockázatokat mindenképpen el szeretné kerülni.
Aki adatlopástól tart, annak fontos információ lehet, hogy a LinkedIn a 2012-es 6,5 millió felhasználót érintő feltörése után megerősítette a rendszere védelmét. Megjelent a bejelentkezéssel kapcsolatos kontroll, amellyel könnyen ellenőrizhető, honnan, milyen eszközökről vagyunk, vagy vannak a nevünkben belépve. Megjelent a kétfaktoros azonosítás is, tehát a sima név-jelszó ellopása esetén sem lehet könnyű az illetéktelenek számára a belépés.
Védjük is magunkat, ne csak várjuk, hogy megvédjenek
Fontos a saját számítógépünkön technikai oldalról is mindent megtennünk: naprakész vírusvédelem, folyamatosan frissített operációs rendszer és alkalmazói programok hibajavító csomagjait is haladéktalanul futtassuk - javasolja a szakember. „Minden belépési helyszínen egyedi és erős jelszót használjunk, amelyet ha van rá módunk - és például a LinkedInen van is rá mód - megerősítünk a kétfaktoros autentikáció lehetőségével” - mondja Csizmazia-Darab István.
Emellett szükséges a biztonságtudatos hozzáállás is: azaz ne higgyük el, hogy Bill Gates elosztogatja a vagyonát a neki e-mailt küldőknek, de legyen gyanús az is, ha például nagyon kevés munkáért kiemelkedő jövedelmet ígérnek. „A cégek szoros konkurenciaharcában még az is elő szokott fordulni, hogy kamu álláshirdetéssel a versenytárs vállalat inkognitóban lévő ügynökei a gyanútlan jelentkezők jelenlegi munkáltatójáról, pillanatnyi projektjeiről próbálnak meg csalárd módon tudakozódni, kémkedni” - mondja a szakértő.
A cikkben említett hamis LinkedIn fiókot nem könnyű felismerni, de ha vesszük a fáradságot és több részletet megvizsgálunk, akkor kiderülhet a csalás. „A csalók sokszor egyszerűen ellopják egy vonzó kinézetű felhasználó fotóját, és annak tudta nélkül egyszerűen beillesztik egy hamis profilba, hogy bizalmat ébresszenek. Az ilyen képekkel történő visszaéléseket a fordított rendszerű képkereséssel fülelhetjük le, például a TinEye segítségével” - mondja Csizmazia-Darab István. „A kitöltött adatok jellege is segíthet valamennyire, az igazi profilok ugyanis egyfajta keverékei a professzionális munkatapasztalatoknak és a személyes adatoknak, azaz sokszor a hobbi, az önkéntes munka is feltüntetésre kerül.” A szakértő szerint, ha szemlátomást hiányos, foghíjas az adatlap, kezdjünk gyanakodni. De még ha a munkatapasztalatok kitöltésre is kerültek, akkor is érdemes ezeket végignézni, azt keresve, hogy nincsenek-e gyanús fordulatok, hihetetlen vargabetűk, következetlen elemek a listában.
Összetákolt profil hamis ígéretekkel
„A visszaigazolt kapcsolatok száma is lehet jelzés értékű: egy friss, sebtiben összetákolt profil és egy évek óta ismert, szakmai kapcsolatokkal bőségesen rendelkező ismert, elismert szakember adatlapja között óriási lehet a különbség” - mondja a szakember, hiszen a régi bejáratott tagoknak több száz kapcsolatuk lehet, amit egy pár napja gyorsan beregisztrált profil biztosan nem tud felmutatni. A hamis profilt sok esetben hamis névvel hozzák létre: ilyenkor segíthet, ha a névre máshol is rákeresünk. Ha ilyenkor kiderül, hogy a név egy kevéssé ismert színész vagy egy regényhős neve is, akkor rögtön gyanakodhatunk. A kiberbiztonsági szakértő szerint sok átverés arra alapoz, hogy állítólagos befektetőket, munkatársakat keres, vagy pedig részesedést ígér a jelentkezőknek közismert hírességek nevében: például Warren Buffet, Bill Gates, Richard Branson vagy Elon Musk. Ilyenkor sem árt körültekintőnek lenni és utánanézni az állítások igazságtartalmának.
Helyesírás!
A kéretlen reklámokban, spamekben elég jól fel lehet ismerni az amatőr tákolmányokat a szegényes szókincs, a hibás helyesírás és furcsa tördelés alapján. A hamis LinkedIn profil esetében is árulkodhatnak ezek a jelek arról, hogy távoli országok csalói, alapos angoltudás nélkül, esetleg gépi nyersfordítással próbálkoznak megtéveszteni bennünket.
„Ha az adott LinkedIn profil megkeresésünkre nem reagál, nem lép kapcsolatba velünk, akkor is gyanút foghatunk, hogy az mindössze megtévesztésül készült el valamely csalási kampány háttereként” - mondja Csizmazia-Darab István, az ESET IT biztonsági szakértője. „Hiszen az oldalon jellemző partnerek közti interaktivitás, gyors reagálás már nincs meg a hamis profil mögött, mert arra már nem fordítottak gondot az elkövetők.”
Ha hamis profilt találunk, akkor magában a közösségi oldal rendszerében is van lehetőségünk jelenteni azt - ezt tegyünk is meg, hogy a gyanús tevékenységnek az üzemeltetők mielőbb véget tudjanak vetni, és ne tudjanak további felhasználókat megtéveszteni.
Karrieroldalak
A szakértő szerint a biztos háttérrel rendelkező, professzionális állásközvetítő cégek ajánlatai több szempontból is megbízhatóbban ellenőrzöttek: ők ugyanis hivatalosan szerződést kötnek a hirdetővel. Ezek az online karrieroldalak folyamatosan biztosítják a GDPR szerinti személyes adatkezelést, és a teljes ciklus alatt ellenőrzésük alatt tartják a keresés-kiválasztás-ajánlattétel-elfogadás folyamatát. És bár nem versenyezhetnek a LinkedIn széles lehetőségeivel, annak naprakészségével, de talán biztosabb hátteret jelenthetnek annak, aki az ilyesfajta kockázatokat mindenképpen el szeretné kerülni.
Aki adatlopástól tart, annak fontos információ lehet, hogy a LinkedIn a 2012-es 6,5 millió felhasználót érintő feltörése után megerősítette a rendszere védelmét. Megjelent a bejelentkezéssel kapcsolatos kontroll, amellyel könnyen ellenőrizhető, honnan, milyen eszközökről vagyunk, vagy vannak a nevünkben belépve. Megjelent a kétfaktoros azonosítás is, tehát a sima név-jelszó ellopása esetén sem lehet könnyű az illetéktelenek számára a belépés.
Védjük is magunkat, ne csak várjuk, hogy megvédjenek
Fontos a saját számítógépünkön technikai oldalról is mindent megtennünk: naprakész vírusvédelem, folyamatosan frissített operációs rendszer és alkalmazói programok hibajavító csomagjait is haladéktalanul futtassuk - javasolja a szakember. „Minden belépési helyszínen egyedi és erős jelszót használjunk, amelyet ha van rá módunk - és például a LinkedInen van is rá mód - megerősítünk a kétfaktoros autentikáció lehetőségével” - mondja Csizmazia-Darab István.
Emellett szükséges a biztonságtudatos hozzáállás is: azaz ne higgyük el, hogy Bill Gates elosztogatja a vagyonát a neki e-mailt küldőknek, de legyen gyanús az is, ha például nagyon kevés munkáért kiemelkedő jövedelmet ígérnek. „A cégek szoros konkurenciaharcában még az is elő szokott fordulni, hogy kamu álláshirdetéssel a versenytárs vállalat inkognitóban lévő ügynökei a gyanútlan jelentkezők jelenlegi munkáltatójáról, pillanatnyi projektjeiről próbálnak meg csalárd módon tudakozódni, kémkedni” - mondja a szakértő.
Hatodik kiadásához érkezett az Emberi erőforrás menedzsment kézikönyv.
Aki válaszol: Sipőcz Iván
Ha üzletasszonyok akartok lenni, főnökként kell viselkedni