Estafas En Linkedin:Los Ciberdelincuentes Utilizan Estas Estafas En Las Redes Empresariales

abril 15, 2024
G DATA Blog

 

Estafas En Linkedin:Los Ciberdelincuentes Utilizan Estas Estafas En Las Redes Empresariales

El intento de fraude hace tiempo que llegó a LinkedIn. Sin embargo, muchos miembros no asocian la red empresarial con el ciberdelito. Explicamos por qué esto puede ser peligroso para la seguridad informática de las empresas.

Según el estudio online ARD/ZDF 2023, la red profesional LinkedIn es una de las plataformas de redes sociales más utilizadas. Aunque se sabe desde hace tiempo que el fraude por parte de los ciberdelincuentes es algo común en las redes sociales y que existen perfiles falsos, la red profesional parece gozar de gran reputación para la mayoría de las personas. Los usuarios rara vez piensan en fraude cuando reciben solicitudes de contacto y mensajes de personas desconocidas; al contrario: establecer contactos con nuevos contactos es uno de los principales objetivos que persiguen los miembros de LinkedIn para ampliar su red. Esto favorece a los ciberdelincuentes, porque cualquiera que no asocie una red con un delito cibernético puede ser más rápido a la hora de hacer clic en enlaces maliciosos o revelar datos confidenciales.

IA: los ataques en las redes sociales seguirán aumentando

Las nuevas tecnologías de inteligencia artificial y herramientas comunes como ChatGPT y Stable Diffusion están haciendo que los ataques bien diseñados en las redes sociales, incluido LinkedIn, sean más fáciles para los estafadores. Estos ataques son más eficientes que nunca porque son altamente personalizados. Esto los hace difíciles de detectar. Con la ayuda de herramientas de inteligencia artificial, se ha vuelto aún más fácil crear una cuenta falsa en LinkedIn y usarla para enviar mensajes y producir contenido. Todo lo que necesita para crear una cuenta es una imagen generada por IA y se puede configurar rápidamente un perfil con un CV. Toda la información necesaria se completa en texto usando ChatGPT.

Las estafas más comunes en LinkedIn incluyen la distribución de enlaces maliciosos, ofertas de trabajo falsas o comercio de criptomonedas.

Caso 1: Envío de enlaces defectuosos

Los ciberdelincuentes adaptan sus estafas a las respectivas redes sociales. De una manera muy “clásica” –como ocurre con los correos electrónicos de phishing– difunden enlaces o archivos a través de las redes sociales que, cuando se abren, cargan un sitio web malicioso o descargan malware. Muchas personas comparten una variedad de información profesional y, a veces, personal o privada en LinkedIn: la base perfecta para un ataque de ingeniería social. Como ocurre con cualquier otra plataforma, debes ser escéptico si personas desconocidas te envían enlaces o archivos. El propio LinkedIn advierte en la sección de ayuda sobre “malware y enlaces o archivos adjuntos fraudulentos en mensajes falsos” y ofrece información sobre “protección contra malware”. Muchos perfiles falsos se eliminan periódicamente en LinkedIn. Solo en 2023, entre enero y junio se eliminaron de forma proactiva 104,8 millones de perfiles falsos . De ellos, 386.000 fueron eliminados tras informes de miembros de la red profesional. Si se comparan las cifras desde principios hasta mediados de 2023 con las de los últimos años, queda claro que el número de perfiles falsos en LinkedIn también está aumentando.

Los ciberdelincuentes operan de manera diferente en cada plataforma y utilizan sus propias estafas que funcionan bien para cada red social. En Instagram son sex bots o tiendas falsas. En Facebook, por el contrario, regularmente llegan a las bandejas de entrada de los usuarios supuestas advertencias de Meta diciendo que su cuenta será bloqueada si no hacen clic en el enlace proporcionado. La red empresarial LinkedIn se ocupa principalmente de estafas laborales o estafas relacionadas con criptomonedas.

Caso 2: Estafas laborales

Aquí, los miembros de LinkedIn reciben a veces ofertas de trabajo falsas a través de mensajes privados. Los perfiles que envían estas ofertas no suelen ser personas reales. A primera vista, las solicitudes de perfiles falsos no pueden considerarse una estafa. A diferencia de los mensajes de phishing, los atacantes en LinkedIn se preocupan por generar confianza en su víctima potencial. Hay una foto en los perfiles, se enumeran varios puestos profesionales y las personas publican sus propias contribuciones. Su red tampoco deja dudas de que se trata de un perfil real. Hacer contacto es personal porque su nombre se menciona en la solicitud de networking. La mayoría de las veces se trata de ofertas de trabajo a distancia. Lo que también hace que casi nadie sospeche es que en Internet hay información sobre las empresas que ofrecen las supuestas ofertas de trabajo. También existen opciones de contacto reales que se pueden validar fuera de LinkedIn, por ejemplo en la página de empleo de la empresa. La comunicación adicional debe realizarse por correo electrónico o una aplicación de chat como WhatsApp y sustituir una entrevista. El objetivo es obtener datos personales, como datos bancarios, de las personas o incitarlas a adelantar dinero para equipos de trabajo. El hecho de que los estafadores tienen éxito con su estafa lo demuestra la actual advertencia del Centro Europeo del Consumidor sobre el fraude en las redes profesionales , que también advierte explícitamente contra las estafas laborales. Se conocen casos en los que es necesario abrir cuentas a nombre propio en varios bancos. Estos luego se utilizan para el blanqueo de dinero. Pero informes de experiencias como el artículo de Los Angeles Times «Las estafas de empleos falsos se están disparando en línea y cada vez son más difíciles de detectar» también muestran cuán diverso es el enfoque de los estafadores ante las ofertas de empleo falsas.

Ejemplo de perfil falso con foto, seguidores y actividades.

Caso 3: Invertir en Criptomonedas

Los ciberdelincuentes llevan mucho tiempo exigiendo dinero de rescate en forma de criptomonedas durante los ataques de ransomware. La razón es que es más difícil rastrear los métodos de pago. El comercio de criptomonedas también ha llegado a las masas y muchas personas están familiarizadas con Bitcoin, Ethereum y Tether. Las aplicaciones de corredores como Trade Republic hacen que abrir una cartera sea rápido y fácil para cualquier persona común. Los delincuentes se aprovechan de esto.

Otra estafa que utilizan los estafadores en LinkedIn para hacerse con el dinero de sus víctimas: estafar mediante supuestas inversiones a través de criptomonedas. En LinkedIn, los delincuentes pueden encontrar fácilmente personas financieramente sólidas y explotar su confianza en la plataforma empresarial. No es raro que escriban específicamente a directores ejecutivos, vicepresidentes y otros gerentes porque sospechan que es allí donde tienen más dinero. Con esta estafa, proceden de forma similar a las estafas laborales y primero intentan generar confianza con su víctima potencial.

Se empieza de nuevo con una petición de networking, que a primera vista parece personal y seria. Los mensajes directos dicen que conociste a la persona a través de tu propia red y estás interesado en establecer contacto. Sin embargo, con relativa rapidez no se realiza ningún intercambio con un tema técnico, sino que se recomienda invertir en criptomonedas. También en este caso los delincuentes intentan establecer otras comunicaciones fuera de LinkedIn y los estafadores dan consejos específicos sobre en qué plataforma y en qué moneda invertir. Sin embargo, detrás de las inversiones propuestas en criptomonedas se esconden dudosas plataformas comerciales falsas. Los estafadores transfieren el dinero y muestran la evolución de los precios en supuestas curvas en tiempo real. Por tanto, se pierde el importe invertido por los inversores. Estos casos de fraude suelen ser difíciles de resolver. Según el informe de la NDR “Inversores engañados con millones: sentencias de prisión para tres hombres” del 28 de febrero de 2024, actualmente hay una investigación exitosa y sentencias de prisión para tres hombres acusados ​​de fraude por valor de millones utilizando plataformas en línea falsas. Sólo en Alemania se dice que defraudaron a inversores por más de 20 millones de euros. El artículo menciona más de 24.000 víctimas.

Ejemplo de contacto con un perfil falso.

Las estafas en LinkedIn también ponen en peligro la seguridad informática en las empresas

Incluso si los ciberdelincuentes se dirigen a particulares para sus planes de fraude, las empresas también corren un riesgo potencial, porque el hecho de que es menos probable que las personas asocien las redes profesionales con el fraude es doblemente problemático: LinkedIn se utiliza principalmente en un contexto profesional y durante las horas de trabajo. Como resultado, abrir enlaces y sitios web maliciosos pone potencialmente en peligro a las empresas mientras los empleados están en línea en la red de la empresa y no están suficientemente conscientes de las estafas de LinkedIn. LinkedIn es cada vez más interesante para las empresas en dos sentidos. La plataforma ofrece a las empresas la oportunidad de hacerse más visibles. Y se anima cada vez más a los empleados a reforzar la imagen de la empresa con su propia presencia fuerte en LinkedIn: palabra clave de influencia corporativa.

En consecuencia, la llamada de un empresario a estar activo en la red empresarial siempre debe ir acompañada de información sobre posibles peligros cibernéticos. Un primer paso es proporcionar a los empleados una especie de “código de conducta” que regule, por ejemplo, el intercambio de datos confidenciales. Cuantos más datos confidenciales, como detalles privados de la vida laboral diaria de los empleados, estén disponibles en LinkedIn, más éxito tendrá en última instancia el ataque de ingeniería social: una posible catástrofe para las empresas. El objetivo de todas las medidas de concientización sobre la seguridad debe ser sensibilizar a los empleados sobre áreas a las que la mayoría de la gente inicialmente se acerca sin mucha sospecha. Esto incluye, por ejemplo, el consejo de no hacer clic en enlaces crédulos, pero también, en el contexto de LinkedIn, tener cuidado al compartir datos e información.

Nuestra lista de verificación: Cómo identificar perfiles falsos

  1. Mire de cerca el perfil: el perfil revela mucho sobre una persona; ciertos factores probablemente indiquen que se trata de un perfil falso. ¿Cómo están redactados los textos? ¿Tiene la persona un currículum demasiado perfecto o existen otras discrepancias? ¿Cuándo se actualizó el perfil por última vez? ¿Está verificada la dirección de correo electrónico o la empresa? En este caso, aparece una marca después del nombre.
  2. Imagen de perfil: si miras de cerca, notarás que los perfiles falsos en la mayoría de los casos utilizan fotos generadas por IA como imagen de perfil, generalmente de mujeres. Estos no parecen auténticos y el fondo está borroso sobre el cual se puede ver la cabeza de la persona.
  3. Actividades: la mayoría de los perfiles falsos están inactivos en cuanto a sus propias publicaciones y comentarios. A menudo, simplemente comparten artículos y no comentan activamente sobre otras personas.
  4. Comunicación: los delincuentes a menudo quieren cambiar a otra plataforma para seguir comunicándose. Las aplicaciones de chat como WhatsApp son muy populares para esto.
  5. Red e idioma: ¿Cómo tomó conciencia la persona de su propio perfil? Una oferta de trabajo repentina en inglés procedente de EE. UU. debería hacer que cualquiera se sienta escéptico, independientemente de sus conexiones internacionales.

Enlace: https://www.gdata.de/blog/2024/04/linkedin-scams-diese-betrugsmaschen-nutzen-cyberkriminelle-in-business-netzwerken Blog de G DATA Marita Bierhoff/ Kay Kewald

 

 

Artículos recientes

Mamont: El Troyano Bancario De Android Se Disfraza De Chrome

  • abril 23, 2024

Estafas En Linkedin:Los Ciberdelincuentes Utilizan Estas Estafas En Las Redes Empresariales

  • abril 15, 2024

Madre De Todas Las Infracciones: Una llamada De Atención

  • marzo 20, 2024

STOP Ransomware: Manténgase Alejado de las Descargas Ilegales de Software

  • marzo 5, 2024

Técnicas: Uso Actual de Métodos de Detección de Máquinas Virtuales

  • febrero 27, 2024

La Estafa «ESTA», es Decir, Un Permiso De Viaje Falso a EE.UU.

  • febrero 6, 2024

Mis 6 Predicciones De Seguridad Para 2024…

  • enero 29, 2024

Ataques APT: Una Ciberinvasión Silenciosa De Las Instituciones Globales

  • enero 18, 2024

“Todas Las Empresas Deberían Abordar NIS-2 En Detalle y En Una Fase Temprana”

  • enero 15, 2024

“Si nos fijamos en NIS-2, encontraremos muchos paralelos con ISO 27001”

  • enero 2, 2024

Nueva Variante del Agente Tesla: Archivo ZPAQ Utilizado Para Difundir Malware

  • diciembre 12, 2023