Estafas de LinkedIn: Los ciberdelincuentes Utilizan Estas Estafas En Las Redes Empresariales

noviembre 25, 2024
G DATA Blog

 

Estafas de LinkedIn: Los ciberdelincuentes Utilizan Estas Estafas En Las Redes Empresariales

Los intentos de fraude hace tiempo que llegaron a LinkedIn. Sin embargo, muchos miembros no asocian la red empresarial con el cibercrimen. Te explicamos por qué esto puede ser peligroso para la seguridad informática de las empresas.

Según el estudio en línea ARD/ZDF 2023, la red profesional LinkedIn es una de las plataformas de redes sociales más utilizadas. Aunque se sabe desde hace mucho tiempo que las estafas de los ciberdelincuentes son habituales en las redes sociales y que existen perfiles falsos, la red profesional parece tener una gran reputación para la mayoría de las personas. Los usuarios rara vez piensan en fraude cuando se trata de solicitudes de contacto y mensajes de personas desconocidas, al contrario: la creación de redes con nuevos contactos es uno de los principales objetivos que persiguen los miembros de LinkedIn para expandir su red. Esto juega a favor de los ciberdelincuentes, porque aquellos que no asocian una red con el cibercrimen pueden hacer clic en enlaces maliciosos o revelar datos confidenciales más rápidamente.

IA: Los ataques a través de las redes sociales seguirán aumentando

Las nuevas tecnologías de IA y herramientas comunes como ChatGPT y Stable Diffusion están haciendo que los ataques bien elaborados a través de las redes sociales, incluido LinkedIn, sean cada vez más fáciles para los estafadores. Estos ataques son más eficientes que nunca porque son altamente personalizados. Esto hace que sea más difícil reconocerlos. Con la ayuda de herramientas de IA, se ha vuelto aún más fácil crear una cuenta falsa en LinkedIn y enviar mensajes y producir contenido a través de ella. Todo lo que necesita para crear la cuenta es una imagen generada por IA, y se puede configurar rápidamente un perfil con un CV. Toda la información necesaria se rellena textualmente con la ayuda de ChatGPT.

Las estafas más comunes en LinkedIn incluyen la difusión de enlaces maliciosos, ofertas de trabajo falsas o el comercio de criptomonedas.

Caso 1: Envío de enlaces maliciosos

Los ciberdelincuentes adaptan sus estafas a las respectivas redes sociales. De la forma «clásica», al igual que con los correos electrónicos de phishing, difunden enlaces o archivos a través de las redes sociales que cargan un sitio web malicioso o descargan malware cuando se abren. Muchas personas comparten una gran cantidad de información profesional y, a veces, personal o privada en LinkedIn, la base perfecta para un ataque de ingeniería social. Por lo tanto, como en cualquier otra plataforma, es importante ser escéptico si personas desconocidas le envían enlaces o archivos. La propia LinkedIn advierte en el área de ayuda sobre «malware y enlaces o archivos adjuntos fraudulentos en mensajes falsos» y ofrece información sobre «protección contra malware». Solo en 2023, se eliminaron de forma proactiva 104,8 millones de perfiles falsos en el periodo de enero a junio. De estos, 386.000 fueron eliminados después de ser reportados por miembros de la red de carrera. Si se compara el número de principios a mediados de 2023 con los de los últimos años, está claro que el número de perfiles falsos también está aumentando cada vez más en LinkedIn.

Los ciberdelincuentes adoptan un enfoque diferente en cada plataforma y utilizan sus propias estafas que funcionan bien para la red social respectiva. En Instagram, son los sexbots o las tiendas falsas. En Facebook, por otro lado, las supuestas advertencias de Meta llegan regularmente a las bandejas de entrada de los usuarios de que la cuenta será bloqueada si no hacen clic en el enlace enviado con ella. En la red empresarial LinkedIn, se trata principalmente de estafas laborales o estafas con criptomonedas.

Caso 2: Estafas laborales

Ejemplo de un perfil falso con foto, seguidores y actividades.

Aquí, los miembros de LinkedIn a veces reciben ofertas de trabajo falsas a través de mensajes privados. Los perfiles que envían estas ofertas no suelen ser personas reales. A primera vista, las solicitudes de los perfiles falsos no son reconocibles como estafas. A diferencia de los mensajes de phishing, los atacantes en LinkedIn se preocupan por generar confianza con su víctima potencial. Hay una imagen en los perfiles, se enumeran varias estaciones profesionales y las personas publican sus propias publicaciones. Su red tampoco deja lugar a dudas de que se trata de un perfil real. El contacto es personal, ya que su propio nombre se menciona en la solicitud de red. La mayoría de las veces, se trata de ofertas de trabajo a distancia. Lo que también hace que casi nadie desconfíe es que hay información en internet sobre las empresas de las supuestas ofertas de trabajo. Además, hay opciones de contacto reales que se pueden validar fuera de LinkedIn, por ejemplo, en la página de empleo de las empresas. La comunicación adicional se llevará a cabo a través de correo electrónico o una aplicación de chat como WhatsApp y reemplazará una entrevista de trabajo. El objetivo es obtener datos personales, como datos bancarios, de las personas o atraerlas para que adelanten dinero para equipos de trabajo. El hecho de que los estafadores tengan éxito con su estafa lo demuestra la advertencia actual del Centro Europeo del Consumidor sobre el fraude en las redes profesionales, que también advierte explícitamente contra las estafas laborales. Se conocen casos en los que se iban a abrir cuentas a nombre propio en varios bancos. Estos luego se utilizan para el lavado de dinero. Pero también los informes de experiencia, como el artículo de Los Angeles Times «Las estafas de empleos falsos se están disparando en línea, y son cada vez más difíciles de detectar», muestran cuán diverso es el enfoque de los estafadores hacia las ofertas de trabajo falsas.

Caso 3: Invertir en criptomonedas

Ejemplo: Contactar con un perfil falso.

Los ciberdelincuentes llevan mucho tiempo exigiendo un rescate en ataques de ransomware en forma de criptomoneda. La razón es el seguimiento más difícil de los canales de pago. El comercio de criptomonedas también ha llegado a las masas y Bitcoin, Ethereum y Tether son conocidos por muchas personas. Las aplicaciones de corretaje como Trade Republic hacen que abrir una cuenta de valores sea rápido y fácil para cualquier lego. Los delincuentes se aprovechan de esto.

Otra estafa que los estafadores eligen en LinkedIn para hacerse con el dinero de sus víctimas: estafar a través de supuestas inversiones a través de criptomonedas. En LinkedIn, los delincuentes pueden encontrar fácilmente personas financieramente sólidas y explotar su credulidad hacia la plataforma comercial. No es raro que escriban específicamente a los directores ejecutivos, vicepresidentes y otros ejecutivos porque sospechan que aquí es donde se gana más dinero. En esta estafa, proceden de manera similar a las estafas laborales y primero intentan generar confianza con su víctima potencial.

Comienza de nuevo con una solicitud de networking, que a primera vista parece personal y seria. Los mensajes directos dicen que te diste cuenta de la persona a través de tu propia red y estabas interesado en un contacto. Sin embargo, con relativa rapidez, no se habla de ningún intercambio con referencia técnica, pero se recomiendan inversiones en criptomonedas. Una vez más, los delincuentes intentan permitir que se produzca una mayor comunicación fuera de LinkedIn y los estafadores dan consejos específicos sobre qué plataforma y en qué moneda invertir. Sin embargo, detrás de las inversiones propuestas en criptomonedas se esconden dudosas plataformas de negociación falsas. Los estafadores reenvían el dinero y muestran la evolución de los precios en supuestas curvas en tiempo real. Por lo tanto, se pierde la cantidad invertida por los inversores. Estos casos de fraude suelen ser difíciles de resolver. Según el informe de NDR «Inversores estafados por millones: penas de prisión para tres hombres» del 28 de febrero de 2024, actualmente hay un éxito investigativo y sentencias de prisión para tres hombres acusados de fraude multimillonario con plataformas online falsas. Solo en Alemania, se dice que han defraudado a inversores por más de 20 millones de euros. El artículo habla de más de 24.000 víctimas.

Las estafas de LinkedIn también ponen en peligro la seguridad informática de las empresas

Aunque los ciberdelincuentes se dirijan a particulares para sus estafas, las empresas también corren un riesgo potencial, porque el hecho de que las personas asocien menos las redes profesionales con el fraude es doblemente problemático: LinkedIn se utiliza principalmente en un contexto profesional y durante las horas de trabajo. En consecuencia, la apertura de enlaces y sitios web maliciosos también puede poner en peligro a las empresas, mientras que los empleados de la red de la empresa están en línea y no están lo suficientemente sensibilizados contra las estafas en LinkedIn. LinkedIn se está volviendo cada vez más interesante para las empresas de dos maneras. La plataforma ofrece a las empresas la oportunidad de ser más visibles. Y también se anima cada vez más a los empleados a reforzar la imagen de su empleador con su propia presencia fuerte en LinkedIn, palabra clave influencer corporativo.

En consecuencia, un llamado del empleador para estar activo en la red comercial siempre debe ir acompañado de información sobre posibles peligros cibernéticos. Un primer paso es proporcionar a los empleados una especie de «código de conducta» que regule el intercambio de datos confidenciales, por ejemplo. Al fin y al cabo, cuantos más datos confidenciales, como los detalles privados del trabajo diario de los empleados, estén disponibles en LinkedIn, más éxito tendrá el ataque de ingeniería social, un desastre potencial para las empresas. El objetivo de todas las medidas de concienciación sobre seguridad debe ser sensibilizar a los empleados sobre las áreas que la mayoría de las personas encuentran inicialmente sin mucha sospecha. Esto incluye, por ejemplo, el consejo de no hacer clic en enlaces de forma ingenua, pero en el contexto de LinkedIn también hay que tener cuidado al compartir datos e información.

Nuestra lista de comprobación: Cómo identificar perfiles falsos

  1. Echa un vistazo más de cerca al perfil: El perfil revela mucho sobre una persona: es muy probable que ciertos factores indiquen que se trata de un perfil falso. ¿Cómo se formulan los textos? ¿La persona tiene un CV demasiado perfecto o notas otras discrepancias? ¿Cuándo se actualizó por última vez el perfil? ¿Está verificada la dirección de correo electrónico o la empresa? En este caso, aparecerá una marca después del nombre.
  2. Perfil: En una inspección más cercana, se hace evidente que los perfiles falsos usan fotos generadas por IA como imágenes de perfil en la mayoría de los casos, generalmente de mujeres. Estos no se ven auténticos y el fondo está borroso, frente al cual se puede ver la cabeza de la persona.
  3. Actividades: La mayoría de los perfiles falsos están inactivos en términos de sus propias publicaciones y comentarios. A menudo, solo comparten artículos y no comentan activamente sobre otras personas.
  4. Comunicación: Los delincuentes a menudo quieren cambiar a otra plataforma para seguir comunicándose. Las aplicaciones de chat como WhatsApp son muy populares para esto.
  5. Red e idioma: ¿Cómo se dio cuenta la persona de su propio perfil? Una oferta de trabajo repentina en inglés desde los EE. UU. debería hacer que todos se muestren escépticos, sin importar cuán internacionalmente conectado estés.

Enlace: Estafas de LinkedIn: Estas estafas son utilizadas por los ciberdelincuentes en las redes empresariales Marita Bierhoff Kay Kewald Blog De G DATA