Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향LinkedIn 가짜 구인 공고를 게시해 공격할 수 있다
작성일 2021-08-20 조회 327

linkedin

 

 

공격자는 인증없이 대부분의 고용주를 대신하여 LinkedIn에 구인 목록을 만들 수 있다. 이를 이용하면 공격자는 악의적인 목적으로 가짜 구인 목록을 게시할 수 있다.


이제 이것은 새로운 것이 아니지만 직업 웹 사이트의 기능과 느슨한 검증은 공격자가 악의적인 목적으로 가짜 목록을 게시할 수 있는 길을 열어준다.


예를 들어, 공격자는 이와 같은 사회공학적 방법으로 자신이 합법적인 회사에 지원한다고 생각하는 피해자의 개인 정보와 이력서를 수집할 수 있다. 이 때, 피해자는 자신의 데이터가 판매되거나 피싱 사기에 사용될 수 있다는 사실을 모른 채 자신의 정보를 공격자에게 노출하게 된다.


이번 주, Cyphere의 보안 전문가이자 관리 컨설턴트인 Harman Singh는 해당 기능에 대해 BleepingComputer와 공유했다.


Singh는 BleepingComputer에 "예를 들어, Google의 LinkedIn 회사 페이지가 취약한 경우, 직원을 대신하여 구인 정보를 게시하고 개인 정보 및 자격 증명을 수집할 수 있는 새 웹사이트로 지원자를 리디렉션하는 매개변수를 추가할 수 있다."라고 말했다.


BleepingComputer의 테스트에서는 탈퇴한 LinkedIn 계정을 사용했고, BleepingComputer를 대신하여 거의 익명으로 새 채용 공고를 성공적으로 게시할 수 있었다.


채용 정보 목록은 BleepingComputer에서 직접 가져온 것처럼 나타난다. 또한 게시물을 생성한 사용자 계정도 표시하지 않도록 옵션을 선택할 수 있다.


간단한 테스트에서 BleepingComputer는 LinkedIn의 "Easy Apply" 옵션을 활용하여 지원자가 업로드한 모든 이력서가 테스트 이메일 계정으로 바로 전송되도록 했다. 그리고 이 테스트에서와 같이 지원자의 개인 정보와 이력서를 수집하기 위해 테스트 이메일 계정을 사용하는 벙법은 지원자를 "피싱"으로 보일 수 있는 웹사이트로 리디렉션하는 것과 비교했을 때, 지원자나 고용주에게 의심스러운 활동의 징후를 남기지 않는다.


Singh는"LinkedIn trust and safety팀의 이메일을 공유하면서 "LinkedIn trust and safety팀에 이메일을 보내 승인되지 않은 게시물을 차단하고, 승인된 팀원만 작업을 게시하도록 허용하는 옵션을 활성화할 수 있다."라고 말했다. Singh가 공유한 이메일 계정은 다음과 같다.

 

 


tns-SAFE@linkedin.com

 

 

 

또한, Singh는 채용 및 HR팀에 회사의 LinkedIn페이지를 주기적으로 모니터링하고 허위 게시물을 LinkedIn에 보고하는 것을 해결방안으로 제안했다.

 

 

 

 


출처
https://www.bleepingcomputer.com/news/security/you-can-post-linkedin-jobs-as-almost-any-employer-so-can-attackers/

첨부파일 첨부파일이 없습니다.
태그 LinkedIn  Singh