大量虚假的 LinkedIn 个人资料使 HR 反对机器人 – Krebs in Security

最近在网上传播虚假的高管档案 领英 它给商业网络网站和依赖它来招聘和筛选潜在员工的公司制造了某种身份危机。 伪造的 LinkedIn 身份——将人工智能生成的个人资料图像与来自合法账户的文本链接起来——给公司的人力资源部门和管理仅限邀请的 LinkedIn 群组的人带来了重大问题。

LinkedIn上流行的可持续发展小组的联合管理员标记了一些虚假的个人资料。

上周,KrebsOnSecurity 审查了大量非原始 LinkedIn 个人资料,所有这些资料都声称在多家财富 500 强公司担任首席信息安全 (CISO),包括 百健雪佛龙埃克森美孚惠普.

从那时起,LinkedIn 用户和读者的反应清楚地表明,这些虚假个人资料集中出现在几乎所有的行政职位上——尤其是与最近的世界事件和新闻趋势相关的工作和行业。

哈米什·泰勒 跑过 可持续发展专家 LinkedIn 上的一个群组,拥有超过 300,000 名成员。 泰勒与该组织的共同所有人一起表示,他们禁止 今年到目前为止,超过 12,700 份可疑的虚假资料,包括数十部最近被泰勒描述为“操纵人道主义和危机救济专家的讽刺尝试”的小说。

“我们每周收到超过 500 份虚假个人资料请求,”泰勒说。 “自今年 1 月左右以来,地狱一直在袭击。在此之前,我们没有得到我们现在看到的成群结队的假货。”

泰勒集团对 LinkedIn 的上诉的开场幻灯片。

泰勒最近在LinkedIn上发布了一篇题为“LinkedIn 假身份危机,他嘲笑“60 名最不受欢迎的危机救援专家”——声称自己是最近飓风过后灾难恢复工作专家的虚假资料。 上面和下面的图像仅显示了该组识别为非原始的一组配置文件。 在 KrebsOnSecurity 上周发布推文后,几乎所有这些个人资料都已从 LinkedIn 中删除。

Taylor 小组发现的另一个“群”LinkedIn bot 帐户。

马克·米勒 是所有者 开发运维组 在LinkedIn上,他说他每天都在处理虚假的个人资料——通常每天有数百个。 泰勒所说的虚假账户“蜂拥而至”,米勒将其描述为来自虚假账户的请求“浪潮”。

“当机器人试图渗透到团队中时,它会一波一波地进行,”米勒说。 “我们将在配置文件中看到 20-30 个带有相同信息的请求。”

在拍摄了一波又一波的疑似虚假个人资料请求后,米勒开始将照片发送给 LinkedIn 的滥用团队,后者告诉他他们会审查他的请求,但可能不会收到任何采取行动的通知。

Mark Miller 发现的一些机器人配置文件正在寻求访问他的 DevOps LinkedIn 组。 米勒说,所有这些配置文件都按照它们出现的顺序列出。

米勒说,经过数月的投诉并与 LinkedIn 分享虚假的个人资料信息后,社交媒体网络似乎正在做一些事情,导致来自虚假账户的群组成员请求数量急剧下降。

“我写信给我们的 LinkedIn 代表,说我们正在考虑关闭这个小组,因为机器人太糟糕了,”米勒说。 “我说,‘你应该在后端做一些事情来防止这种情况发生。 “

杰森·莱思罗普 他是技术和运营副总裁 ISO外包,一家总部位于西雅图的咨询公司,拥有大约 100 名员工。 与米勒一样,Lathrop 在 LinkedIn 上与机器人资料作斗争的经历表明,这家社交网络巨头最终将回应有关非真实账户的投诉。 意思是,如果受影响的用户足够大声地抱怨(在 LinkedIn 上公开发布它似乎有帮助)。

大约两个月前,Lathrop 说,雇主注意到了一波又一波的新追随者,并确定了 3,000 多名分享不同项目的追随者,例如个人资料图片或文字描述。

“然后我注意到他们都声称与我们合作,在组织内随机标题,”Lathrop 在接受 Krebs on Safety 采访时说。 “当我们向 LinkedIn 投诉时,他们告诉我们这些个人资料没有违反他们的社区准则。但他们没有!这些人不存在,他们声称他们为我们工作!”

Lathrop 说,在他的公司第三次投诉后,LinkedIn 的一位代表做出回应,要求 ISOOutsource 发送一份电子表格,列出公司的每一位合法员工,以及他们相应的个人资料链接。

此后不久,不在公司名单上的虚假资料从 LinkedIn 中删除。 Lathrop 说,他仍然不确定他们将来会如何在 LinkedIn 上让新员工进入他们的公司。

尚不清楚LinkedIn为何出现 最近充斥着许多虚假的个人资料或者如何获得假头像。 对个人资料图片的随机测试表明,它们与互联网上发布的其他图片相似但不完全相同。 一些读者指出了一个潜在的来源——thispersondoesnotexist.com,它使使用人工智能创建独特的头像成为一种点击练习。

网络安全公司 曼迪安特 (最近被收购 谷歌) 告诉彭博 为朝鲜政府工作的黑客正在从领先的工作列表平台 LinkedIn 复制简历和个人资料,事实上,这是在加密公司获得工作的精心策划的一部分。

虚假资料也可能与所谓的“猪屠宰”骗局有关,在这种骗局中,人们被在线花花公子的陌生人引诱投资加密货币交易所,当受害者试图兑现时,这些交易所最终会拿走任何钱。

此外,众所周知,身份窃贼会在 LinkedIn 上伪装成求职者,从陷入招聘骗局的人那里收集个人和财务信息。

但可持续发展小组的负责人泰勒表示,奇怪的是,跟踪它们的机器人不会回复消息,而且它们似乎也没有试图发布内容。

泰勒评估说:“他们显然没有受到监控。” “或者它们只是被创造出来,然后任其溃烂。”

DevOp 小组的经理 Miller 分享了这种经验,他说他还试图通过暗示他们的假冒信息来引诱假个人资料。 米勒说,他担心有人会为未来的攻击创建一个庞大的机器人社交网络,其中机器人帐户可能被用来放大在线错误信息,或者至少歪曲事实。

“这就像有人正在建立一个巨大的机器人网络,所以当有一条大消息需要发布时,他们可以用所有这些虚假的个人资料大量发布,”米勒说。

在上周关于该主题的故事中,我建议 LinkedIn 采取一个简单的步骤,让人们很容易就信任特定个人资料做出明智的决定:为每个个人资料添加“创建日期”。 Twitter 做到了这一点,它对于过滤掉大量噪音和不需要的通信非常有用。

我们在 Twitter 上的一些读者表示,LinkedIn 需要为雇主提供更多工具——也许是某种 API——这将使他们能够快速删除虚假声称在其组织中工作的个人资料。

另一位读者建议,LinkedIn 也可以尝试向选择验证他们可以回复与其当前广告雇主相关的域中的电子邮件的用户提供类似于经过验证的 Twitter 标签的东西。

在回答 KrebsOnSecurity 的问题时,LinkedIn 表示正在考虑域名验证的想法。

“这是一个持续的挑战,我们一直在努力改进我们的系统,以在假冒产品出现在网上之前阻止它们,”LinkedIn 在一份书面声明中说。 “我们阻止了我们在社区中检测到的绝大多数欺诈活动——大约 96% 的虚假账户以及大约 99.1% 的垃圾邮件和诈骗。我们还在探索保护我们成员的新方法,例如扩大电子邮件域验证。我们的社区围绕着真实的人进行对话。目的明确且始终提高我们社会的合法性和质量。

周三发表的一篇报道彭博社指出,到目前为止,LinkedIn 在很大程度上避免了困扰 Fb 和 Twitter 等网络的机器人丑闻。 但随着越来越多的用户被迫浪费更多时间与非正版账户作斗争,这种光芒开始得到回报。

“很明显,LinkedIn 作为严肃专业人士的社交网络,使其成为诱使会员产生虚假安全感的理想平台,” 蒂姆·基普兰 写道。 “加剧安全风险的是LinkedIn收集和发布的大量数据,这些数据支撑着其整个商业模式,但缺乏任何强大的验证机制。”

#大量虚假的 #LinkedIn #个人资料使 #反对机器人 #Krebs #Safety

Leave a Comment

Your email address will not be published. Required fields are marked *