29.09.2022 | 08:02

Anna Wasilewska-Śpioch

Podstawy Bezpieczeństwa: LinkedIn – jak zadbać o prywatność i bezpieczeństwo

LinkedIn specjalizuje się w kontaktach zawodowo-biznesowych i nie jest w Polsce tak popularny, jak media przykładające większą wagę do rozrywki. Mimo to korzysta z niego ok. 4,6 mln osób, pora więc przyjrzeć się jego ustawieniom prywatności i bezpieczeństwa.

Odnośniki do szkodliwych stron, rozpowszechniane za pośrednictwem Facebooka, mają zwykle postać sensacyjnych wiadomości związanych z tym, co się aktualnie dzieje. LinkedIn powstał z myślą o ułatwieniu komunikacji na gruncie zawodowym, dlatego oszustwa wykorzystujące tę platformę skupiają się głównie na aspekcie budowania kariery i zarabiania. Badacze z firmy ESET opisali na swoim blogu najpopularniejsze z nich. Przede wszystkim warto zwrócić uwagę na fałszywe powiadomienia. Jeśli po założeniu konta nie dokonamy żadnych zmian w ustawieniach, to co i rusz na maila będziemy dostawać informacje typu „Wystąpiłeś w 25 wyszukiwaniach w tym tygodniu” albo „Pogratuluj [imię_znajomego] nowej pracy”. Oszuści o tym wiedzą i bez wahania wykorzystują podobnie skonstruowane wiadomości do własnych celów. Nieświadomy podstępu użytkownik po kliknięciu w link towarzyszący fałszywemu powiadomieniu zostanie przekierowany na phishingową stronę, do złudzenia przypominającą LinkedIn, która poprosi o podanie danych uwierzytelniających. Przychylenie się do tej prośby spowoduje przekazanie adresu e-mail (lub numeru telefonu) oraz hasła w ręce przestępców, co pozwoli im na przejęcie konta w serwisie. Skutki ataku można ograniczyć, włączając dwuskładnikowe uwierzytelnianie – jak to zrobić, pokazujemy w dalszej części artykułu.

Innym sposobem kradzieży danych logowania są rzekome oferty pracy pochodzące od fałszywych rekruterów. W takim przypadku do potencjalnej ofiary trafia przekonująco brzmiąca wiadomość prywatna, z której wynika, że spełnia ona wszystkie wymagania bliżej nieznanej firmy oferującej atrakcyjne wynagrodzenie. Atakujący mogą działać dwutorowo. Na pewno będą się starać pozyskać wrażliwe dane, prosząc użytkownika o wypełnienie dodatkowego formularza na specjalnie spreparowanej stronie. Mogą też próbować wyłudzić zaliczkę za wstępne przeszkolenie. Dlatego przypominamy: jeśli jakaś oferta wydaje się zbyt piękna, żeby była prawdziwa, to prawdopodobnie prawdziwa nie jest. Odczytując wiadomości od rekruterów, powinniśmy zwracać uwagę na takie znamiona oszustwa, jak błędy gramatyczne, sprzeczne informacje itp. No i zawsze warto weryfikować, czy firma, do której aplikujemy, naprawdę istnieje – czasem wystarczy zwykłe wyszukiwanie za pomocą Google.

Podstawy Bezpieczeństwa
Artykuł stanowi część cyklu Podstawy Bezpieczeństwa realizowanego od ponad dwóch lat pod patronatem Aruba Cloud. Doradzamy w nim, jak podnosić bezpieczeństwo codziennego używania komputerów, telefonów i internetu. Nawet jeśli nie znajdziecie w nim niczego nowego (chociaż najpierw warto sprawdzić!), to zawsze możecie te wpisy podsyłać swoim bliskim i znajomym – im na pewno się przydadzą. Zachęcamy też do zapoznania się z poprzednimi odcinkami tej serii.

W serwisie LinkedIn można się również natknąć na oszustwa związane z pozagiełdowym rynkiem walutowym (ang. foreign exchange market, w skrócie forex) oraz kryptowalutami. Przestępcy udają doradców finansowych i kontaktując się z użytkownikami, starają się określić ich zamożność oraz skłonność do podejmowania ryzyka. Bazując na uzyskanych informacjach, zachęcają do zainwestowania określonej kwoty. Podobny scenariusz opisaliśmy parę lat temu w artykule „Jak szukając pieniędzy Czytelnika, trafiliśmy na ślad szajki oszustów” (różnił się tylko sposób nawiązania kontaktu z ofiarą). Fałszywi doradcy wabią zainteresowanych na kontrolowaną przez siebie stronę i nakłaniają do wykonywania przelewów, obiecując znaczne zyski w krótkim czasie. Już po kilku dniach informują o pomnożeniu wpłaconej sumy w nadziei, że oszukani zdecydują się na dalsze inwestycje. Próby przetransferowania rzekomo zarobionych środków na własne konto kończą się zwykle niepowodzeniem, a szanse na odzyskanie wyłudzonych pieniędzy są raczej mizerne.

Mogłoby się wydawać, że przestępcy biorą na celownik głównie osoby nieświadome opisywanych zagrożeń, ale tak naprawdę w odpowiednich okolicznościach ofiarą oszustwa może paść każdy z nas. Aby utrudnić postronnym osobom gromadzenie danych, które mogą zostać użyte do personalizacji zwodniczych ofert, warto poświęcić pół godziny i prawidłowo skonfigurować swoje konto.

Jak zadbać o prywatność w serwisie LinkedIn

Zaczynamy od kliknięcia w strzałkę przy naszym zdjęciu portretowym u góry strony i z wyświetlonego menu wybieramy „Ustawienia prywatności”. W sekcji „Zarządzaj swoimi informacjami i aktywnością” możemy m.in. zapoznać się z aktualną umową użytkownika, polityką ochrony prywatności i zasadami dotyczącymi plików cookie. Z tej pierwszej dowiemy się, że z serwisu nie powinny korzystać osoby poniżej 16 roku życia, zabronione jest też posługiwanie się fałszywą tożsamością. Z polityki prywatności wynika, że oprócz podawanych przez użytkownika danych LinkedIn gromadzi informacje o częstotliwości i sposobie korzystania z jego usług, a za pomocą ciasteczek zbiera dane dotyczące urządzeń i sieci, których używamy, logując się do serwisu. Interesuje go także nasza lokalizacja. Tak jak Facebook czy Google, LinkedIn wyświetla swoje reklamy na innych stronach i umożliwia logowanie się do usług firm trzecich za pośrednictwem założonego w nim konta – to dwie najczęściej stosowane metody pozyskiwania danych o użytkownikach z zewnętrznych źródeł. Gromadzone dane służą firmie do tego, by „dostarczać, wspierać, dostosowywać i rozwijać” usługi, które pozwalają m.in. „odkrywać możliwości kariery, oceniać okazje związane z edukacją, zostać znalezionym lub znaleźć nowe możliwości zawodowe”. LinkedIn uprzedza, że z uwagi na zobowiązania prawne niektóre informacje przechowuje, nawet jeśli użytkownik postanowi swoje konto usunąć. Opcję „Zamknij konto” ukryto w zakładce „Dołączyłeś(-aś) do LinkedIn” w sekcji „Zarządzaj swoimi informacjami i aktywnością” (w to samo miejsce trafimy, wybierając najpierw „Preferencje konta”, następnie „Zarządzanie kontem”). Po skorzystaniu z tej opcji dane osobowe przestają być widoczne dla innych osób w ciągu 24 godzin, kasowanie pozostałych informacji trwa około 30 dni.

Ustawienia prywatności w serwisie LinkedIn

Korzystając z opcji „Pobierz kopię danych”, możemy poprosić o archiwum .zip zawierające większą ilość informacji (wszystko w formacie .csv) lub określone ich kategorie, np. kontakty i wiadomości. Dostęp do archiwum z podstawowymi danymi uzyskamy w ciągu 10 minut, na link do pobrania całości będziemy musieli poczekać ok. 48 godzin. Przygotowany przez LinkedIn plik przestanie być dostępny po kolejnych 72 godzinach.

Warto ponadto zajrzeć do sekcji „Zarządzaj preferencjami plików cookie”, gdzie możemy zabronić serwisowi korzystania z trzech rodzajów ciasteczek – służących do personalizacji reklam, badania skuteczności usług oraz ulepszania funkcji. Cofnięcie domyślnej zgody na ich używanie nie wywoła żadnych negatywnych konsekwencji, z kolei ciasteczek niezbędnych do działania serwisu wyłączyć się nie da (zob. Tabela plików cookie LinkedIn). Zalecamy też dezaktywację przekazywania danych stronom trzecim w celu prowadzenia badań naukowych – można to zrobić, wchodząc do zakładki „Badania społeczne, ekonomiczne i zawodowe”. Aby jeszcze lepiej zadbać o swoją prywatność, warto również wyczyścić historię przyprowadzonych w serwisie wyszukiwań.

Preferencje dotyczące poszukiwania pracy

Przewijając stronę do dołu, trafimy do sekcji „Preferencje dotyczące poszukiwania pracy”, gdzie możemy m.in. zarządzać różnymi wersjami swego CV i zapisywać odpowiedzi udzielane w momencie aplikowania do wybranych firm, udostępnić potencjalnym pracodawcom swój pełny profil (warto przed tym upewnić się, że nie zawiera on zbędnych danych), a także utworzyć alerty o ofertach pracy w konkretnych firmach i poinformować o tym rekruterów. Jak wcześniej wspominaliśmy, LinkedIn nie jest wolny od oszustów, każdą otrzymaną ofertę należy więc rozpatrywać zdroworozsądkowo – naszą czujność powinna wzbudzić np. prośba o podanie danych bankowych już przy pierwszym kontakcie.

Jeśli za pośrednictwem naszego konta logowaliśmy się na stronach zewnętrznych usługodawców (albo w inny sposób powiązaliśmy profile), to powinniśmy zajrzeć do zakładki „Dozwolone usługi” i zweryfikować, czy aby na pewno chcemy tym firmom udostępniać nasze dane z serwisu LinkedIn. Jeśli nie, możemy wcześniejszą autoryzację cofnąć. Jeśli nadal chcielibyśmy z ich usług korzystać, powinniśmy rozważyć założenie kont bezpośrednio na tych stronach.

Jak zarządzać widocznością naszego profilu

W zakładce „Widoczność” możemy zweryfikować, jak będzie wyglądał nasz profil z perspektywy niezalogowanych użytkowników sieci, którzy dotrą do niego np. za pomocą wyszukiwarki. Opcja „Edytuj swój profil publiczny” pozwala spersonalizować jego adres URL i określić, czy chcemy wszystkim pokazywać nasze zdjęcie, publikowane treści, informacje o doświadczeniu zawodowym itp. To jeden z tych przypadków, kiedy „mniej” oznacza „lepiej” – ograniczając widoczność naszego profilu poza platformą społecznościową, utrudnimy potencjalnym atakującym zbieranie naszych danych. LinkedIn umożliwia odnajdywanie profilów przy użyciu adresów e-mail i numerów telefonu, ale możemy mu tego zabronić, dezaktywując odpowiednie opcje w sekcji „Widoczność Twojego profilu i sieci”.

Zarządzanie widocznością profilu

Opcja „Reprezentowanie Twojej organizacji i zainteresowań” pozwala wykluczyć wyświetlanie naszych danych wraz z treściami, których sami nie opublikowaliśmy. Chodzi np. o wydarzenia, w których uczestniczymy, firmy, z którymi wchodzimy w interakcję, usługi, które lubimy itd. LinkedIn może je promować, posługując się naszym nazwiskiem (bez powiadamiania nas o tym), dlatego lepiej tę funkcję wyłączyć. Warto też upewnić się, że nasz adres e-mail nie zostanie pobrany przez inne osoby podczas eksportu ich danych, zwłaszcza jeśli mamy zwyczaj akceptowania zaproszeń do znajomych od osób, z którymi nie utrzymujemy bliższych kontaktów.

Ustawienia dotyczące aktywności w serwisie LinkedIn

W sekcji „Widoczność Twojej aktywności na LinkedIn” możemy określić, czy inni użytkownicy serwisu mogą nas oznaczać w swoich postach, komentarzach lub na zdjęciach. Jeśli na to zezwolimy, powinniśmy w zakładce „Komunikacja” ustawić opcję powiadamiania o wszystkich wzmiankach i znacznikach – wtedy w razie potrzeby będziemy mogli się ich pozbyć. Warto też rozważyć, czy chcemy naszych znajomych powiadamiać o kluczowych aktualizacjach profilu. Dzięki temu wszyscy mogą się dowiedzieć np. o planowanej zmianie pracy, zanim na dobre zabierzemy się do składania aplikacji – a to może postawić nas w złym świetle przed obecnym pracodawcą. Aby zredukować liczbę postronnych osób mających dostęp do naszych danych, warto dać możliwość obserwowania nas tylko znajomym (niestety spowoduje to wyłączenie trybu twórcy, jeśli wcześniej go używaliśmy).

Ustawienia dotyczące komunikacji

Możemy też zrezygnować z otrzymywania wiadomości od osób spoza naszych kontaktów. Aby to zrobić, musimy się udać do zakładki „Komunikacja” i wprowadzić odpowiednie zmiany w sekcji „Kto może skontaktować się z Tobą”. W ten sposób pozbędziemy się też reklam i zaproszeń do udziału w badaniach rozsyłanych przez partnerów marketingowych serwisu.

Jak zadbać o bezpieczeństwo w serwisie LinkedIn

Przejdźmy teraz do sekcji „Logowanie i bezpieczeństwo”, gdzie możemy zaktualizować podany przy rejestracji adres e-mail, dodać numer telefonu, zmienić hasło na silniejsze, wylogować się z innych, nadal aktywnych sesji (co na pewno warto zrobić) i zarządzać urządzeniami, które powiązaliśmy z naszym kontem. Przede wszystkim powinniśmy jednak włączyć dwuskładnikowe uwierzytelnianie (ang. two-factor authentication, w skrócie 2FA), które polega na wykorzystaniu w trakcie logowania dodatkowego etapu weryfikacji użytkownika.

Ustawienia bezpieczeństwa w serwisie LinkedIn

LinkedIn – w odróżnieniu od takich platform społecznościowych jak Facebook czy Twitter – nie obsługuje kluczy U2F, mamy więc do wyboru jednorazowe kody wysyłane za pomocą SMS-ów lub generowane przez aplikację mobilną. Pierwsza z wymienionych metod jest bardziej zawodna. Od lat eksperci obserwują rozwój zagrożeń potrafiących wykradać SMS-y z komórek, nie tracą też na popularności ataki typu SIM swapping, czyli przejmowanie cudzych numerów telefonu dzięki duplikatom kart SIM wyłudzanym w salonach operatorów. Z tego względu zalecamy wybranie opcji „Aplikacja Authenticator”. Aby przejść dalej, będziemy musieli wpisać hasło do serwisu.

Konfiguracja dwuskładnikowego uwierzytelniania

LinkedIn wyświetli wtedy kod QR, który musimy zeskanować, uruchamiając na smartfonie zainstalowaną wcześniej aplikację uwierzytelniającą. Warto korzystać z takiej, która nie pozwala na przechwytywanie zawartości ekranu (nie wymyślono dotąd sposobu na wyciąganie jednorazowych kodów bezpośrednio z aplikacji, przestępcy starają się jednak przechytrzyć użytkowników, robiąc zrzuty ekranu). Jeśli z jakiegoś powodu nie będziemy mogli zeskanować kodu QR, możemy przepisać widniejący pod nim ciąg znaków. Aby zakończyć proces, musimy na stronie wprowadzić 6-cyfrowy kod weryfikacyjny wyświetlony w wybranej przez nas aplikacji.

Generowanie kodów odzyskiwania dostępu

Na koniec warto wygenerować kody odzyskiwania dostępu, które mogą nam się przydać, gdy z jakiegoś powodu nie będziemy mogli skorzystać z telefonu (również w przypadku jego zgubienia lub kradzieży). Wygenerowane kody należy skopiować i zapisać w bezpiecznym miejscu – możemy do tego celu użyć np. naszego menedżera haseł.

Jak ograniczyć przekazywanie danych reklamodawcom

LinkedIn, jak większość mediów społecznościowych, czerpie zyski z serwowania użytkownikom reklam, stara się więc jak najlepiej dopasować je do naszych rzekomych potrzeb. Aby ograniczyć personalizację tego typu treści, powinniśmy zajrzeć do zakładki „Dane reklamowe”. W sekcji „Preferencje reklamy” możemy serwisowi zabronić korzystania z informacji, które zamieściliśmy w naszym profilu – wystarczy przesunąć suwak do pozycji „Nie”. LinkedIn będzie próbował określić nasze zainteresowania na podstawie podejmowanych w nim działań oraz wyszukiwań za pomocą Binga – to ustawienie również możemy zmodyfikować. Zmiany powinny wejść w życie w ciągu 72 godzin.

Dane wykorzystywane do personalizacji reklam

Dążąc do pokazywania „bardziej istotnych reklam”, serwis wykorzystuje większość informacji, które o nas gromadzi. Uwzględnia m.in. nasze kontakty, lokalizację, dane demograficzne (czyli wiek i płeć), wykształcenie, historię zatrudnienia, a także informacje od firm, które obserwujemy i z grup, do których należymy. Możemy wykluczyć posługiwanie się tymi danymi do celów reklamowych, wprowadzając stosowne zmiany w sekcji „Dane zebrane na LinkedIn”.

Informacje stron trzecich wykorzystywane przez LinkedIn

Informacje o naszej aktywności na zewnętrznych witrynach, agregowane za pośrednictwem napisanego w JavaScripcie kodu Insight Tag, mogą posłużyć do wyświetlania spersonalizowanych reklam zarówno w serwisie LinkedIn, jak i poza nim. Podobnie z danymi, które przekazujemy innym firmom, powiązanym w jakiś sposób z omawianą platformą społecznościową. Aby temu zapobiec, należy wszystkie opcje dostępne w sekcji „Informacje stron trzecich” ustawić na „Nie”.

Kilka podstawowych zasad na koniec

LinkedIn może się wydawać bezpieczniejszym środowiskiem niż np. Facebook, ale – jak pokazaliśmy na początku artykułu – oszuści mogą nas dopaść również tam. Aby ograniczyć ich możliwości, warto stosować się do kilku prostych zasad:

  • Zacznij od upewnienia się, że tylko niezbędne informacje są pokazywane osobom spoza Twoich kontaktów. Dokładnie przejrzyj ustawienia prywatności, zwłaszcza jeśli nigdy wcześniej tego nie robiłeś albo od założenia i skonfigurowania konta minęło sporo czasu (niewykluczone, że LinkedIn wprowadził nowe funkcje lub zmodyfikował stare).
  • Traktuj z ostrożnością prośby o dodanie do kontaktów od osób, których nie rozpoznajesz, w szczególności nie klikaj w podsyłane przez nich linki i nigdzie się nie loguj. Możesz sprawdzić, czy macie wspólnych znajomych, którzy byliby w stanie zweryfikować tożsamość tych osób.
  • Jeśli nie masz pewności, czy otrzymana przez Ciebie wiadomość jest prawdziwa – zamiast klikać w zawarty w niej potencjalnie niebezpieczny link, otwórz LinkedIn bezpośrednio w przeglądarce i sprawdź swoje powiadomienia.
  • Poświęć chwilę na zapoznanie się z ustawieniami bezpieczeństwa. Przede wszystkim użyj silnego hasła i włącz dwuskładnikowe uwierzytelnianie, które zapobiegnie włamaniu na konto, jeśli to hasło wycieknie lub zostanie nieopatrznie przez Ciebie ujawnione.

Dla zachowania pełnej przejrzystości: Patronem cyklu jest Aruba Cloud. Za opracowanie i opublikowanie tego artykułu pobieramy wynagrodzenie.

Powrót

Komentarze

  • 2022.10.04 22:26 Sebastian Botowski

    Byłem kiedyś rekrutowany jako specjalista cyber security. Z początku nic nie zapowiadało katastrofy – Pani rekruterka działa dla firmy, która szuka pracowników dla jakiejs zagragnicznej firmy z USA. Umowilismy sie na rozmowe. Niby nic, ale Pani dzwoni (tak twierdzi) z Kijowa. Dostałem link do storny firmy (ADF Solutions). Zacząłem przyglądać się firmie – raz zarejestrowana w jednym stanie i zamknięta, potem zarejestrowana w drugim stanie i zamknięta. Dane ze strony cały czas prowadzą do jednego z tych zamknietych adresow. Dane z domeny do drugiego. Pare razy pytałem tu i tam, włącznie z wysyłaniem maili do firmy, że ktoś mnie rekrutuje do nich i chciałbym, aby pomogli mi znaleźć informacje o rejestracji firmy. Bez odzewu, a konto na linkedin cały czas coś publikuje.

    Jestem przekonany, że ta firma to scam – bo nie wiem jak to wytłumaczyć. A napewno ta rekrutacja. Takich ofert z ukrainy czy momentami wręcz ewidentnie z Rosji miałem już kilkadziesiąt. Coś jest na rzeczy.

    Odpowiedz
    • 2022.10.05 09:43 asdsad

      Spróbuj pociągnąć to dalej – ciekawe co by z tego wyszło?

      Odpowiedz
      • 2022.12.02 16:53 Maximus

        …ja się właśnie dowiedziałem :), zablokowane własne konto na LI.
        Typowy SCAM na Orlen, ze spora liczą komentarzy, przez swoją naiwność zostawiłem komentarz „UWAGA SCAM” i umieściłem link do oficjalnej strony ORELN’u i KNF ostrzegających o tych kampaniach, dodatkowo zgłosiłem posta do LI jako SCAM. Efekt, na drugi dzień zablokowane moje konto, jedyna opcja odblokowania to przesłanie i weryfikacja dowodu.

        Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Podstawy Bezpieczeństwa: LinkedIn – jak zadbać o prywatność i bezpieczeństwo

Komentarze