Un exceso de perfiles falsos de LinkedIn pone a Recursos Humanos en contra de los bots – Krebs in Security

Difusión reciente de perfiles ejecutivos falsos en LinkedIn Crea una especie de crisis de identidad para el sitio web de la red comercial y las empresas que dependen de él para reclutar y seleccionar empleados potenciales. Las identidades falsas de LinkedIn, que vinculan imágenes de perfil generadas por inteligencia artificial con texto de cuentas legítimas, crean problemas importantes para los departamentos de recursos humanos de la empresa y para quienes administran grupos de LinkedIn solo por invitación.

La semana pasada, KrebsOnSecurity comprobó Un torrente de perfiles de LinkedIn no originales Todos tienen funciones exigentes de jefe de seguridad de la información (CISO) en varias empresas de Fortune 500, incluidas BiogenY el cheurónY el exxonmobilY el Hewlett Packard.

Desde entonces, la respuesta de los usuarios y lectores de LinkedIn ha dejado en claro que estos perfiles falsos aparecen colectivamente para casi todos los roles ejecutivos, pero especialmente para trabajos e industrias adyacentes a eventos mundiales recientes y tendencias de noticias.

Hamish Taylor ejecutar el Especialistas en sostenibilidad Un grupo en LinkedIn, que tiene más de 300.000 miembros. Junto con el copropietario del grupo, Taylor dijo que prohibieron Más de 12.700 perfiles falsos sospechosos en lo que va del añoincluidas docenas de novelas recientes que Taylor describió como «intentos satíricos de manipular a los expertos humanitarios y de ayuda en situaciones de crisis».

“Recibimos más de 500 solicitudes de perfiles falsos para unirnos semanalmente”, dijo Taylor. «El infierno ha estado golpeando desde enero de este año. Antes de eso, no teníamos los enjambres de falsificaciones que vemos ahora».

La diapositiva de apertura del llamamiento de Taylor Group a LinkedIn.

Taylor publicó recientemente una publicación en LinkedIn titulada «Crisis de identidad falsa de LinkedIn, que se burló de los «60 expertos menos buscados en el alivio de crisis», perfiles falsos que afirmaban ser expertos en esfuerzos de recuperación de desastres después de los huracanes recientes. Las imágenes de arriba y abajo muestran solo un enjambre de perfiles que el grupo identificó como no originales. Casi todos estos perfiles han sido eliminados de LinkedIn después de que KrebsOnSecurity tuiteara sobre ellos la semana pasada.

Otro «enjambre» de cuentas de bots de LinkedIn identificado por el grupo de Taylor.

Marcos Miller es el dueño grupo DevOps En LinkedIn, dice que trata con perfiles falsos a diario, a menudo cientos por día. Lo que Taylor llamó «enjambres» de cuentas falsas, Miller lo describió como «oleadas» de solicitudes de cuentas falsas.

“Cuando el robot intenta infiltrarse en el grupo, lo hace en oleadas”, dijo Miller. «Veremos de 20 a 30 solicitudes que vienen con el mismo tipo de información en los perfiles».

Después de filmar oleadas de presuntas solicitudes de perfiles falsos, Miller comenzó a enviar fotos a los equipos de abuso de LinkedIn, quienes le dijeron que revisarían su solicitud pero que podrían no ser notificados de ninguna acción tomada.

Algunos de los perfiles de bot identificados por Mark Miller buscaban acceso a su grupo DevOps en LinkedIn. Todos estos perfiles se enumeran en el orden en que aparecieron, dijo Miller.

Miller dijo que después de meses de presentar una queja y compartir información de perfil falso con LinkedIn, la red social parecía estar haciendo algo que provocó que el volumen de solicitudes de membresía grupal de cuentas falsas se redujera drásticamente.

“Escribí a nuestro representante de LinkedIn y le dije que estábamos considerando cerrar el grupo porque los bots eran muy malos”, dijo Miller. «Le dije: ‘Deberías hacer algo en el backend para evitar esto’. «

jason lathrop Es el Vicepresidente de Tecnología y Operaciones de externalizar ISO, una firma de consultoría con sede en Seattle con aproximadamente 100 empleados. Al igual que Miller, la experiencia de Lathrop en la lucha contra los perfiles de bots en LinkedIn sugiere que el gigante de las redes sociales eventualmente responderá a las quejas sobre cuentas no genuinas. Es decir, si los usuarios afectados se quejan lo suficientemente fuerte (publicarlo públicamente en LinkedIn parece ayudar).

Hace aproximadamente dos meses, dijo Lathrop, el empleador notó olas de nuevos seguidores e identificó a más de 3,000 seguidores que compartían diferentes elementos, como imágenes de perfil o descripciones de texto.

«Entonces me di cuenta de que todos decían estar trabajando con nosotros en un título aleatorio dentro de la organización», dijo Lathrop en una entrevista con Krebs on Security. «Cuando nos quejamos a LinkedIn, nos dijeron que estos perfiles no violan las pautas de su comunidad. ¡Pero no lo hacen! ¡Estas personas no existen y afirman que trabajan para nosotros!»

Lathrop dijo que después de la tercera queja de su empresa, un representante de LinkedIn respondió pidiéndole a ISOutsource que enviara una hoja de cálculo con una lista de todos los empleados legítimos de la empresa y sus enlaces de perfil correspondientes.

Poco después, los perfiles falsos que no estaban en la lista de empresas fueron eliminados de LinkedIn. Lathrop dijo que todavía no estaba seguro de cómo manejarían la entrada de nuevos empleados en su empresa en LinkedIn en el futuro.

Todavía no está claro por qué aparece LinkedIn Inundado con muchos perfiles falsos últimamenteO cómo se obtienen las fotos de perfil falsas. Las pruebas aleatorias de imágenes de perfil muestran que son similares pero no idénticas a otras imágenes publicadas en Internet. Varios lectores han señalado una fuente potencial: thispersondoesnotexist.com, que hace que el uso de IA para crear fotografías únicas sea un ejercicio de apuntar y hacer clic.

empresa de seguridad cibernética mandante (Recientemente adquirida por El Google) Dile a Bloomberg Que los piratas informáticos que trabajaban para el gobierno de Corea del Norte estaban copiando currículos y perfiles de las principales plataformas de listas de empleos de LinkedIn y, de hecho, como parte de un elaborado plan para conseguir empleos en empresas criptográficas.

Los perfiles falsos también pueden estar asociados con los llamados Trucos de «Matanza de cerdos»donde las personas son atraídas por extraños coquetos en línea para invertir en intercambios de criptomonedas que finalmente confiscan los fondos cuando las víctimas intentan retirar dinero.

Además, se han identificado ladrones de identidad Para hacerse pasar en LinkedIn como empleados para trabajosy recopilar información personal y financiera de personas que caen en estafas de reclutamiento.

Pero Taylor, el director del grupo de sustentabilidad, dijo que los bots que los rastrean de manera extraña no responden a los mensajes y no parecen estar tratando de publicar contenido.

Taylor evaluó: «Claramente no están siendo monitoreados». “O simplemente se crean y luego se dejan que se infecten”.

Esta experiencia fue compartida por el gerente del grupo DevOp, Miller, quien dijo que también trató de atraer perfiles falsos con mensajes que sugerían sus falsificaciones. Miller dice que le preocupa que alguien pueda crear una red social masiva de bots para algún ataque futuro en el que las cuentas de bots puedan usarse para amplificar la información errónea en línea, o al menos distorsionar la verdad.

«Es como si alguien estuviera construyendo una enorme red de bots, de modo que cuando hay un gran mensaje que necesita salir, pueden publicar en masa con todos estos perfiles falsos», dijo Miller.

En la historia de la semana pasada sobre el tema, sugerí que LinkedIn tome un paso simple que hace que sea muy fácil para las personas tomar decisiones informadas sobre la confianza en un perfil en particular: agregar una fecha de «creación en» a cada perfil. Twitter hace esto y es muy útil para filtrar una gran cantidad de ruido y comunicaciones no deseadas.

Varios de nuestros lectores en Twitter dijeron que LinkedIn necesita brindarles a los empleadores más herramientas, tal vez algún tipo de API, que les permita eliminar rápidamente los perfiles que afirman falsamente que trabajan en sus organizaciones.

Otro lector sugirió que LinkedIn también podría intentar ofrecer algo similar a una etiqueta de Twitter verificada a los usuarios que eligieran verificar que podían responder al correo electrónico en el dominio asociado con su empleador anunciado actual.

En respuesta a las preguntas de KrebsOnSecurity, LinkedIn dijo que está considerando la idea de la verificación de dominio.

“Este es un desafío continuo y estamos trabajando constantemente para mejorar nuestros sistemas para detener los productos falsificados antes de que aparezcan en línea”, dijo LinkedIn en una declaración escrita. «Detenemos la gran mayoría de la actividad fraudulenta que detectamos en nuestra comunidad: alrededor del 96 % de las cuentas falsas y alrededor del 99,1 % del spam y las estafas. También estamos explorando nuevas formas de proteger a nuestros miembros, como expandir la verificación del dominio de correo electrónico. Nuestra comunidad gira en torno a personas reales que tienen conversaciones, con un propósito y siempre para aumentar la legitimidad y la calidad de nuestra sociedad”.

en Una historia publicada el miércoles.Bloomberg señala que hasta ahora LinkedIn ha evitado en gran medida los escándalos en torno a los bots que han afectado a redes como Facebook y Twitter. Pero ese brillo está empezando a dar sus frutos, ya que más usuarios se ven obligados a perder más tiempo luchando contra cuentas no originales.

«Lo que está claro es que el perfil de LinkedIn como una red social para profesionales serios la convierte en una plataforma ideal para adormecer a los miembros con una falsa sensación de seguridad». tim kiplan Escribió. «Lo que exacerba el riesgo de seguridad es la gran cantidad de datos que LinkedIn recopila y publica, lo que sustenta todo su modelo comercial, pero carece de mecanismos de verificación sólidos».