الانتشار الأخير لملفات تعريف تنفيذية مزيفة ينكدين هناك شيء ما يخلق أزمة هوية لمنصة شبكات الأعمال والشركات التي تعتمد عليها لتوظيف وفحص الموظفين المحتملين. تؤدي هويات LinkedIn المزيفة – التي تجمع بين صور الملف الشخصي التي تم إنشاؤها بواسطة الذكاء الاصطناعي والنص المأخوذ من حسابات شرعية – إلى حدوث مشكلات كبيرة في إدارات الموارد البشرية في الشركة وتلك التي تدير مجموعات LinkedIn المخصصة للدعوة فقط.
في الأسبوع الماضي ، حقق كريبس أون سكيورتي سيل من الملفات الشخصية غير الموثوقة على LinkedIn جميع مسؤوليات كبير مسؤولي أمن المعلومات (CISO) في مختلف شركات Fortune 500 ، بما في ذلك بيوجينو شيفرونو إكسون موبيلو هيوليت باكارد.
منذ ذلك الحين ، أوضحت استجابة مستخدمي LinkedIn والقراء أن هذه الملفات الشخصية المزيفة تظهر بشكل متزايد في جميع الأدوار الإدارية تقريبًا – خاصة الوظائف والصناعات القريبة من أحدث الأحداث العالمية والاتجاهات الإخبارية.
هاميش تايلور ادارة خبراء الاستدامة مجموعة على LinkedIn تضم أكثر من 300000 عضو. قال تيلور ، إلى جانب المالك الشريك للمجموعة ، إنه تم حظرهما تم الاشتباه في أكثر من 12700 ملف شخصي مزيف حتى الآن هذا العامبما في ذلك العشرات من الروايات الأخيرة لما وصفه تايلور بـ “محاولات ساخرة لاستغلال العاملين في مجال الإغاثة الإنسانية والإغاثة في الأزمات”.
قال تايلور: “نتلقى 500 طلب ملف شخصي مزيف للانضمام على أساس أسبوعي”. “لقد تعرضت للجحيم منذ يناير من هذا العام. قبل ذلك لم يكن لدينا أسراب من المنتجات المقلدة التي نشهدها الآن.
نشر تايلور مؤخرًا على LinkedIn ، “أزمة الهوية المزيفة في LinkedIn، “الذي يقرأ” 60 مطلوبًا على الأقل من “خبراء الإغاثة في الأزمات” – ملفات شخصية مزيفة تدعي أنهم خبراء في جهود التعافي من الكوارث في أعقاب الأعاصير الأخيرة. تُظهر الصور أعلاه وأسفل مجموعة من الملفات الشخصية التي حددتها المجموعة على أنها غير موثوقة. بعد KrebsOnSecurity غرد عنها الأسبوع الماضي ، تمت إزالة جميع هذه الملفات الشخصية من LinkedIn.
مارك ميلر مالك فريق DevOps على LinkedIn ، ويقول إنه يتعامل مع الملفات الشخصية المزيفة على أساس يومي – غالبًا المئات في اليوم. ما أسماه تايلور “أسراب” من الحسابات المزيفة ، وصفه ميلر بأنه “موجات” من الطلبات الواردة من الحسابات المزيفة.
قال ميلر: “عندما يحاول الروبوت التسلل إلى مجموعة ، فإنه يخترق الأمواج”. “سنرى 20-30 طلبًا يأتي بنفس المعلومات في الملفات الشخصية.”
بعد التقاط لقطة شاشة لموجة من طلبات الملفات الشخصية المزيفة المشبوهة ، بدأت ميلر في إرسال الصور إلى مجموعات إساءة استخدام LinkedIn ، والتي قالت إنها ستراجع طلبها ، لكنها لن تبلغها أبدًا بأي إجراء تم اتخاذه.
بعد أشهر من الإبلاغ عن معلومات الملف الشخصي المزيفة ومشاركتها مع LinkedIn ، يبدو أن شبكة التواصل الاجتماعي قد فعلت شيئًا قلل بشكل كبير من حجم طلبات عضوية المجموعة من الحسابات المزيفة.
قال ميلر: “لقد كتبت ممثل LinkedIn الخاص بنا ونفكر في إغلاق المجموعة في أسوأ حالاتها”. “قلت إن عليك أن تفعل شيئًا في الخلفية لمنع ذلك.”
جايسون لاثروب هو نائب رئيس التكنولوجيا والعمليات في ISO outource، وهي شركة استشارية مقرها سياتل ويعمل بها ما يقرب من 100 موظف. مثل Miller ، تشير تجربة Lathrop في محاربة ملفات تعريف الروبوت على LinkedIn إلى أن عملاق الشبكات الاجتماعية سيستجيب في النهاية للشكاوى المتعلقة بالحسابات المزيفة. بمعنى ، إذا اشتكى المستخدمون المتأثرون بصوت عالٍ (يمكن أن يساعد النشر علنًا حول هذا الموضوع على LinkedIn).
تقول لاثروب إن رئيسها لاحظ موجة من المتابعين الجدد منذ حوالي شهرين وحدد أكثر من 3000 متابع ، شاركوا جميعًا عناصر مختلفة ، مثل صور الملف الشخصي أو أوصاف النص.
قال لاثروب في مقابلة مع كريبس أون سكيورتي: “لقد لاحظت أنهم كانوا جميعًا يقولون إنهم يعملون معنا في موضوع عشوائي داخل الشركة”. “عندما قدمنا شكوى إلى LinkedIn ، كانوا يخبروننا أن هذه الملفات الشخصية لا تنتهك إرشادات مجتمعهم. لكنهم ليسوا كذلك! لا يقول هؤلاء الناس أنهم يعملون لدينا!
قال لاثروب بعد الشكوى الثالثة لشركته ، استجاب ممثل LinkedIn من خلال مطالبة ISOutsource بإرسال جدول بيانات يسرد كل موظف شرعي في الشركة وروابط ملفه الشخصي.
بعد ذلك ، تمت إزالة الملفات الشخصية المزيفة التي لم تكن مدرجة في قائمة الشركة من LinkedIn. قال لاثروب إن LinkedIn غير متأكد حتى الآن من كيفية تعاملهم مع السماح للموظفين الجدد بالدخول إلى شركتهم.
من غير الواضح سبب وجود LinkedIn في الآونة الأخيرة مليئة بالعديد من الملفات الشخصية المزيفة، أو كيفية الحصول على صور ملف تعريف مزيفة. أظهر فحص عشوائي لصور الملف الشخصي أنها كانت مشابهة للصور الأخرى المنشورة على الإنترنت ، لكنها غير متطابقة. أشار العديد من القراء إلى مصدر محتمل – thispersondoesnotexist.com ، وهو موقع ويب يستخدم الذكاء الاصطناعي لإنشاء لقطات فريدة للرأس كتمرين للإشارة والنقر.
شركة الأمن السيبراني مونتيانت (تم شراؤها مؤخرا جوجل) قال بلومبرج يقوم المتسللون الذين يعملون لحساب الحكومة الكورية الشمالية بنسخ السير الذاتية والملفات الشخصية من مواقع قوائم الوظائف الرائدة LinkedIn و إنديد كجزء من مخطط تفصيلي للحصول على وظائف في شركات العملات المشفرة.
يمكن ربط ما يسمى بالملفات الشخصية المزيفة الحيل “ذبح الخنازير”ينجذب الناس إلى الغرباء الذين يتصفحون الإنترنت للاستثمار في منصات تداول العملات المشفرة.
بالإضافة إلى ذلك ، فإن لصوص الهوية معروفون تنكر نفسك كموظف على LinkedInجمع المعلومات الشخصية والمالية من الأشخاص الذين يقعون في خدع التوظيف.
لكن تايلور ، وهو مسؤول تنفيذي في مجموعة الاستدامة ، قال إن الروبوتات التي تتبعها كانت بشكل غريب لا تستجيب للرسائل أو تحاول نشر محتوى.
تقييم تايلور “من الواضح أنهم لم يخضعوا للمراقبة”. “أو يتم إنشاؤها ثم تُترك لتتحلل”.
تمت مشاركة هذه التجربة بواسطة Miller ، مسؤول فريق DevOp ، الذي قال إنه حاول إغراء الرسائل التي تشير إلى ملفات شخصية مزيفة. يقول ميلر إن شخصًا ما يقوم بإنشاء روبوتات على شبكة اجتماعية رئيسية لبعض الهجمات المستقبلية ، حيث يمكن استخدام الحسابات الآلية لنشر معلومات مضللة عبر الإنترنت أو على الأقل إخفاء الحقيقة.
قال ميلر: “يشبه الأمر تقريبًا قيام شخص ما بإنشاء شبكة روبوت ضخمة ، لذلك عندما تكون هناك حاجة إلى إرسال رسالة كبيرة ، يمكنهم نشر كل هذه الملفات الشخصية المزيفة بشكل جماعي”.
في قصة الأسبوع الماضي حول هذا الموضوع ، اقترحت أن يتخذ LinkedIn خطوة بسيطة تسهل على الأشخاص اتخاذ قرارات مستنيرة حول ما إذا كانوا سيثقون في ملف تعريف معين: إضافة تاريخ “تم إنشاؤه” إلى كل ملف تعريف. يقوم Twitter بهذا ، ويمكن أن يكون مفيدًا جدًا في تصفية الكثير من الضوضاء والتواصل غير الضروري.
قال العديد من قرائنا على Twitter إنه يجب على LinkedIn تزويد أصحاب العمل بمزيد من الأدوات – ربما نوعًا من واجهة برمجة التطبيقات (API) – التي من شأنها أن تسمح لهم بإزالة الملفات الشخصية التي تدعي أنها خاطئة في شركاتهم بسرعة.
اقترح قارئ آخر أن LinkedIn يمكن أيضًا تجربة تقديم شيء مشابه لعلامة Twitter التي تم التحقق منها للمستخدمين الذين يختارون التحقق من قدرتهم على الرد على البريد الإلكتروني على مجال مرتبط بصاحب العمل الحالي.
ردًا على أسئلة من KrebsOnSecurity ، قالت LinkedIn إنها تدرس فكرة التحقق من النطاق.
وقالت لينكد إن في بيان مكتوب: “هذا تحدٍ مستمر ، ونحن نعمل باستمرار على تحسين أنظمتنا لوقف التزييف قبل الاتصال بالإنترنت”. “نوقف معظم الأنشطة الاحتيالية التي نكتشفها في مجتمعنا – حوالي 96٪ من الحسابات المزيفة و 99.1٪ من الرسائل غير المرغوب فيها والخداع. نحن أيضًا نستكشف طرقًا جديدة لحماية أعضائنا ، مثل توسيع نطاق التحقق من نطاق البريد الإلكتروني. مجتمعنا هو حول أشخاص حقيقيين يجرون محادثات هادفة وشرعية وجودة مجتمعنا. يتزايد دائمًا.
في قصة نشرت يوم الاربعاءأشارت بلومبرج إلى أن LinkedIn تجنبت حتى الآن الفضائح المتعلقة بالروبوتات التي ابتليت بها شبكات مثل Facebook و Twitter. لكن هذا اللمعان بدأ في التلاشي حيث يضطر المزيد من المستخدمين إلى إضاعة وقتهم.
يقول بلومبيرج: “ما هو واضح هو أن موقع LinkedIn هو عبارة عن شبكة اجتماعية للمهنيين الجادين ، مما يجعلها منصة مثالية لتهدئة الأعضاء إلى شعور زائف بالأمان”. تيم كابلان كتب “تفاقم المخاطر الأمنية هو الكم الهائل من البيانات التي تجمعها LinkedIn وتنشرها ، والتي تدعم نموذج أعمالها بالكامل ، ولكنها تفتقر إلى آليات تحقق قوية.”
“متعصب للموسيقى. مستكشف متواضع جدا. محلل. متعصب للسفر. مدرس تلفزيوني متطرف. لاعب.”