LinkedIn อาจถูกใช้เป็นเครื่องมือโจมตี Phishing ปี 2025 ?

Phishing เป็นภัยคุกคามที่รุนแรงขึ้น โดยในระยะหลัง ๆ เริ่มมีการใช้ช่องทาง LinkedIn ในการทำ Phishing มากขึ้น เนื่องจากเป็นแพลตฟอร์มออนไลน์ถูกออกแบบมาเพื่อการสร้างเครือข่ายทางธุรกิจ (business networking) สำหรับทำโปรไฟล์ข้อมูลเพื่อให้ใช้ในการสมัครงาน จึงมีข้อมูลส่วนบุคคล เช่น ชื่อ-สกุล ชื่อบริษัท เบอร์โทร อีเมล ฯลฯ ที่เสี่ยงถูกนำไปใช้เพื่อทำ Phishing ได้

จากข้อมูลของ CHECK POINT รวบรวมสถิติย้อนหลังปี 2022-2023 ที่ผ่านมา ได้ระบุว่า LinkedIn เป็นอีกหนึ่งแพลตฟอร์ม ที่ถูกใช้เพื่อโจมตี Phishing กว่า 52% ของแพลตฟอร์มทั้งหมด นับเป็นอัตราสูงที่สุดเมื่อเทียบกับแพลตฟอร์มอื่น เช่น Microsoft และ Google และยังมีการคาดการณ์จาก Darktrace บริษัทด้าน Cybersecurity ระบุว่า ปี 2025 LinkedIn จะกลายเป็นแพลตฟอร์มหลัก เนื่องจากมีผู้ใช้งานเพิ่มมากขึ้น ใน 2-3 ปีข้างหน้า โดยอาจมีผู้ใช้งานเพิ่มสูงขึ้นถึง 84.1 ล้านคน

 

แฮกเกอร์ใช้ประโยชน์จากการใช้ LinkedIn ในการโจมตีอย่างไรบ้าง

• สร้างโปรไฟล์ปลอม (Fake Profile)

  แฮกเกอร์อาจสร้างโปรไฟล์ปลอม แอบอ้างบุคคลที่มีตำแหน่งสำคัญในบริษัทที่มีชื่อเสียง จากนั้นส่งคำขอ (Connection Request) เพื่อเชิญชวนให้มาสมัครงาน โดยส่งข้อความหรือแชร์ลิงก์ปลอมให้กรอก

• ส่งข้อความ Phishing พร้อมลิงก์หลอกลวง

  แฮกเกอร์อาจส่งข้อความไปยังช่องทางติดต่ออื่น ๆ เช่น Email เบอร์โทร แล้วใช้กลลวงอ้างว่า พบโปรไฟล์บน LinkedIn สนใจชวนร่วมงาน เพื่อหลอกให้ติดต่อกลับ เพื่อส่งลิงก์ให้กรอกข้อมูลส่วนบุคคล

 

ตัวอย่าง LinkedIn Phishing Email จาก pcrisk.com

• ใช้ Social Engineering เพื่อโน้มน้าวให้หลงเชื่อ

  LinkedIn จะมีกลุ่มสำหรับรวบรวมคนที่มีความสนใจเหมือนกัน ซึ่งแฮกเกอร์อาจแฝงตัวเข้าไปอยู่ในกลุ่ม และสร้างเนื้อหาที่น่าสนใจพร้อมลิงก์อันตราย เพื่อหลอกให้คลิกลิงก์

• ใช้ LinkedIn Ads

  แฮกเกร์อาจลงทุนซื้อโฆษณา โดยแอบอ้างเป็นบริษัทที่มีชื่อเสียง จากนั้นสร้างลิงก์อันตราย เพื่อให้กรอกสมัครงาน

 

วิธีรับมือและป้องกันการถูกหลอกจาก LinkedIn Phishing

1. ระมัดระวังในการยอมรับคำขอเชื่อมต่อจากโปรไฟล์ที่ไม่รู้จัก
   ตรวจสอบโปรไฟล์ของบุคคลแปลกหน้าก่อนที่จะยอมรับคำขอเชื่อมต่อ ว่ามีความน่าเชื่อถือหรือไม่
2. ตรวจสอบข้อมูลจาก Email ทุกครั้ง
   กรณีได้รับข้อความจากทาง Email อย่าพึ่งคลิกลิงก์ในอีเมลทันที ให้ตรวจสอบที่อยู่อีเมลผู้ส่ง และเช็คว่าอีเมลนั้นมาจากโดเมนที่ถูกต้องของ LinkedIn หรือไม่
   ตัวอย่าง เช่น Email ของ LinkedIn คือ @linkedin.com แต่ถ้าอีเมลนั้นมาจากโดเมนที่ไม่รู้จักหรือมีตัวอักษรแปลก ๆ แสดงว่าเป็นอีเมลปลอม นอกจากนี้ให้ระวังอีเมลที่มี ภาษาที่ไม่เป็นทางการ เขียนผิดหลักไวยากรณ์ หรือ คำผิด
3. ระวังคลิกลิงก์ที่น่าสงสัย
   อย่าคลิกลิงก์หรือดาวน์โหลดไฟล์จากคนแปลกหน้า หรือ ที่ไม่น่าเชื่อถือ หากเป็นคนที่รู้จักส่งมา ควรตรวจสอบเพื่อยืนยันให้ชัดเจนก่อนว่า เป็นคนที่รู้จักส่งลิงก์มาจริงๆ หรือเป็นแฮกเกอร์ปลอมตัวตน
4. เปิดใช้การยืนยันตัวตนสองขั้นตอน (2FA)
   การเปิด 2FA (Two-Factor Authentication) ในบัญชี LinkedIn จะช่วยเพิ่มชั้นความปลอดภัยอีกระดับในการเข้าสู่ระบบ หากมีการพยายามเข้าถึงบัญชี
5. รายงานโปรไฟล์ที่สงสัยว่าเป็น โปรไฟล์ปลอม
   LinkedIn จะมีระบบสำหรับให้ผู้ใช้งานรายงาน กรณีพบบัญชีผู้ใช้ปลอม เพื่อป้องกันไม่ให้คนอื่น นอกจากตนเองตกเป็นเหยื่อ

ภัย Phishing ไม่ใช่เรื่องใหม่ เพียงแต่มีการปรับตัวตามเทรนด์เทคโนโลยี ของการใช้งานออนไลน์ ซึ่งหากเราระมัดระวังตนเอง คิดไตร่ตรองเสมอ ทุกครั้งก่อนคลิก เพียงเท่านี้ก็จะช่วยให้เราปลอดภัยขึ้น ลดโอกาสตกเป็นเหยื่อแฮกเกอร์ของแฮกเกอร์ได้

ที่มา : bitdefender , darktrace , infosecurity-magazine