حان وقت التخلص من الحسابات الوهمية على منصة LinkedIn!

تحتل منصة LinkedIn موقعاً فريداً بين شبكات التواصل الاجتماعي. تتيح منصة LinkedIn التواصل بين المهنيين والمحترفين في سوق العمل، مما يعني تواصل مستمرمع أشخاص جدد، والوصول إلى معلومات المستخدمين وبشكل شبه كامل، مع توفير مستوى عالٍ نسبياً من الثقة بين مستخدمين لم يسبق لهم التعامل مع بعضهم البعض.

بينما يتمثل الجانب السلبي لما سبق ذكره في السهولة النسبية لإنشاء حسابات وهمية ومقنعة. فعلى سبيل المثال، كشف الخبير الأمني براين كريبس، عن العديد من الحسابات الوهمية على منصة LinkedIn والتي يُزعم أنها تنتمي إلى كبار مسؤولي أمن المعلومات في العديد من الشركات الدولية الكبرى، وذلك في خريف عام 2022. بالإضافة إلى ذلك، وجد براين عدة آلاف من الحسابات الوهمية التي تشير إلى وجود شركة حقيقية كصاحب عمل لهذه الحسابات.

على الرغم من اختلاف دوافع المحتالين؛ إلا أنه هناك شيئًا مشتركاً بينهم، وهو عدم اكتراثهم بصورة العلامة التجارية للموارد البشرية أو سمعة الشركات التي يُفترض أنهم يعملون بها. بالنظر إلى ما سبق – يتبادر إلى الذهن سؤالان: هل من الممكن التخلص من ملفات التعريف الوهمية على منصة LinkedIn، وكيف يمكنك حماية علامة شركتك التجارية؟

كيف تتصدى منصة LinkedIn لحسابات الموظفين الوهمية؟

لا تعد مشكلة إنشاء حسابات وهمية على منصة LinkedIn جديدة على الإطلاق. فكل ستة أشهر، تقوم شبكة التواصل الاجتماعي بالإعلان عن عدد الحسابات الوهمية التي تم حظرها، وغيرها من الأمور. تتفاوت الأرقام الدقيقة من سنة إلى أخرى، لكننا نتحدث عن عشرات الملايين من الحسابات الوهمية والتي يتم الإعلان عنها كل فترة. على سبيل المثال، حظرت شبكة التواصل الاجتماعي ما يقرب من 140 مليون حساب وهمي، وذلك منذ بداية عام 2019 حتى منتصف عام 2022 .

يتم حظر معظم الحسابات الوهمية على منصة LinkedIn بشكل تلقائي (حيث وصل عددها إلى 95.4% في النصف الأول من عام 2022). وفي الكثير من الأحيان، يتم التخلص من الحسابات الوهمية أثناء مرحلة التسجيل: وذلك اعتمادًا على الفترة الزمنية، حيث يتم حظر 70-90% من الحسابات الوهمية في هذه المرحلة. كما تشكل الحسابات الوهمية، التي يتم حظرها بناءً على شكوى المستخدمين، نسبةً أقل من واحد بالمائة. ولا يوجد الكثير منها بشكل مطلق: فعلى سبيل المثال، تم حظر 190000 ملف تعريف وهمي بسبب شكاوى المستخدمين فحسب، وذلك في النصف الأول من عام 2022.

لا تحدد منصة LinkedIn كيفية التعرف على الحسابات المُثار حولها الشكوك، لكنها تقدم بعض التفاصيل حول ما يجعلها مثيرة للارتياب. حيث يعد إرسال الرسائل بشكل مفرط إنذار خطر بهذا الصدد. أما عن العلامة الأخرى فتتمثل في عدم التطابق الجغرافي – عندما يشير “الموقع” في حساب المستخدم إلى إحدى المناطق، ولكن يكون الحساب مسجلًا في منطقة مختلفة تماما.ً بالإضافة إلى ذلك، يمكن وضع علامة على أي صفحة مثيرة للشكوك إذا كانت تحتوي على بعض الأنماط المشتركة مع الحسابات الوهمية الأخرى التي تم اكتشافها وحظرها مسبقاً.

في أواخر العام الماضي، قدمت منصة LinkedIn العديد من الابتكارات بهدف التصدي للحسابات الوهمية:

•  تتحقق شبكة التواصل الاجتماعي الآن من صور ملف التعريف، حتى تتمكن من معرفة ما إذا كانت مصنوعة بواسطة الذكاء الاصطناعي.
•  تمت حالياً إضافة إشعارات تحذير إلى الرسائل المثيرة الشكوك.
• تتوفر ميزة جديدة أخرى وهي إضافة قسم “About this profile”. والتي تعرض التاريخ التقريبي لتسجيل الحساب، بالإضافة لمعلومات أخرى تهدف لمساعدة المستخدمين على تحديد ما إذا كان هذا الحساب جديراً بالثقة أم لا.

هل نجح الأمر؟

ولكن هل تنجح التدابير التي اتخذتها منصة LinkedIn للتصدي للحسابات الوهمية؟ لمعرفة الإجابة على هذا السؤال، أجرت مجلة Wired تجربة صغيرة. أولًا، أنشأ الصحفيون ملفي تعريف وهميين تماماً ومليئين بنصوص وصور مصنوعة بواسطة الذكاء الاصطناعي. في اليوم التالي، طلبت منصة LinkedIn من كلا المستخدمين تأكيد هويتهما، وفي النهاية قامت بحظر الحسابين.

بعد ذلك، حاول الصحفيون اتباع نهج مختلف: فقد قاموا بإنشاء نسخة كاملة من ملف التعريف لأحد المحررين في مجلة Wired. ولكن بفارق واحد فقط وهو استبدال صورة ملف التعريف الشخصية (بصورة أخرى حقيقية). كما قدموا عنوان بريد إلكتروني واحد، كمعلومات للاتصال، مسجل على خدمة بريد إلكتروني مشفرة تسمى Proton Mail، والتي تعد (خدمة شائعة بين الأشخاص الذين يهتمون بالحفاظ على سرية هويتهم). استمر هذا الحساب الوهمي على منصة LinkedIn لمدة شهرين كاملين، حيث كان يتلقى الرسائل ويرسلها ويضيف اتصالات جديدة ويروج لمحتوى مجلة Wired، ذلك قبل أن يقوم الصحفيون أنفسهم بحذفه.

ماذا كانت النتيجة المستخلصة من هذه التجربة؟ تشير هذه التجربة إلى أن منصة LinkedIn جيدة للغاية في التعامل مع الحسابات الوهمية التي يتم إنشاؤها بسهولة باستخدام الصور العامة والنصوص البسيطة. ولكن عند قيام أي شخص بأخذ الحيطة وبعض الوقت لإنشاء حسابات وهمية أكثر إقناعاً، بواسطة استخدام معلومات حقيقية عن شخص حقيقي، فيمكن عندها أن يتخطى الإجراءات التي تتخذها منصة LinkedIn للتصدي للحسابات الوهمية.

كيفية التخلص من الحسابات الوهمية على صفحة شركتك على منصة LinkedIn

من الممكن أن يستخدم شخصاً ما اسم شركتك ومعلومات زملائك الحقيقية، للقيام بأغراض خبيثة دون علمك أو موافقتك. لذلك، سيكون من الحكمة التخلص من كل الحسابات الشخصية الوهمية الموجودة بقائمة موظفي شركتك. ابدأ بقياس مدى حجم المشكلة: ما عليك سوى مقارنة عدد الحسابات التي تظهر في قائمة الموظفين الحاليين في شركتك على منصة LinkedIn مع العدد الفعلي لموظفيك.

كما يمكنك إجراء تقييم جغرافي أيضاً: عن طريق التعرف على عدد موظفيك المدرجين في مناطق معينة وفقاً لمنصة LinkedIn ثم مقارنة ذلك بالواقع. من المفترض أن يساعد ذلك على تحديد موقع المشكلة، حيث إنه من المرجح للغاية أن تشير الحسابات الوهمية على LinkedIn إلى منطقة معينة حيث يبحث المحتالون عن ضحايا. لذلك، فمن المحتمل ألا تكون الحسابات الوهمية التي تذكر شركتك كمكان عملها موزعةً بالتساوي في جميع أنحاء العالم، (على الأرجح ستكون متمركزة في منطقة واحدة أو عدة مناطق).

اعتمادًا على نتيجة محاولات الكشف هذه، وكذلك حجم شركتك بشكل عام، فقد تختلف الخطوات التالية. إذا كان هناك عدد قليل نسبياً من الحسابات الوهمية وتمكنت من تحديد موقعها جغرافياً، فسيكون من السهل تحديد معظمها وإبلاغ فريق دعم منصة LinkedIn عنها.

إذا كان نطاق المشكلة أوسع من ذلك، فمن المنطقي البدء في عملية التخلص من الحسابات الوهمية هذه من الأهم إلى الأقل أهمية، مع إعطاء الأولوية للحسابات التي تنتحل هوية موظفين على المستوى الإداري. حيث تعد أبسط طريقة هي أخذ قائمة بكبار المديرين والبحث عن الحسابات الحقيقية الخاصة بهم على منصة LinkedIn، وذلك باستخدام أسمائهم. إذا تم العثور على حسابات مكررة، فمن المحتمل أن يكون الملف الحقيقي مميزًا عن الوهمي من خلال تاريخ التسجيل. وكذلك يجب إيلاء الاهتمام لعدم تطابق المواقع الجغرافية، وكذلك صور الحساب الشخصية الفردية.

يمكن للمنصة نفسها حل المشكلة على الأقل بالنسبة للحسابات الوهمية التي تنتحل هوية موظفين على المستوى الإداري، وذلك عن طريق التحقق من حسابات الشخصيات العامة والمديرين التنفيذيين للشركة، مثل استخدام الشارات الزرقاء المعتادة على الأقل. لكن، لسوء الحظ، أعلنت منصة LinkedIn خططاً لإدخال مثل هذه الطريقة فقط في أبريل 2023. سيكون برنامج التحقق من الهوية على منصة LinkedIn متاحاً في وضع الاختبار فقط لعدد قليل من الشركات الكبيرة في الولايات المتحدة الأمريكية، وذلك في بداية تطبيقه. لا يمكن التنبؤ بالوقت الذي ستتمكن فيه المؤسسات الأخرى من تأكيد أن مستخدمي الشبكة هم بالفعل ضمن موظفيها.

يكمن الجانب الآخر من المشكلة في الموظفين الوهميين الذين يعملون في مؤسسة أخرى

هناك جانب آخر للمشكلة: يمكن للمحتالين مهاجمة موظفيك باستخدام حسابات وهمية على منصة LinkedIn خاصة بأشخاص يفترض أنهم يعملون في مؤسسة أخرى. لا يتعين عليك البحث بعيدًا عن مثال يوضح لك نتيجة هذا النوع من الهجوم: فقط في العام الماضي تم تنفيذ هذا النوع من الهجوم ضد Sky Mavis، مطور لعبة Axie Infinity التي تعتمد على اللعب للحصول على أرباح.

تواصل المهاجمون مع أحد موظفي الشركة عبر منصة LinkedIn، زاعمين أنهم يقدمون عرض عمل. بعد ذلك، أرسلوا إلى الموظف ملف PDF يحتوي على برنامج ضار، حيث تمكنوا من الوصول إلى شبكة الشركة وسرقة المفاتيح المستخدمة للتحقق من صحة المعاملات. ثم باستخدام هذه المفاتيح، قاموا بتفريغ حسابات العملات المشفرة الخاصة بالشركة. بلغت الخسائر أكثر من 500 مليون دولار أمريكي، مما جعل هذه الحادثة في قائمة أكبر عمليات لسرقة العملات المشفرة في التاريخ.

قد لا يكون الدفاع ضد مثل هذه الهجمات سهلاً. لكن يمكن أن تشكل زيادة مستوى وعي موظفيك بأمن المعلومات فارقاً ضخماً بالتأكيد. وتعد أفضل طريقة للقيام بذلك هي تلك التي تتم بواسطة التدريب المنتظم على الأمن السيبراني.

لذا فالحل المثالي لذلك هو Automated Security Awareness Platform