LinkedIn, la nota piattaforma per aziende e professionisti, propone una nuova funzionalità che permette di condividere contenuti in modo più semplice e di poter tracciare il modo in cui gli altri interagiscono con essi. Si tratta degli Smart Links, introdotti nel 2020 ma già molto utilizzati.
Uno Smart Link permette di riunire in un solo link più contenuti diversi, rendendo il collegamento a tutti gli effetti un pacchetto di risorse. All’interno possono esserci presentazioni e documenti di vario tipo, facilmente condivisibili con altri con un solo clic. Il link fornito è poi tracciabile: in questo modo, l’autore è in grado di sapere chi interagisce con il link stesso e come, valutandone così il grado di interesse ed eventualmente la necessità di un follow-up.
Gli Smart Link sono una funzionalità ben pensata e generalmente sicura: LinkedIn è infatti molto attenta alla sicurezza dei propri utenti. Come tutte le funzionalità che prevedono il tracciamento degli utenti, però, anche gli Smart Links sono vulnerabili ad attacchi esterni di vario tipo. In particolare, di recente è emerso che gli Smart Links vengono sfruttati da terze parti per effettuare attacchi di phishing.
Cos’è il phishing
Il phishing è uno dei metodi più usati dagli hacker per impadronirsi dei dati personali degli utenti. Generalmente l’attacco di phishing comincia con un messaggio o un’e-mail fraudolenta, apparentemente proveniente da un mittente affidabile, in cui viene richiesto di fornire informazioni riservate, sia tramite messaggio che, nella maggior parte dei casi, compilando degli appositi moduli su siti truffa.
Ad esempio, si potrebbe ricevere un’e-mail che imita perfettamente quelle inviate dalla propria banca: in questa e-mail potrebbe essere chiesto di visitare un sito e di inserire le credenziali di accesso al proprio conto online. Il sito è ovviamente truffaldino, e le credenziali finiscono nelle mani dei malintenzionati che potrebbero quindi utilizzarle per accedere al conto bancario.
Phishing e Smart Links
La truffa combinata di phishing e Smart Links è piuttosto ben congegnata. In questo caso, la potenziale vittima riceve un’e-mail apparentemente legittima contenente uno Smart Link, che però non porta a contenuti LinkedIn bensì a una pagina di phishing. Il problema più grande è che gli Smart Links sono una funzionalità assolutamente innocua e quindi i sistemi di sicurezza delle caselle e-mail non li segnalano come potenziali pericoli.
Questa abilità di far sembrare lecito uno Smart Link che riporta a pagine truffa rende questo particolare attacco di phishing estremamente pericoloso. LinkedIn stessa è al corrente di questa operazione, e sta cercando il modo di arginare il problema.
Come proteggersi dal phishing
Poiché il phishing è un pericolo reale, è importante sapere come proteggersi. In primo luogo è assolutamente fondamentale assicurarsi che le richieste di dati personali provengano da mittenti affidabili. Se si riceve un’e-mail dalla propria banca, ad esempio, è preferibile recarsi direttamente sul sito del proprio conto online anziché cliccare sul link contenuto all’interno del messaggio, in modo da aggirare il potenziale pericolo.
Questo però non è sufficiente, perché basta una piccola distrazione per cliccare su un link malevolo senza rendersene conto. Per questo è fondamentale affidarsi anche a soluzioni di sicurezza apposite, come ad esempio una VPN online. In particolare, è importante scegliere una VPN in grado di segnalare i link e i siti potenzialmente malevoli. Molte VPN utilizzano infatti degli elenchi in continuo aggiornamento che contengono tutti i siti ritenuti pericolosi, e mostrano un messaggio di avviso quando si sta per visitarne uno.
