你的 LinkedIn 個人資料,可能是網路上關於你最完整的一份公開文件
大多數人在建立 LinkedIn 個人資料時的心態,是盡可能讓自己被看見,工作經歷填得越詳細越好,技能標籤越多越好,聯絡資訊越完整越好。這個邏輯在求職和拓展人脈的情境下是合理的,但它同時也讓 LinkedIn 成為一個可以公開查閱的個人資料庫。 公司名稱、職稱、工作年資、直屬主管、團隊成員,這些資訊組合在一起,對於想要針對你或你的公司發動社交工程攻擊的人來說,是非常有價值的起點。釣魚攻擊者可以用你的 LinkedIn 資訊,製作出包含你真實工作細節的高度客製化詐騙信件,讓它看起來像是來自你認識的人或你信任的機構。
LinkedIn 上最常見的幾種風險
假招募詐騙 假招募是 LinkedIn 上發生頻率最高的詐騙類型之一。詐騙者建立看起來專業的假招募人員帳號,主動聯繫目標,提供高薪、彈性工時的工作機會,要求對方點擊外部連結填寫申請表,或是下載所謂的工作說明文件。這些連結和附件可能包含惡意程式,或是引導到竊取帳號資訊的釣魚頁面。真實的招募流程幾乎不會要求你在 LinkedIn 之外的陌生平台上填寫個人資料,也不會在初次接觸後立即要求你下載任何檔案。 商業電子郵件詐騙的前期準備 LinkedIn 的公司組織圖對攻擊者來說是一份免費的情報。他們可以透過公開的個人資料,找出一家公司的財務負責人、直屬主管關係,以及員工的工作電子郵件格式。這些資訊被用於商業電子郵件詐騙,攻擊者冒充公司高層傳送指令,要求財務人員進行緊急轉帳。 連線邀請與私訊中的釣魚連結 陌生帳號發送連線邀請,接受之後立即傳送包含連結的私訊,這個模式在 LinkedIn 上非常普遍。連結的包裝通常是一份報告、一個合作機會、或是一個產品示範的頁面,實際指向的則是釣魚網站或惡意檔案下載頁面。
帳號設定中值得調整的幾個選項
LinkedIn 的預設設定在資料可見性上相當開放,以下幾個設定值得主動確認: 個人資料的公開可見範圍 LinkedIn 允許你分別設定不同資料欄位的可見對象,從所有人、僅限連線、僅限自己,可以針對每個欄位單獨調整。電話號碼和個人電子郵件地址不需要設為所有人可見,這些資訊限制在一定範圍內可以降低被批量蒐集的風險。 個人資料出現在搜尋引擎的設定 LinkedIn 預設允許搜尋引擎索引你的公開個人資料,這代表你的 LinkedIn 頁面可以直接出現在 Google 搜尋結果中。如果不希望個人資料被搜尋引擎抓取,可以在隱私設定中關閉這個選項。 活動狀態的可見性 LinkedIn 預設顯示你的線上狀態,讓其他使用者知道你目前正在使用平台。關閉這個選項可以讓你在瀏覽內容時不會被特定人注意到你的活動模式。 連線邀請的來源追蹤 LinkedIn 提供了一個功能,可以讓你看到別人是透過什麼管道找到你的個人資料並發送連線邀請,這個資訊在判斷陌生連線邀請的動機時有一定的參考價值。
收到陌生招募訊息時,判斷真假的幾個起點
不是所有主動接觸的招募訊息都是詐騙,LinkedIn 確實也是很多真實招募活動發生的地方。判斷的關鍵不是拒絕所有陌生聯繫,而是在進一步互動之前,確認幾個基本的可信度指標。 對方的帳號建立時間是否很短、連線數量是否異常少、個人資料是否缺乏具體細節,這些都是初步判斷的參考。真實的招募人員通常有完整的工作經歷、一定數量的連線,以及在平台上的互動紀錄。如果對方在初次接觸後很快要求你前往外部連結、填寫個人資料或下載檔案,這個要求本身就值得停下來確認。 如果在確認過程中發現帳號同時出現其他異常,或是已經點擊了可疑連結,VexelOps 可以協助判斷目前的風險狀態,以及需要優先處理哪些帳號的安全確認。
關於 LinkedIn 安全與個資保護,使用者最常有的幾個疑問
LinkedIn 的個人資料被人截圖或蒐集,我有辦法阻止嗎?
直接阻止是做不到的。只要你的個人資料設定為公開,任何登入 LinkedIn 的人都可以瀏覽並記錄這些資訊,平台本身沒有機制能防止人工截圖或手動記錄。你能做的,是主動決定哪些資訊值得公開、哪些應該限制可見範圍。 電話號碼、個人信箱、精確的居住地點這類資訊,在 LinkedIn 上幾乎沒有必要設為所有人可見。工作經歷和技能這類資訊則是 LinkedIn 的核心功能,完全隱藏會讓平台失去對你的價值。找到這個平衡點,比試圖完全阻止資訊流通更實際。
收到陌生人的連線邀請,接受之後會有什麼風險?
接受連線邀請本身不會讓對方取得你的帳號存取權限,但它會讓對方能夠看到你設定為連線可見的所有個人資料內容,以及透過私訊直接聯繫你。部分資訊例如電子郵件地址,在某些帳號設定下只有連線之後才能看到。 如果對方在連線後立即傳送包含連結的私訊,這個行為模式是一個明確的訊號,建議不要點擊任何連結,並考慮移除這個連線。對於完全陌生、帳號資訊不完整的邀請,在沒有共同認識對象或明確接觸理由的情況下,可以選擇不接受。
LinkedIn 上的工作機會詐騙,和一般求職詐騙有什麼不同?
LinkedIn 上的假招募詐騙比一般求職詐騙更難識別,原因在於 LinkedIn 平台本身的可信度光環。人們在 LinkedIn 上收到訊息時,心理上的戒備程度往往低於收到陌生電子郵件,因為這個平台與職場和專業的聯想讓人覺得更安全。 詐騙者正是利用這個認知落差,在 LinkedIn 上發動攻擊的成功率比其他管道更高。具體的識別方式包括確認對方的帳號歷史、要求視訊確認對方身份、拒絕在 LinkedIn 平台外的陌生頁面填寫個人資料,以及對任何要求你在面試流程中繳交費用的要求保持高度警覺。
One Key Takeaway: LinkedIn 的個人資料是你主動建立的公開文件,它讓你被看見,也讓有心人可以蒐集關於你的詳細資訊。定期確認各欄位的可見性設定,以及對陌生連線與招募訊息保持基本的確認習慣,是在這個平台上保護自己最直接的方式。