Измама с имейли за сътрудничество в LinkedIn

Киберпрестъпниците, стоящи зад измамата LinkedIn Collaboration, се опитват да привлекат получателите с нещо, което изглежда като професионално бизнес запитване. Имейлите твърдят, че произхождат от купувач на име „Джонатан Спригс“ от Storex Trading Ltd., който уж е открил получателя чрез LinkedIn и желае да обсъди голяма поръчка за продукти, включваща 12 000 бройки.

За да изглежда съобщението автентично, измамниците споменават подписан договор и насърчават получателите да прегледат прикачен файл. Имейлът е внимателно формулиран, за да създаде усещане за легитимност и неотложност, увеличавайки вероятността потребителите да отворят прикачения файл без подозрение.

Цялото съобщение обаче е измамно и е част от фишинг операция, целяща да открадне идентификационни данни за вход.

Злонамереният прикачен файл, скрит зад име в стил PDF

Вместо да насочват жертвите към външен фишинг уебсайт, нападателите прикачват злонамерен HTML файл с име „LinkedIn_Buyer_Contract_33110.pdf.html“. Името на файла е умишлено подвеждащо, защото на пръв поглед прилича на безобиден PDF документ.

Много потребители може да пренебрегнат крайното разширение „.html“ и да приемат, че файлът е стандартен договорен документ. В действителност, отварянето на прикачения файл стартира локално съхранена фишинг страница директно в уеб браузъра на потребителя.

Тази тактика позволява на измамниците да заобиколят подозренията, като същевременно избягват традиционните фишинг връзки, които системите за сигурност на имейлите могат да маркират по-лесно.

Как работи фалшивата страница за вход в LinkedIn

След като HTML прикаченият файл бъде отворен, на жертвата се показва фалшива страница за вход в LinkedIn. Страницата имитира външния вид на LinkedIn, като използва копирани брандинг, лога и познати дизайнерски елементи, за да създаде фалшиво усещане за автентичност.

Фалшивата страница твърди, че потребителите трябва да потвърдят самоличността си, като въведат имейл адреса и паролата си, преди да видят договора. Тъй като фишинг формулярът се изпълнява локално от собственото устройство на жертвата, а не от отдалечен уебсайт, някои потребители може погрешно да приемат, че е безопасен.

Всички идентификационни данни, въведени във формуляра, се предават директно на измамниците.

LinkedIn няма абсолютно никакво участие в тази операция. Брандирането им се злоупотребява единствено с цел манипулиране на получателите да се доверят на фалшивия интерфейс за вход.

Рисковете от откраднати идентификационни данни в LinkedIn

Компрометираните акаунти в LinkedIn могат да бъдат изключително ценни за киберпрестъпниците. След като нападателите получат достъп, те могат да използват акаунта за множество злонамерени цели, включително:

• Изпращане на фишинг съобщения до бизнес контакти и връзки

• Събиране на чувствителна професионална или корпоративна информация

• Представяне за жертва в бизнес измами

• Продажба на компрометирани акаунти на подземни пазари за киберпрестъпления

Тъй като профилите в LinkedIn често съдържат данни за заетост, информация за контакт и бизнес взаимоотношения, отвлеченият акаунт може да се превърне в входна врата за по-нататъшни атаки, насочени както към отделни лица, така и към организации.

Защо HTML прикачените файлове са опасни

Много потребители свързват злонамерени прикачени файлове само с изпълними файлове или подозрителни изтегляния на софтуер. HTML прикачените файлове обаче все по-често се използват във фишинг кампании, защото могат да стартират измамни страници за вход директно в браузъра.

Киберпрестъпниците обикновено разпространяват злонамерен софтуер и фишинг съдържание чрез прикачени файлове като документи на Office, архиви, PDF файлове, изпълними файлове и HTML файлове. В някои случаи самото отваряне на файла е достатъчно, за да се инициира злонамерена дейност. Други атаки може да изискват от потребителите да активират макроси, да изтеглят допълнителни файлове или да изпращат чувствителна информация ръчно.

Фишинг имейлите могат също да съдържат вредни връзки, които пренасочват потребителите към уебсайтове, хостващи зловреден софтуер, или измамни портали за вход.

Как да се предпазите от подобни фишинг атаки

Потребителите могат значително да намалят риска от компрометиране, като следват няколко основни практики за киберсигурност:

• Никога не отваряйте неочаквани прикачени файлове към имейли от неизвестни или подозрителни податели
• Внимателно проверявайте имената на файловете и внимавайте за подвеждащи двойни разширения, като например „.pdf.html“.
• Избягвайте въвеждането на данни за вход в страници, отворени от прикачени файлове към имейли
• Проверете бизнес запитванията чрез официалните комуникационни канали на компанията
• Използвайте многофакторно удостоверяване, за да защитите важни акаунти
• Изтривайте подозрителни имейли незабавно, без да взаимодействате с прикачени файлове или връзки

Заключителни мисли

Измамата с имейли за сътрудничество в LinkedIn е сложна фишинг кампания, маскирана като професионално бизнес предложение. Чрез вграждане на фалшива страница за вход в LinkedIn в злонамерен HTML прикачен файл, нападателите се опитват да откраднат потребителски идентификационни данни, като същевременно избягват традиционните методи за откриване на фишинг.

Получателите не трябва да се доверяват на тези имейли, да отварят прикачения файл или да предоставят каквато и да е информация за вход. Най-безопасният отговор е незабавно да изтрият съобщението и да бъдат предпазливи към непоискани предложения за сътрудничество, които изглеждат твърде спешни или необичайно официални.