Estafa de correu electrònic de col·laboració de LinkedIn

Els ciberdelinqüents que hi ha darrere de l'estafa de LinkedIn Collaboration intenten atreure els destinataris amb el que sembla ser una consulta comercial professional. Els correus electrònics afirmen provenir d'un comprador anomenat "Jonathan Spriggs" de Storex Trading Ltd., que suposadament va descobrir el destinatari a través de LinkedIn i vol parlar d'una comanda de productes important que implica 12.000 unitats.

Per fer que el missatge sembli autèntic, els estafadors esmenten un contracte signat i animen els destinataris a revisar un fitxer adjunt. El correu electrònic està redactat amb cura per crear una sensació de legitimitat i urgència, cosa que augmenta la probabilitat que els usuaris obrin el fitxer adjunt sense sospitar-ne.

Tanmateix, tot el missatge és fraudulent i forma part d'una operació de phishing destinada a robar les credencials d'inici de sessió.

L'adjunt maliciós amagat darrere d'un nom d'estil PDF

En lloc de dirigir les víctimes a un lloc web de phishing extern, els atacants adjunten un fitxer HTML maliciós anomenat "LinkedIn_Buyer_Contract_33110.pdf.html". El nom del fitxer és intencionadament enganyós perquè a primera vista s'assembla a un document PDF inofensiu.

Molts usuaris poden passar per alt l'extensió final '.html' i assumir que el fitxer és un document contractual estàndard. En realitat, en obrir el fitxer adjunt s'obre una pàgina de phishing emmagatzemada localment directament dins del navegador web de l'usuari.

Aquesta tàctica permet als estafadors evitar les sospites alhora que eviten els enllaços tradicionals de phishing que els sistemes de seguretat del correu electrònic poden marcar més fàcilment.

Com funciona la pàgina d'inici de sessió falsa de LinkedIn

Un cop obert el fitxer adjunt HTML, la víctima es presenta amb una pàgina d'inici de sessió de LinkedIn falsa. La pàgina imita l'aspecte de LinkedIn mitjançant l'ús de marques, logotips i elements de disseny familiars copiats per crear una falsa sensació d'autenticitat.

La pàgina falsa afirma que els usuaris han de verificar la seva identitat introduint la seva adreça de correu electrònic i la contrasenya abans de veure el contracte. Com que el formulari de phishing s'executa localment des del propi dispositiu de la víctima en lloc d'un lloc web remot, alguns usuaris poden suposar erròniament que és segur.

Qualsevol credencial introduïda al formulari es transmet directament als estafadors.

LinkedIn no hi té cap implicació en aquesta operació. La seva marca s'està abusant únicament per manipular els destinataris perquè confiïn en la interfície d'inici de sessió falsa.

Els riscos del robatori de credencials de LinkedIn

Els comptes de LinkedIn compromesos poden ser extremadament valuosos per als ciberdelinqüents. Un cop els atacants hi accedeixen, poden utilitzar el compte per a múltiples finalitats malicioses, com ara:

Com que els perfils de LinkedIn sovint contenen detalls laborals, informació de contacte i relacions comercials, un compte segrestat pot convertir-se en una porta d'entrada a futurs atacs dirigits tant a individus com a organitzacions.

Per què els fitxers adjunts HTML són perillosos

Molts usuaris associen els fitxers adjunts maliciosos només amb fitxers executables o descàrregues de programari sospitoses. Tanmateix, els fitxers adjunts HTML s'utilitzen cada cop més en campanyes de phishing perquè poden iniciar pàgines d'inici de sessió enganyoses directament dins d'un navegador.

Els ciberdelinqüents solen distribuir programari maliciós i contingut de phishing a través d'adjunts com ara documents d'Office, arxius, PDF, executables i fitxers HTML. En alguns casos, simplement obrir el fitxer és suficient per iniciar una activitat maliciosa. Altres atacs poden requerir que els usuaris activin macros, descarreguin fitxers addicionals o enviïn informació confidencial manualment.

Els correus electrònics de phishing també poden contenir enllaços nocius que redirigeixen els usuaris a llocs web que allotgen programari maliciós o portals d'inici de sessió fraudulents.

Com protegir-se contra atacs de phishing similars

Els usuaris poden reduir significativament el risc de vulnerabilitat seguint diverses pràctiques essencials de ciberseguretat:

• No obriu mai fitxers adjunts de correu electrònic inesperats de remitents desconeguts o sospitosos
• Inspeccioneu acuradament els noms de fitxer i observeu les extensions dobles enganyoses com ara '.pdf.html'
• Eviteu introduir les credencials d'inici de sessió a les pàgines obertes des dels fitxers adjunts dels correus electrònics
• Verificar consultes comercials a través dels canals de comunicació oficials de l'empresa
• Utilitzeu l'autenticació multifactor per ajudar a protegir els comptes importants
• Suprimeix els correus electrònics sospitosos immediatament sense interactuar amb fitxers adjunts ni enllaços

Reflexions finals

L'estafa de correu electrònic de LinkedIn Collaboration és una sofisticada campanya de phishing disfressada de proposta comercial professional. En inserir una pàgina d'inici de sessió falsa de LinkedIn dins d'un fitxer adjunt HTML maliciós, els atacants intenten robar les credencials de l'usuari evitant els mètodes tradicionals de detecció de phishing.

Els destinataris no han de confiar en aquests correus electrònics, obrir el fitxer adjunt ni proporcionar cap informació d'inici de sessió. La resposta més segura és suprimir el missatge immediatament i anar amb compte amb les ofertes de col·laboració no sol·licitades que semblin massa urgents o inusualment formals.