LinkedIn-samarbejds-e-mail-svindel

Cyberkriminelle bag LinkedIn Collaboration-svindelnumren forsøger at lokke modtagere med, hvad der tilsyneladende er en professionel forretningsforespørgsel. E-mailsene hævder at stamme fra en køber ved navn 'Jonathan Spriggs' fra Storex Trading Ltd., som angiveligt opdagede modtageren via LinkedIn og ønsker at diskutere en stor produktordre på 12.000 enheder.

For at få beskeden til at virke autentisk nævner svindlerne en underskrevet kontrakt og opfordrer modtagerne til at gennemgå en vedhæftet fil. E-mailen er omhyggeligt formuleret for at skabe en følelse af legitimitet og hastende karakter, hvilket øger sandsynligheden for, at brugerne åbner den vedhæftede fil uden mistanke.

Hele beskeden er dog falsk og er en del af en phishing-operation, der har til formål at stjæle loginoplysninger.

Den ondsindede vedhæftning gemt bag et PDF-lignende navn

I stedet for at dirigere ofrene til et eksternt phishing-websted vedhæfter angriberne en ondsindet HTML-fil med navnet 'LinkedIn_Buyer_Contract_33110.pdf.html'. Filnavnet er bevidst vildledende, fordi det ved første øjekast ligner et harmløst PDF-dokument.

Mange brugere overser måske den endelige filtypenavn '.html' og antager, at filen er et standardkontraktdokument. I virkeligheden åbner åbningen af den vedhæftede fil en lokalt gemt phishing-side direkte i brugerens webbrowser.

Denne taktik gør det muligt for svindlere at omgå mistanke, samtidig med at de undgår traditionelle phishing-links, som e-mail-sikkerhedssystemer lettere kan markere.

Sådan fungerer den falske LinkedIn-loginside

Når HTML-vedhæftningen åbnes, præsenteres offeret for en forfalsket LinkedIn-loginside. Siden imiterer LinkedIns udseende ved at bruge kopieret branding, logoer og velkendte designelementer for at skabe en falsk følelse af autenticitet.

Den falske side hævder, at brugerne skal bekræfte deres identitet ved at indtaste deres e-mailadresse og adgangskode, før de kan se kontrakten. Da phishing-formularen kører lokalt fra offerets egen enhed i stedet for et eksternt websted, kan nogle brugere fejlagtigt antage, at den er sikker.

Alle loginoplysninger, der indtastes i formularen, sendes direkte til svindlerne.

LinkedIn er absolut ikke involveret i denne operation. Deres branding misbruges udelukkende til at manipulere modtagere til at stole på den falske logingrænseflade.

Risikoen ved stjålne LinkedIn-legitimationsoplysninger

Kompromitterede LinkedIn-konti kan være yderst værdifulde for cyberkriminelle. Når angribere får adgang, kan de bruge kontoen til flere ondsindede formål, herunder:

• Afsendelse af phishing-beskeder til forretningskontakter og forbindelser

• Indsamling af følsomme professionelle eller virksomhedsoplysninger

• Udgivelse af offeret i forbindelse med forretningsrelateret svindel

• Salg af kompromitterede konti på underjordiske markedspladser for cyberkriminalitet

Fordi LinkedIn-profiler ofte indeholder ansættelsesoplysninger, kontaktoplysninger og forretningsforbindelser, kan en kapret konto blive en indgangsport til yderligere angreb rettet mod både enkeltpersoner og organisationer.

Hvorfor HTML-vedhæftninger er farlige

Mange brugere forbinder kun ondsindede vedhæftede filer med eksekverbare filer eller mistænkelige softwaredownloads. HTML-vedhæftede filer bruges dog i stigende grad i phishing-kampagner, fordi de kan åbne vildledende login-sider direkte i en browser.

Cyberkriminelle distribuerer ofte malware og phishing-indhold via vedhæftede filer såsom Office-dokumenter, arkiver, PDF-filer, eksekverbare filer og HTML-filer. I nogle tilfælde er det nok blot at åbne filen til at starte ondsindet aktivitet. Andre angreb kan kræve, at brugerne aktiverer makroer, downloader yderligere filer eller indsender følsomme oplysninger manuelt.

Phishing-e-mails kan også indeholde skadelige links, der omdirigerer brugere til websteder med malware eller svigagtige loginportaler.

Sådan beskytter du dig mod lignende phishing-angreb

Brugere kan reducere risikoen for kompromittering betydeligt ved at følge flere vigtige cybersikkerhedspraksisser:

• Åbn aldrig uventede e-mailvedhæftninger fra ukendte eller mistænkelige afsendere
• Undersøg omhyggeligt filnavne og hold øje med misvisende dobbelte filtypenavne som f.eks. '.pdf.html'
• Undgå at indtaste loginoplysninger på sider, der åbnes fra e-mailvedhæftninger
• Bekræft forretningsforespørgsler via virksomhedens officielle kommunikationskanaler
• Brug multifaktorgodkendelse til at beskytte vigtige konti
• Slet mistænkelige e-mails med det samme uden at interagere med vedhæftede filer eller links

Afsluttende tanker

LinkedIn Collaboration-e-mailsvindelnumren er en sofistikeret phishing-kampagne forklædt som et professionelt forretningsforslag. Ved at integrere en falsk LinkedIn-loginside i en ondsindet HTML-vedhæftning forsøger angribere at stjæle brugeroplysninger, samtidig med at de undgår traditionelle phishing-detektionsmetoder.

Modtagere bør ikke stole på disse e-mails, åbne den vedhæftede fil eller angive loginoplysninger. Den sikreste løsning er at slette beskeden med det samme og være forsigtig med uopfordrede samarbejdstilbud, der virker for presserende eller usædvanligt formelle.