E-mail-svindel med LinkedIn-købsforespørgsler

Uventede e-mails, der ser ud til at komme fra pålidelige platforme, kan være meget overbevisende, især når de lover nye forretningsmuligheder. Af denne grund bør brugere altid være forsigtige, når de modtager uopfordrede beskeder, der anmoder om handling eller indeholder links og vedhæftede filer. De såkaldte LinkedIn Purchase Inquiry-e-mails er en del af en phishing-kampagne og er ikke forbundet med LinkedIn eller nogen legitim virksomhed, organisation eller enhed. I stedet er de designet til at narre modtagere til at afsløre følsomme loginoplysninger.

En falsk forretningsmulighed designet til at opbygge tillid

Cybersikkerhedsforskere har identificeret LinkedIn-købsforespørgselsmails som phishing-beskeder, der udgiver sig for at være forretningsnotifikationer fra LinkedIn. Mailene hævder falsk, at modtageren har modtaget en ny forretningsinvitation og købsforespørgsel fra en person identificeret som 'lisa_fan', der præsenteres som Senior Partner og Managing Director i en handelsvirksomhed med base i Hong Kong.

Ifølge beskeden er afsenderen interesseret i at vide, om modtagerens virksomhed tilbyder bestemte produkter. Modtagere opfordres til at gennemgå en påstået produktsøgningsanmodning og svare med minimumsbestillingsmængder. Indholdet er omhyggeligt udformet til at fremstå professionelt og forretningsorienteret, hvilket øger sandsynligheden for, at modtagerne vil stole på beskeden.

De farlige forbindelser skjult bag budskabet

De falske e-mails indeholder typisk to fremtrædende knapper. Den ene opfordrer modtagerne til at acceptere afsenderens invitation, mens den anden opfordrer dem til at give et tilbud med det samme.

Uanset hvilken knap der vælges, omdirigeres brugerne til et ondsindet websted, der er oprettet specifikt for at stjæle loginoplysninger. Målet er ikke at fremme en forretningsdiskussion, men at lokke ofrene til at give følsomme kontooplysninger.

Inde på webstedet for indsamling af legitimationsoplysninger

Phishing-siden hostes via InterPlanetary File System (IPFS), en decentraliseret fillagringsprotokol, der ofte misbruges af trusselsaktører til at hoste skadeligt indhold.

Når brugerne besøger siden, kan de muligvis bemærke, hvad der ser ud til at være en regnearkbaseret indkøbsordre tilknyttet et firma ved navn LightKing Tech Group Co. LTD. Adgangen til dokumentet blokeres dog af et pop op-vindue, der hævder, at identitetsbekræftelse er påkrævet, før den angiveligt krypterede fil kan ses.

Pop-up-vinduet anmoder om et brugernavn og en adgangskode. Alle oplysninger, der indtastes i disse felter, sendes direkte til de svindlerne, der driver kampagnen.

Hvad sker der, når legitimationsoplysninger bliver stjålet?

Når cyberkriminelle har fået adgang til loginoplysninger, kan de forsøge at få adgang til forskellige konti og tjenester, der tilhører offeret. Konsekvenserne kan række langt ud over en enkelt kompromitteret konto.

Potentielle risici omfatter:

• Uautoriseret adgang til e-mailkonti, forretningsplatforme og onlinetjenester.
• Identitetstyveri, svigagtige transaktioner og yderligere svindel udført i offerets navn.
• Yderligere kompromittering af forretningskommunikation og følsomme virksomhedsoplysninger.

Fordi mange brugere genbruger adgangskoder på tværs af flere platforme, kan en enkelt hændelse med tyveri af legitimationsoplysninger føre til en kædereaktion af sikkerhedsbrud.

Malware-distribution er fortsat en mulig trussel

Selvom det primære mål med denne kampagne er tyveri af legitimationsoplysninger, bruges lignende phishing-operationer undertiden også til at distribuere malware. Cyberkriminelle bruger ofte e-mailkampagner til at sprede skadelig software via vedhæftede filer eller links til inficerede websteder.

Truende filer kan være forklædt som legitime dokumenter, arkiver, PDF-filer, eksekverbare programmer eller Microsoft Office-filer. I nogle tilfælde kan besøg på et ondsindet websted udløse automatiske downloads af malware. I andre tilfælde bliver ofrene bedt om manuelt at downloade og køre en fil.

Office-dokumenter kan også indeholde skadelige makroer, der forbliver inaktive, indtil brugerne aktiverer dem. Som følge heraf afhænger en vellykket infektion ofte af en eller anden form for brugerinteraktion.

Advarselstegn, der afslører svindelnummeret

Flere indikatorer kan hjælpe modtagere med at identificere disse svigagtige beskeder, før der opstår skade:

• Uopfordrede forretningshenvendelser fra ukendte kontakter.
• Anmodninger om gennemgang af dokumenter via eksterne links i stedet for officielle platformsmeddelelser.
• Hasteopfordringer, der opfordrer til øjeblikkelig handling, såsom at acceptere invitationer eller give tilbud.
• Login-sider, der anmoder om legitimationsoplysninger, før der gives adgang til et dokument.
• Uoverensstemmelser vedrørende afsenderoplysninger, virksomhedsoplysninger eller webadresser.

At genkende disse advarselstegn kan reducere risikoen for at blive offer betydeligt.

Sådan svarer du på e-mails om købsforespørgsler på LinkedIn

Modtagere, der modtager disse e-mails, bør undgå at klikke på links, åbne tilhørende filer eller indtaste loginoplysninger på linkede websteder. Den sikreste fremgangsmåde er at slette beskeden med det samme.

Hvis der allerede er indsendt legitimationsoplysninger, bør berørte brugere straks ændre de kompromitterede adgangskoder, opdatere alle konti, der bruger den samme adgangskode, og aktivere multifaktorgodkendelse, hvor det er muligt. Derudover bør kontoaktivitet overvåges for tegn på uautoriseret adgang.

Afsluttende tanker

LinkedIns e-mailkampagne med købsforespørgsler er et phishing-svindelnummer, der udnytter LinkedIns omdømme til at skabe en falsk følelse af legitimitet. Ved at præsentere modtagere for, hvad der tilsyneladende er en ægte forretningsmulighed, forsøger cyberkriminelle at narre brugerne til at afsløre værdifulde loginoplysninger. At opretholde en forsigtig tilgang til uventede e-mails, verificere kommunikation via officielle kanaler og undgå mistænkelige links er fortsat afgørende forsvar mod denne og lignende onlinetrusler.