Απάτη μέσω email συνεργασίας μέσω LinkedIn

Οι κυβερνοεγκληματίες πίσω από την απάτη LinkedIn Collaboration επιχειρούν να δελεάσουν τους παραλήπτες με αυτό που φαίνεται να είναι ένα επαγγελματικό επιχειρηματικό ερώτημα. Τα email ισχυρίζονται ότι προέρχονται από έναν αγοραστή ονόματι «Jonathan Spriggs» από την Storex Trading Ltd., ο οποίος υποτίθεται ότι ανακάλυψε τον παραλήπτη μέσω του LinkedIn και επιθυμεί να συζητήσει μια μεγάλη παραγγελία προϊόντος που περιλαμβάνει 12.000 μονάδες.

Για να κάνουν το μήνυμα να φαίνεται αυθεντικό, οι απατεώνες αναφέρουν μια υπογεγραμμένη σύμβαση και ενθαρρύνουν τους παραλήπτες να ελέγξουν ένα συνημμένο αρχείο. Το email είναι προσεκτικά διατυπωμένο για να δημιουργήσει μια αίσθηση νομιμότητας και επείγοντος, αυξάνοντας την πιθανότητα οι χρήστες να ανοίξουν το συνημμένο χωρίς υποψία.

Ωστόσο, ολόκληρο το μήνυμα είναι δόλιο και αποτελεί μέρος μιας επιχείρησης ηλεκτρονικού "ψαρέματος" (phishing) που αποσκοπεί στην κλοπή διαπιστευτηρίων σύνδεσης.

Το κακόβουλο συνημμένο που κρύβεται πίσω από ένα όνομα τύπου PDF

Αντί να κατευθύνουν τα θύματα σε έναν εξωτερικό ιστότοπο ηλεκτρονικού "ψαρέματος" (phishing), οι εισβολείς επισυνάπτουν ένα κακόβουλο αρχείο HTML με το όνομα "LinkedIn_Buyer_Contract_33110.pdf.html". Το όνομα του αρχείου είναι σκόπιμα παραπλανητικό, επειδή με την πρώτη ματιά μοιάζει με ένα ακίνδυνο έγγραφο PDF.

Πολλοί χρήστες μπορεί να παραβλέπουν την τελική επέκταση '.html' και να υποθέτουν ότι το αρχείο είναι ένα τυπικό έγγραφο σύμβασης. Στην πραγματικότητα, το άνοιγμα του συνημμένου εκκινεί μια τοπικά αποθηκευμένη σελίδα ηλεκτρονικού "ψαρέματος" απευθείας μέσα στο πρόγραμμα περιήγησης ιστού του χρήστη.

Αυτή η τακτική επιτρέπει στους απατεώνες να παρακάμπτουν τις υποψίες, αποφεύγοντας παράλληλα τους παραδοσιακούς συνδέσμους ηλεκτρονικού "ψαρέματος" (phishing), τους οποίους τα συστήματα ασφαλείας email ενδέχεται να εντοπίζουν πιο εύκολα.

Πώς λειτουργεί η ψεύτικη σελίδα σύνδεσης στο LinkedIn

Μόλις ανοιχτεί το συνημμένο HTML, στο θύμα παρουσιάζεται μια πλαστή σελίδα σύνδεσης του LinkedIn. Η σελίδα μιμείται την εμφάνιση του LinkedIn χρησιμοποιώντας αντιγραμμένη επωνυμία, λογότυπα και οικεία στοιχεία σχεδίασης για να δημιουργήσει μια ψευδή αίσθηση αυθεντικότητας.

Η ψεύτικη σελίδα ισχυρίζεται ότι οι χρήστες πρέπει να επαληθεύσουν την ταυτότητά τους εισάγοντας τη διεύθυνση email και τον κωδικό πρόσβασής τους πριν προβάλουν τη σύμβαση. Δεδομένου ότι η φόρμα ηλεκτρονικού "ψαρέματος" (phishing) εκτελείται τοπικά από τη συσκευή του θύματος και όχι από έναν απομακρυσμένο ιστότοπο, ορισμένοι χρήστες ενδέχεται να υποθέσουν λανθασμένα ότι είναι ασφαλής.

Οποιαδήποτε διαπιστευτήρια εισάγονται στη φόρμα διαβιβάζονται απευθείας στους απατεώνες.

Το LinkedIn δεν έχει καμία απολύτως εμπλοκή σε αυτήν την επιχείρηση. Η επωνυμία του καταχράται αποκλειστικά για να χειραγωγήσει τους παραλήπτες ώστε να εμπιστευτούν την ψεύτικη διεπαφή σύνδεσης.

Οι κίνδυνοι των κλεμμένων διαπιστευτηρίων του LinkedIn

Οι παραβιασμένοι λογαριασμοί LinkedIn μπορούν να είναι εξαιρετικά πολύτιμοι για τους κυβερνοεγκληματίες. Μόλις οι εισβολείς αποκτήσουν πρόσβαση, ενδέχεται να χρησιμοποιήσουν τον λογαριασμό για πολλαπλούς κακόβουλους σκοπούς, όπως:

Επειδή τα προφίλ στο LinkedIn συχνά περιέχουν στοιχεία απασχόλησης, στοιχεία επικοινωνίας και επιχειρηματικές σχέσεις, ένας λογαριασμός που έχει παραβιαστεί μπορεί να γίνει πύλη για περαιτέρω επιθέσεις που στοχεύουν τόσο σε άτομα όσο και σε οργανισμούς.

Γιατί τα συνημμένα HTML είναι επικίνδυνα

Πολλοί χρήστες συσχετίζουν κακόβουλα συνημμένα μόνο με εκτελέσιμα αρχεία ή ύποπτες λήψεις λογισμικού. Ωστόσο, τα συνημμένα HTML χρησιμοποιούνται όλο και περισσότερο σε καμπάνιες ηλεκτρονικού "ψαρέματος" (phishing), επειδή μπορούν να εκκινήσουν παραπλανητικές σελίδες σύνδεσης απευθείας μέσα σε ένα πρόγραμμα περιήγησης.

Οι κυβερνοεγκληματίες διανέμουν συνήθως κακόβουλο λογισμικό και περιεχόμενο ηλεκτρονικού "ψαρέματος" (phishing) μέσω συνημμένων όπως έγγραφα του Office, αρχεία, PDF, εκτελέσιμα αρχεία και αρχεία HTML. Σε ορισμένες περιπτώσεις, το απλό άνοιγμα του αρχείου αρκεί για να ξεκινήσει κακόβουλη δραστηριότητα. Άλλες επιθέσεις ενδέχεται να απαιτούν από τους χρήστες να ενεργοποιήσουν μακροεντολές, να κατεβάσουν πρόσθετα αρχεία ή να υποβάλουν ευαίσθητες πληροφορίες χειροκίνητα.

Τα ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) ενδέχεται επίσης να περιέχουν επιβλαβείς συνδέσμους που ανακατευθύνουν τους χρήστες σε ιστότοπους που φιλοξενούν κακόβουλο λογισμικό ή σε δόλιες πύλες σύνδεσης.

Πώς να προστατευτείτε από παρόμοιες επιθέσεις ηλεκτρονικού “ψαρέματος” (phishing)

Οι χρήστες μπορούν να μειώσουν σημαντικά τον κίνδυνο παραβίασης ακολουθώντας διάφορες βασικές πρακτικές κυβερνοασφάλειας:

• Μην ανοίγετε ποτέ μη αναμενόμενα συνημμένα ηλεκτρονικού ταχυδρομείου από άγνωστους ή ύποπτους αποστολείς
• Ελέγξτε προσεκτικά τα ονόματα αρχείων και προσέξτε για παραπλανητικές διπλές επεκτάσεις όπως '.pdf.html'
• Αποφύγετε την εισαγωγή στοιχείων σύνδεσης σε σελίδες που ανοίγονται από συνημμένα ηλεκτρονικού ταχυδρομείου
• Επαλήθευση επιχειρηματικών ερωτημάτων μέσω επίσημων καναλιών επικοινωνίας της εταιρείας
• Χρησιμοποιήστε έλεγχο ταυτότητας πολλαπλών παραγόντων για να ασφαλίσετε σημαντικούς λογαριασμούς
• Διαγράψτε άμεσα ύποπτα email χωρίς να αλληλεπιδράσετε με συνημμένα ή συνδέσμους

Τελικές Σκέψεις

Η απάτη μέσω email LinkedIn Collaboration είναι μια εξελιγμένη εκστρατεία ηλεκτρονικού "ψαρέματος" (phishing) που μεταμφιέζεται σε επαγγελματική επιχειρηματική πρόταση. Ενσωματώνοντας μια ψεύτικη σελίδα σύνδεσης στο LinkedIn μέσα σε ένα κακόβουλο συνημμένο HTML, οι εισβολείς επιχειρούν να κλέψουν τα διαπιστευτήρια χρήστη, αποφεύγοντας τις παραδοσιακές μεθόδους ανίχνευσης ηλεκτρονικού "ψαρέματος" (phishing).

Οι παραλήπτες δεν πρέπει να εμπιστεύονται αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου, να ανοίγουν το συνημμένο ή να παρέχουν οποιαδήποτε στοιχεία σύνδεσης. Η ασφαλέστερη αντίδραση είναι να διαγράψουν αμέσως το μήνυμα και να παραμείνουν προσεκτικοί σε ανεπιθύμητες προσφορές συνεργασίας που φαίνονται πολύ επείγουσες ή ασυνήθιστα επίσημες.