LinkedIn-yhteistyösähköpostihuijaus

LinkedIn Collaboration -huijauksen takana olevat kyberrikolliset yrittävät houkutella vastaanottajia näennäisillä liiketoimintatiedusteluilla. Sähköpostien väitetään olevan peräisin ostajalta nimeltä Jonathan Spriggs Storex Trading Ltd:stä, joka oletettavasti löysi vastaanottajan LinkedInin kautta ja haluaa keskustella suuresta 12 000 yksikön tuotetilauksesta.

Jotta viesti vaikuttaisi aidolta, huijarit mainitsevat allekirjoitetun sopimuksen ja kehottavat vastaanottajia tarkistamaan liitetiedoston. Sähköposti on muotoiltu huolellisesti luomaan oikeutuksen ja kiireellisyyden tunnetta, mikä lisää todennäköisyyttä, että käyttäjät avaavat liitteen epäilemättä.

Koko viesti on kuitenkin vilpillinen ja osa tietojenkalasteluoperaatiota, jonka tarkoituksena on varastaa kirjautumistiedot.

PDF-tyylisen nimen takana piilotettu haitallinen liite

Sen sijaan, että hyökkääjät ohjaisivat uhrit ulkoiselle tietojenkalastelusivustolle, he liittävät viestiin haitallisen HTML-tiedoston nimeltä 'LinkedIn_Buyer_Contract_33110.pdf.html'. Tiedostonimi on tarkoituksella harhaanjohtava, koska se muistuttaa ensi silmäyksellä harmitonta PDF-dokumenttia.

Monet käyttäjät saattavat olla huomaamatta tiedoston lopullista .html-päätettä ja olettaa sen olevan vakiosopimusasiakirja. Todellisuudessa liitteen avaaminen käynnistää paikallisesti tallennetun tietojenkalastelusivun suoraan käyttäjän verkkoselaimessa.

Tämä taktiikka antaa huijareille mahdollisuuden ohittaa epäilykset ja välttää samalla perinteisiä tietojenkalastelulinkkejä, jotka sähköpostin suojausjärjestelmät saattavat merkitä helpommin.

Kuinka väärennetty LinkedIn-kirjautumissivu toimii

Kun HTML-liite avataan, uhrille näytetään väärennetty LinkedIn-kirjautumissivu. Sivu jäljittelee LinkedInin ulkoasua käyttämällä kopioitua brändäystä, logoja ja tuttuja suunnitteluelementtejä luodakseen väärän kuvan aitoudesta.

Väärennetyllä sivulla väitetään, että käyttäjien on vahvistettava henkilöllisyytensä antamalla sähköpostiosoitteensa ja salasanansa ennen sopimuksen tarkastelua. Koska tietojenkalastelulomake suoritetaan paikallisesti uhrin omalla laitteella etäsivuston sijaan, jotkut käyttäjät saattavat virheellisesti olettaa sen olevan turvallinen.

Lomakkeeseen syötetyt tunnistetiedot välitetään suoraan huijareille.

LinkedInillä ei ole mitään tekemistä tämän operaation kanssa. Sen brändiä käytetään väärin ainoastaan manipuloimalla vastaanottajia luottamaan väärennettyyn kirjautumisliittymään.

Varastettujen LinkedIn-tunnistetietojen riskit

Vaarantuneet LinkedIn-tilit voivat olla erittäin arvokkaita kyberrikollisille. Kun hyökkääjät pääsevät tilille käsiksi, he voivat käyttää sitä useisiin haitallisiin tarkoituksiin, mukaan lukien:

• Tietojenkalasteluviestien lähettäminen liikekumppaneille ja yhteyshenkilöille

• Arkaluonteisten ammatillisten tai yritystietojen kerääminen

• Uhrin henkilöllisyyden anastus liiketoimintaan liittyvissä huijauksissa

• Vaaranneiden tilien myyminen maanalaisilla kyberrikollisuuden markkinapaikoilla

Koska LinkedIn-profiilit sisältävät usein työsuhdetietoja, yhteystietoja ja liikesuhteita, kaapattu tili voi toimia porttina lisähyökkäyksille, jotka kohdistuvat sekä yksilöihin että organisaatioihin.

Miksi HTML-liitteet ovat vaarallisia

Monet käyttäjät yhdistävät haitalliset liitteet vain suoritettaviin tiedostoihin tai epäilyttäviin ohjelmistolatauksiin. HTML-liitteitä käytetään kuitenkin yhä enemmän tietojenkalastelukampanjoissa, koska ne voivat käynnistää harhaanjohtavia kirjautumissivuja suoraan selaimessa.

Kyberrikolliset levittävät haittaohjelmia ja tietojenkalastelusisältöä yleensä liitteiden, kuten Office-asiakirjojen, arkistojen, PDF-tiedostojen, suoritettavien tiedostojen ja HTML-tiedostojen, kautta. Joissakin tapauksissa pelkkä tiedoston avaaminen riittää haitallisen toiminnan aloittamiseen. Toiset hyökkäykset saattavat edellyttää käyttäjiltä makrojen ottamista käyttöön, lisätiedostojen lataamista tai arkaluonteisten tietojen lähettämistä manuaalisesti.

Tietojenkalasteluviestit voivat sisältää myös haitallisia linkkejä, jotka ohjaavat käyttäjät haittaohjelmia isännöiville verkkosivustoille tai vilpillisille kirjautumisportaaleille.

Kuinka suojautua vastaavilta tietojenkalasteluhyökkäyksiltä

Käyttäjät voivat merkittävästi vähentää tietomurtojen riskiä noudattamalla useita olennaisia kyberturvallisuuskäytäntöjä:

• Älä koskaan avaa tuntemattomilta tai epäilyttäviltä lähettäjiltä tulevia odottamattomia sähköpostiliitteitä
• Tarkista tiedostonimet huolellisesti ja varo harhaanjohtavia kaksoispäätteitä, kuten '.pdf.html'.
• Vältä kirjautumistietojen syöttämistä sähköpostin liitteistä avatuille sivuille
• Tarkista liiketoimintatiedustelut virallisten yrityksen viestintäkanavien kautta
• Käytä monivaiheista todennusta tärkeiden tilien suojaamiseen
• Poista epäilyttävät sähköpostit välittömästi ilman liitteiden tai linkkien käsittelyä

Loppuajatukset

LinkedIn Collaboration -sähköpostihuijaus on hienostunut tietojenkalastelukampanja, joka on naamioitu ammattimaiseksi liiketoimintaehdotukseksi. Upottamalla väärennetyn LinkedIn-kirjautumissivun haitalliseen HTML-liitteeseen hyökkääjät yrittävät varastaa käyttäjän tunnistetiedot välttäen samalla perinteisiä tietojenkalasteluhyökkäysten havaitsemismenetelmiä.

Vastaanottajien ei tule luottaa näihin sähköposteihin, avata liitettä tai antaa kirjautumistietoja. Turvallisin tapa on poistaa viesti välittömästi ja suhtautua varoen pyytämättä tehtyihin yhteistyötarjouksiin, jotka vaikuttavat liian kiireellisiltä tai epätavallisen muodollisilta.