הונאת דוא"ל לשיתוף פעולה בלינקדאין
פושעי סייבר העומדים מאחורי הונאת LinkedIn Collaboration מנסים לפתות נמענים באמצעות מה שנראה כפנייה עסקית מקצועית. הדוא"ל טוענים שמקורו בקונה בשם "ג'ונתן ספריגס" מחברת Storex Trading Ltd., שלכאורה גילה את הנמען דרך LinkedIn ומבקש לדון בהזמנת מוצר גדולה הכוללת 12,000 יחידות.
כדי לגרום להודעה להיראות אותנטית, הנוכלים מזכירים חוזה חתום ומעודדים את הנמענים לעיין בקובץ מצורף. האימייל מנוסח בקפידה כדי ליצור תחושה של לגיטימציה ודחיפות, מה שמגדיל את הסבירות שמשתמשים יפתחו את הקובץ המצורף ללא חשד.
עם זאת, ההודעה כולה הונאה ומהווה חלק מפעולת פישינג שמטרתה לגנוב פרטי כניסה.
תוכן העניינים
קובץ מצורף זדוני המסתתר מאחורי שם בסגנון PDF
במקום להפנות את הקורבנות לאתר פישינג חיצוני, התוקפים מצרפים קובץ HTML זדוני בשם 'LinkedIn_Buyer_Contract_33110.pdf.html'. שם הקובץ מטעה במכוון משום שהוא דומה במבט ראשון למסמך PDF לא מזיק.
משתמשים רבים עשויים להתעלם מהסיומת הסופית '.html' ולהניח שהקובץ הוא מסמך חוזה סטנדרטי. במציאות, פתיחת הקובץ המצורף פותחת דף פישינג המאוחסן באופן מקומי ישירות בדפדפן האינטרנט של המשתמש.
טקטיקה זו מאפשרת לנוכלים לעקוף חשד תוך הימנעות מקישורי פישינג מסורתיים שמערכות אבטחת דוא"ל עשויות לסמן ביתר קלות.
כיצד פועל דף הכניסה המזויף של לינקדאין
לאחר פתיחת קובץ ה-HTML המצורף, מוצג לקורבן דף כניסה מזויף של לינקדאין. הדף מחקה את המראה של לינקדאין באמצעות שימוש במיתוג, לוגואים ואלמנטים עיצוביים מוכרים מועתקים כדי ליצור תחושה כוזבת של אותנטיות.
הדף המזויף טוען כי על המשתמשים לאמת את זהותם על ידי הזנת כתובת הדוא"ל והסיסמה שלהם לפני צפייה בחוזה. מכיוון שטופס הפישינג פועל באופן מקומי מהמכשיר של הקורבן ולא מאתר אינטרנט מרוחק, חלק מהמשתמשים עשויים להניח בטעות שהוא בטוח.
כל פרטי הגישה המוזנים בטופס מועברים ישירות לנוכלים.
ללינקדאין אין שום מעורבות במבצע הזה. המיתוג שלה מנוצל לרעה אך ורק כדי לתמרן את הנמענים ולגרום להם לבטוח בממשק ההתחברות המזויף.
הסיכונים של גניבת אישורי לינקדאין
חשבונות לינקדאין שנפרצו יכולים להיות בעלי ערך רב עבור פושעי סייבר. ברגע שתוקפים מקבלים גישה, הם עלולים להשתמש בחשבון למטרות זדוניות מרובות, כולל:
מכיוון שפרופילי לינקדאין מכילים לעתים קרובות פרטי תעסוקה, פרטי קשר וקשרים עסקיים, חשבון שנחטף יכול להפוך לשער להתקפות נוספות המכוונות הן לאנשים פרטיים והן לארגונים.
מדוע קבצים מצורפים ב-HTML מסוכנים
משתמשים רבים מקשרים קבצים מצורפים זדוניים רק עם קבצי הרצה או הורדות תוכנה חשודות. עם זאת, קבצים מצורפים ב-HTML נמצאים בשימוש הולך וגובר בקמפיינים של פישינג מכיוון שהם יכולים להפעיל דפי כניסה מטעים ישירות בתוך הדפדפן.
פושעי סייבר נוטים להפיץ תוכנות זדוניות ותוכן פישינג באמצעות קבצים מצורפים כגון מסמכי Office, ארכיונים, קבצי PDF, קבצי הרצה וקבצי HTML. במקרים מסוימים, פתיחת הקובץ בלבד מספיקה כדי להתחיל פעילות זדונית. התקפות אחרות עשויות לדרוש ממשתמשים להפעיל פקודות מאקרו, להוריד קבצים נוספים או לשלוח מידע רגיש באופן ידני.
הודעות דיוג עשויות להכיל גם קישורים מזיקים המפנים משתמשים לאתרי אינטרנט המארחים תוכנות זדוניות או פורטלים של התחברות הונאה.
כיצד להתגונן מפני התקפות פישינג דומות
משתמשים יכולים להפחית משמעותית את הסיכון שלהם לפריצה על ידי ביצוע מספר נהלי אבטחת סייבר חיוניים:
- לעולם אל תפתחו קבצים מצורפים לא צפויים בדוא"ל משולחים לא ידועים או חשודים
- בדקו היטב את שמות הקבצים וחפשו סיומות כפולות מטעות כגון '.pdf.html'
- הימנעו מהזנת פרטי התחברות לדפים שנפתחו מקבצים מצורפים לדוא"ל
- אימות פניות עסקיות דרך ערוצי התקשורת הרשמיים של החברה
- השתמש באימות רב-גורמי כדי לסייע באבטחת חשבונות חשובים
- מחק מיילים חשודים באופן מיידי מבלי להתערבב עם קבצים מצורפים או קישורים
מחשבות אחרונות
הונאת הדוא"ל של LinkedIn Collaboration היא קמפיין פישינג מתוחכם במסווה של הצעה עסקית מקצועית. על ידי הטמעת דף כניסה מזויף של LinkedIn בתוך קובץ מצורף HTML זדוני, תוקפים מנסים לגנוב פרטי משתמש תוך הימנעות משיטות זיהוי פישינג מסורתיות.
נמענים אינם צריכים לסמוך על הודעות דוא"ל אלה, לפתוח את הקובץ המצורף או לספק פרטי התחברות כלשהם. התגובה הבטוחה ביותר היא למחוק את ההודעה באופן מיידי ולהישאר זהירים מהצעות שיתוף פעולה לא רצויות שנראות דחופות מדי או רשמיות באופן יוצא דופן.
System Messages
The following system messages may be associated with הונאת דוא"ל לשיתוף פעולה בלינקדאין:
Subject: Signed Contract for Business Collaboration |
