LinkedIn együttműködési e-mailes átverés

A LinkedIn Collaboration átverés mögött álló kiberbűnözők egy látszólag professzionális üzleti megkereséssel próbálják megcsalni a címzetteket. Az e-mailek állítólag egy „Jonathan Spriggs” nevű vevőtől származnak a Storex Trading Ltd.-től, aki állítólag a LinkedInen keresztül fedezte fel a címzettet, és egy nagy, 12 000 egységből álló termékrendelésről szeretne beszélni.

Hogy az üzenet hitelesnek tűnjön, a csalók egy aláírt szerződést említenek, és arra ösztönzik a címzetteket, hogy tekintsék át a csatolt fájlt. Az e-mailt gondosan fogalmazzák meg, hogy legitimitás és sürgősség érzetét keltsék, növelve annak valószínűségét, hogy a felhasználók gyanakvás nélkül megnyitják a mellékletet.

Az egész üzenet azonban csalárd, és egy adathalász művelet részét képezi, amelynek célja a bejelentkezési adatok ellopása.

A PDF-stílusú név mögött megbúvó rosszindulatú melléklet

Ahelyett, hogy egy külső adathalász weboldalra irányítanák az áldozatokat, a támadók egy „LinkedIn_Buyer_Contract_33110.pdf.html” nevű rosszindulatú HTML fájlt csatolnak. A fájlnév szándékosan megtévesztő, mivel első pillantásra egy ártalmatlan PDF dokumentumra hasonlít.

Sok felhasználó figyelmen kívül hagyhatja a fájl végső „.html” kiterjesztését, és azt feltételezheti, hogy a fájl egy szabványos szerződéses dokumentum. A valóságban a melléklet megnyitása egy helyileg tárolt adathalász oldalt indít el közvetlenül a felhasználó webböngészőjében.

Ez a taktika lehetővé teszi a csalók számára, hogy elkerüljék a gyanút, miközben elkerülik a hagyományos adathalász linkeket, amelyeket az e-mail biztonsági rendszerek könnyebben megjelölhetnek.

Hogyan működik a hamis LinkedIn bejelentkezési oldal

Miután megnyitották a HTML-mellékletet, az áldozat egy hamis LinkedIn bejelentkezési oldalt kap. Az oldal a LinkedIn megjelenését utánozza másolt márkajelzések, logók és ismerős dizájnelemek használatával, hogy hamis hitelesség érzetét keltse.

A hamis oldal azt állítja, hogy a felhasználóknak e-mail címük és jelszavuk megadásával kell igazolniuk személyazonosságukat a szerződés megtekintése előtt. Mivel az adathalász űrlap lokálisan, az áldozat saját eszközéről fut, nem pedig egy távoli webhelyről, egyes felhasználók tévesen feltételezhetik, hogy biztonságos.

Az űrlapon megadott hitelesítő adatok közvetlenül a csalókhoz kerülnek továbbításra.

A LinkedInnek semmilyen szerepe nincs ebben a műveletben. Márkajelzését kizárólag arra használják, hogy manipulálják a címzetteket, és rávegyék őket, hogy bízzanak a hamis bejelentkezési felületben.

Az ellopott LinkedIn hitelesítő adatok kockázatai

A feltört LinkedIn-fiókok rendkívül értékesek lehetnek a kiberbűnözők számára. Miután a támadók hozzáférést szereznek, számos rosszindulatú célra felhasználhatják a fiókot, beleértve:

• Adathalász üzenetek küldése üzleti partnereknek és kapcsolatoknak

• Érzékeny szakmai vagy vállalati információk gyűjtése

• Az áldozat személyes adataival való visszaélés üzleti csalások során

• Feltört fiókok értékesítése illegális kiberbűnözési piactereken

Mivel a LinkedIn-profilok gyakran tartalmaznak foglalkoztatási adatokat, elérhetőségeket és üzleti kapcsolatokat, egy feltört fiók további támadások kapujává válhat, amelyek magánszemélyeket és szervezeteket is célba vesznek.

Miért veszélyesek a HTML-mellékletek?

Sok felhasználó a rosszindulatú mellékleteket csak futtatható fájlokkal vagy gyanús szoftverletöltésekkel társítja. A HTML-mellékleteket azonban egyre gyakrabban használják adathalász kampányokban, mivel megtévesztő bejelentkezési oldalakat indíthatnak el közvetlenül a böngészőn belül.

A kiberbűnözők gyakran terjesztenek rosszindulatú programokat és adathalász tartalmakat mellékleteken, például Office-dokumentumokon, archívumokon, PDF-eken, futtatható fájlokon és HTML-fájlokon keresztül. Bizonyos esetekben a fájl megnyitása elegendő a rosszindulatú tevékenység elindításához. Más támadások esetén a felhasználóknak makrókat kell engedélyezniük, további fájlokat kell letölteniük, vagy manuálisan kell elküldeniük bizalmas információkat.

Az adathalász e-mailek káros linkeket is tartalmazhatnak, amelyek rosszindulatú programokat tároló webhelyekre vagy csalárd bejelentkezési portálokra irányítják át a felhasználókat.

Hogyan védekezhetünk a hasonló adathalász támadások ellen?

A felhasználók jelentősen csökkenthetik a biztonsági rés kockázatát számos alapvető kiberbiztonsági gyakorlat betartásával:

• Soha ne nyiss meg ismeretlen vagy gyanús feladóktól származó váratlan e-mail mellékleteket
• Gondosan vizsgálja meg a fájlneveket, és figyeljen a félrevezető dupla kiterjesztésekre, például a „.pdf.html”-re.
• Kerülje a bejelentkezési adatok megadását az e-mail mellékletekből megnyitott oldalakon
• Ellenőrizze az üzleti megkereséseket a hivatalos vállalati kommunikációs csatornákon keresztül
• Használjon többtényezős hitelesítést a fontos fiókok védelme érdekében
• A gyanús e-mailek azonnali törlése mellékletek vagy linkek használata nélkül

Záró gondolatok

A LinkedIn Collaboration e-mailes átverés egy kifinomult adathalász kampány, amelyet üzleti ajánlatnak álcáznak. Egy hamis LinkedIn bejelentkezési oldal rosszindulatú HTML-mellékletbe ágyazásával a támadók megpróbálják ellopni a felhasználói hitelesítő adatokat, miközben megkerülik a hagyományos adathalászat-észlelési módszereket.

A címzetteknek nem szabad megbízniuk ezekben az e-mailekben, nem szabad megnyitniuk a mellékletet, és nem szabad megadniuk semmilyen bejelentkezési adatot. A legbiztonságosabb válasz az, ha azonnal törlik az üzenetet, és óvatosan kezelik a kéretlen együttműködési ajánlatokat, amelyek túl sürgősnek vagy szokatlanul formálisnak tűnnek.