E-postsvindel for samarbeid med LinkedIn

Nettkriminelle bak LinkedIn Collaboration-svindelen forsøker å lokke mottakere med det som ser ut til å være en profesjonell forretningsforespørsel. E-postene hevder å stamme fra en kjøper ved navn «Jonathan Spriggs» fra Storex Trading Ltd., som angivelig oppdaget mottakeren gjennom LinkedIn og ønsker å diskutere en stor produktbestilling på 12 000 enheter.

For å få meldingen til å virke autentisk, nevner svindlerne en signert kontrakt og oppfordrer mottakerne til å se gjennom en vedlagt fil. E-posten er nøye formulert for å skape en følelse av legitimitet og hastverk, noe som øker sannsynligheten for at brukerne åpner vedlegget uten mistanke.

Hele meldingen er imidlertid falsk og er en del av en phishing-operasjon som har som mål å stjele påloggingsinformasjon.

Det ondsinnede vedlegget skjult bak et PDF-lignende navn

I stedet for å dirigere ofrene til et eksternt phishing-nettsted, legger angriperne ved en ondsinnet HTML-fil med navnet «LinkedIn_Buyer_Contract_33110.pdf.html». Filnavnet er bevisst villedende fordi det ved første øyekast ligner et harmløst PDF-dokument.

Mange brukere overser kanskje den endelige filtypen «.html» og antar at filen er et standard kontraktsdokument. I virkeligheten åpnes en lokalt lagret phishing-side direkte i brukerens nettleser når du åpner vedlegget.

Denne taktikken lar svindlere omgå mistanke samtidig som de unngår tradisjonelle phishing-lenker som e-postsikkerhetssystemer lettere kan flagge.

Hvordan den falske LinkedIn-innloggingssiden fungerer

Når HTML-vedlegget åpnes, blir offeret presentert for en forfalsket LinkedIn-innloggingsside. Siden imiterer LinkedIns utseende ved å bruke kopiert merkevarebygging, logoer og kjente designelementer for å skape en falsk følelse av autentisitet.

Den falske siden hevder at brukere må bekrefte identiteten sin ved å oppgi e-postadresse og passord før de kan se kontrakten. Siden phishing-skjemaet kjører lokalt fra offerets egen enhet i stedet for et eksternt nettsted, kan noen brukere feilaktig anta at det er trygt.

All legitimasjon som legges inn i skjemaet sendes direkte til svindlerne.

LinkedIn har absolutt ingen involvering i denne operasjonen. Merkevaren deres misbrukes utelukkende for å manipulere mottakere til å stole på det falske innloggingsgrensesnittet.

Risikoen ved stjålne LinkedIn-legitimasjoner

Kompromitterte LinkedIn-kontoer kan være svært verdifulle for nettkriminelle. Når angripere får tilgang, kan de bruke kontoen til flere ondsinnede formål, inkludert:

• Sende phishing-meldinger til forretningskontakter og forbindelser

• Innsamling av sensitiv profesjonell eller bedriftsinformasjon

• Utgi seg for å være offeret i forretningsrelaterte svindelforsøk

• Salg av kompromitterte kontoer på underjordiske markedsplasser for nettkriminalitet

Fordi LinkedIn-profiler ofte inneholder ansettelsesdetaljer, kontaktinformasjon og forretningsforbindelser, kan en kapret konto bli en inngangsport til ytterligere angrep rettet mot både enkeltpersoner og organisasjoner.

Hvorfor HTML-vedlegg er farlige

Mange brukere forbinder skadelige vedlegg bare med kjørbare filer eller mistenkelige programvarenedlastinger. HTML-vedlegg brukes imidlertid i økende grad i phishing-kampanjer fordi de kan starte villedende innloggingssider direkte i en nettleser.

Nettkriminelle distribuerer ofte skadelig programvare og phishing-innhold gjennom vedlegg som Office-dokumenter, arkiver, PDF-filer, kjørbare filer og HTML-filer. I noen tilfeller er det nok å bare åpne filen for å starte ondsinnet aktivitet. Andre angrep kan kreve at brukere aktiverer makroer, laster ned flere filer eller sender inn sensitiv informasjon manuelt.

Phishing-e-poster kan også inneholde skadelige lenker som omdirigerer brukere til nettsteder som inneholder skadelig programvare eller falske innloggingsportaler.

Slik beskytter du deg mot lignende phishing-angrep

Brukere kan redusere risikoen for kompromittering betydelig ved å følge flere viktige nettsikkerhetspraksiser:

• Åpne aldri uventede e-postvedlegg fra ukjente eller mistenkelige avsendere
• Undersøk filnavn nøye og se etter misvisende doble filendelser som «.pdf.html»
• Unngå å oppgi påloggingsinformasjon på sider som åpnes fra e-postvedlegg
• Bekreft forretningshenvendelser gjennom offisielle selskapets kommunikasjonskanaler
• Bruk flerfaktorautentisering for å sikre viktige kontoer
• Slett mistenkelige e-poster umiddelbart uten å bruke vedlegg eller lenker

Avsluttende tanker

E-postsvindelen med LinkedIn Collaboration er en sofistikert phishing-kampanje forkledd som et profesjonelt forretningsforslag. Ved å legge inn en falsk LinkedIn-innloggingsside i et ondsinnet HTML-vedlegg, prøver angripere å stjele brukerlegitimasjon samtidig som de unngår tradisjonelle phishing-deteksjonsmetoder.

Mottakere bør ikke stole på disse e-postene, åpne vedlegget eller oppgi noen innloggingsinformasjon. Det sikreste svaret er å slette meldingen umiddelbart og være forsiktige med uoppfordrede samarbeidstilbud som virker for presserende eller uvanlig formelle.