E-postsvindel med kjøpsforespørsler på LinkedIn

Uventede e-poster som ser ut til å komme fra pålitelige plattformer kan være svært overbevisende, spesielt når de lover nye forretningsmuligheter. Av denne grunn bør brukere alltid være forsiktige når de mottar uoppfordrede meldinger som ber om handling eller inneholder lenker og vedlegg. De såkalte LinkedIn-kjøpsforespørselse-postene er en del av en phishing-kampanje og er ikke tilknyttet LinkedIn eller noe legitimt selskap, organisasjon eller enhet. I stedet er de utformet for å lure mottakere til å avsløre sensitive påloggingsdetaljer.

En falsk forretningsmulighet designet for å bygge tillit

Forskere på nettsikkerhet har identifisert e-postene med kjøpsforespørsler fra LinkedIn som phishing-meldinger som utgir seg for å være forretningsvarsler fra LinkedIn. E-postene hevder feilaktig at mottakeren har mottatt en ny forretningsinvitasjon og kjøpsforespørsel fra en person identifisert som «lisa_fan», som presenteres som seniorpartner og administrerende direktør i et handelsselskap basert i Hong Kong.

I følge meldingen er avsenderen interessert i å vite om mottakerens virksomhet tilbyr bestemte produkter. Mottakere oppfordres til å gjennomgå en påstått produktsøkeforespørsel og svare med minimumsbestillingsmengder. Innholdet er nøye utformet for å virke profesjonelt og forretningsorientert, noe som øker sannsynligheten for at mottakerne vil stole på meldingen.

De farlige koblingene skjult bak meldingen

De falske e-postene inneholder vanligvis to fremtredende knapper. Den ene inviterer mottakerne til å godta avsenderens invitasjon, mens den andre oppfordrer dem til å gi et tilbud umiddelbart.

Uansett hvilken knapp som velges, blir brukerne omdirigert til et ondsinnet nettsted som er laget spesielt for å stjele påloggingsinformasjon. Målet er ikke å legge til rette for en forretningsdiskusjon, men å lokke ofrene til å oppgi sensitiv kontoinformasjon.

Inne på nettstedet for innsamling av legitimasjon

Phishing-siden driftes via InterPlanetary File System (IPFS), en desentralisert fillagringsprotokoll som ofte misbrukes av trusselaktører til å være vert for skadelig innhold.

Når brukere besøker siden, kan de legge merke til det som ser ut til å være en regnearkbasert bestilling tilknyttet et selskap som heter LightKing Tech Group Co. LTD. Tilgang til dokumentet blokkeres imidlertid av et popup-vindu som hevder at identitetsverifisering er nødvendig før den angivelig krypterte filen kan vises.

Popup-vinduet ber om brukernavn og passord. All informasjon som legges inn i disse feltene sendes direkte til svindlerne som driver kampanjen.

Hva skjer når legitimasjon blir stjålet?

Når nettkriminelle får tak i påloggingsinformasjon, kan de forsøke å få tilgang til ulike kontoer og tjenester som tilhører offeret. Konsekvensene kan strekke seg langt utover én enkelt kompromittert konto.

Potensielle risikoer inkluderer:

• Uautorisert tilgang til e-postkontoer, forretningsplattformer og nettjenester.
• Identitetstyveri, svindeltransaksjoner og ytterligere svindel utført i offerets navn.
• Ytterligere kompromittering av forretningskommunikasjon og sensitiv bedriftsinformasjon.

Fordi mange brukere gjenbruker passord på tvers av flere plattformer, kan én enkelt hendelse med tyveri av legitimasjon føre til en kjede av sikkerhetsbrudd.

Spredning av skadelig programvare er fortsatt en mulig trussel

Selv om hovedmålet med denne kampanjen er tyveri av legitimasjon, brukes lignende phishing-operasjoner noen ganger også til å distribuere skadelig programvare. Nettkriminelle bruker ofte e-postkampanjer for å spre skadelig programvare gjennom vedlegg eller lenker til infiserte nettsteder.

Truende filer kan være kamuflert som legitime dokumenter, arkiver, PDF-er, kjørbare programmer eller Microsoft Office-filer. I noen tilfeller kan besøk på et ondsinnet nettsted utløse automatiske nedlastinger av skadelig programvare. I andre tilfeller blir ofrene bedt om å laste ned og kjøre en fil manuelt.

Office-dokumenter kan også inneholde skadelige makroer som forblir inaktive inntil brukere aktiverer dem. Som et resultat avhenger vellykket infeksjon ofte av en eller annen form for brukerinteraksjon.

Varseltegn som avslører svindelen

Flere indikatorer kan hjelpe mottakerne med å identifisere disse falske meldingene før det oppstår skade:

• Uoppfordrede forretningshenvendelser fra ukjente kontakter.
• Forespørsler om å gjennomgå dokumenter via eksterne lenker i stedet for offisielle plattformvarsler.
• Hastepåbud som oppmuntrer til umiddelbar handling, for eksempel å godta invitasjoner eller gi tilbud.
• Innloggingssider som ber om påloggingsinformasjon før tilgang til et dokument gis.
• Uoverensstemmelser som involverer avsenderdetaljer, firmainformasjon eller nettadresser.

Å gjenkjenne disse varseltegnene kan redusere risikoen for å bli et offer betraktelig.

Slik svarer du på e-poster om kjøpsforespørsler på LinkedIn

Mottakere som mottar disse e-postene bør unngå å klikke på lenker, åpne tilknyttede filer eller oppgi påloggingsinformasjon på lenkede nettsteder. Det sikreste fremgangsmåten er å slette meldingen umiddelbart.

Hvis legitimasjon allerede er sendt inn, bør berørte brukere endre de kompromitterte passordene uten forsinkelse, oppdatere eventuelle kontoer som bruker samme passord, og aktivere flerfaktorautentisering der det er mulig. I tillegg bør kontoaktivitet overvåkes for tegn på uautorisert tilgang.

Avsluttende tanker

LinkedIns e-postkampanje for kjøpsforespørsler er et phishing-svindelnummer som utnytter LinkedIns omdømme for å skape en falsk følelse av legitimitet. Ved å presentere mottakerne for det som ser ut til å være en ekte forretningsmulighet, prøver nettkriminelle å lure brukere til å avsløre verdifull innloggingsinformasjon. Å opprettholde en forsiktig tilnærming til uventede e-poster, verifisere kommunikasjon gjennom offisielle kanaler og unngå mistenkelige lenker er fortsatt viktige forsvar mot denne og lignende nettrusler.