Oplichting via e-mail met betrekking tot samenwerking op LinkedIn

Cybercriminelen achter de LinkedIn Collaboration-oplichting proberen ontvangers te lokken met wat een professionele zakelijke vraag lijkt te zijn. De e-mails beweren afkomstig te zijn van een koper genaamd 'Jonathan Spriggs' van Storex Trading Ltd., die de ontvanger zogenaamd via LinkedIn heeft gevonden en een grote productbestelling van 12.000 stuks wil bespreken.

Om het bericht authentiek te laten lijken, verwijzen de oplichters naar een getekend contract en moedigen ze ontvangers aan een bijgevoegd bestand te bekijken. De e-mail is zorgvuldig geformuleerd om een gevoel van legitimiteit en urgentie te creëren, waardoor de kans groter wordt dat gebruikers de bijlage zonder argwaan openen.

Het hele bericht is echter frauduleus en maakt deel uit van een phishing-aanval die bedoeld is om inloggegevens te stelen.

De kwaadaardige bijlage verborgen achter een PDF-achtige naam

In plaats van slachtoffers naar een externe phishingwebsite te leiden, voegen de aanvallers een kwaadaardig HTML-bestand toe met de naam 'LinkedIn_Buyer_Contract_33110.pdf.html'. De bestandsnaam is opzettelijk misleidend, omdat deze op het eerste gezicht lijkt op een onschadelijk PDF-document.

Veel gebruikers zien de extensie '.html' over het hoofd en gaan ervan uit dat het bestand een standaard contractdocument is. In werkelijkheid opent het openen van de bijlage een lokaal opgeslagen phishingpagina direct in de webbrowser van de gebruiker.

Deze tactiek stelt oplichters in staat om argwaan te omzeilen en traditionele phishinglinks te vermijden die e-mailbeveiligingssystemen mogelijk gemakkelijker als verdacht aanmerken.

Hoe de nep-LinkedIn-inlogpagina werkt

Zodra de HTML-bijlage wordt geopend, krijgt het slachtoffer een nep-inlogpagina van LinkedIn te zien. De pagina imiteert het uiterlijk van LinkedIn door gekopieerde huisstijlelementen, logo's en bekende ontwerpelementen te gebruiken om een vals gevoel van authenticiteit te creëren.

De nepwebsite beweert dat gebruikers hun identiteit moeten verifiëren door hun e-mailadres en wachtwoord in te voeren voordat ze het contract kunnen bekijken. Omdat het phishingformulier lokaal op het eigen apparaat van het slachtoffer wordt uitgevoerd in plaats van op een externe website, kunnen sommige gebruikers ten onrechte aannemen dat het veilig is.

Alle in het formulier ingevulde gegevens worden direct naar de oplichters verzonden.

LinkedIn is op geen enkele wijze betrokken bij deze operatie. Hun merknaam wordt uitsluitend misbruikt om ontvangers te manipuleren en hen te laten vertrouwen op de nep-inloginterface.

De risico’s van gestolen LinkedIn-inloggegevens

Gehackte LinkedIn-accounts kunnen enorm waardevol zijn voor cybercriminelen. Zodra aanvallers toegang hebben verkregen, kunnen ze het account voor diverse kwaadwillige doeleinden gebruiken, waaronder:

• Het versturen van phishingberichten naar zakelijke contacten en relaties.

• Het verzamelen van gevoelige professionele of bedrijfsgegevens.

• Zich voordoen als het slachtoffer bij zakelijke oplichtingspraktijken

• Het verkopen van gehackte accounts op illegale cybercriminele marktplaatsen.

Omdat LinkedIn-profielen vaak informatie bevatten over werkervaring, contactgegevens en zakelijke relaties, kan een gehackt account een toegangspoort vormen tot verdere aanvallen gericht op zowel individuen als organisaties.

Waarom HTML-bijlagen gevaarlijk zijn

Veel gebruikers associëren schadelijke bijlagen alleen met uitvoerbare bestanden of verdachte softwaredownloads. HTML-bijlagen worden echter steeds vaker gebruikt in phishingcampagnes, omdat ze misleidende inlogpagina's rechtstreeks in een browser kunnen openen.

Cybercriminelen verspreiden vaak malware en phishing via bijlagen zoals Office-documenten, archieven, pdf's, uitvoerbare bestanden en HTML-bestanden. In sommige gevallen is het openen van het bestand al voldoende om de schadelijke activiteit te starten. Andere aanvallen vereisen mogelijk dat gebruikers macro's inschakelen, extra bestanden downloaden of gevoelige informatie handmatig invoeren.

Phishing-e-mails kunnen ook schadelijke links bevatten die gebruikers doorverwijzen naar websites met malware of frauduleuze inlogpagina's.

Hoe bescherm je jezelf tegen soortgelijke phishingaanvallen?

Gebruikers kunnen het risico op inbreuken aanzienlijk verkleinen door een aantal essentiële cybersecuritypraktijken te volgen:

• Open nooit onverwachte e-mailbijlagen van onbekende of verdachte afzenders.
• Controleer bestandsnamen zorgvuldig en let op misleidende dubbele extensies zoals '.pdf.html'.
• Voer geen inloggegevens in op pagina's die u via e-mailbijlagen opent.
• Verifieer zakelijke vragen via de officiële communicatiekanalen van het bedrijf.
• Gebruik multifactorauthenticatie om belangrijke accounts te beveiligen.
• Verwijder verdachte e-mails direct, zonder de bijlagen of links te openen.

Slotgedachten

De LinkedIn Collaboration-e-mailoplichting is een geavanceerde phishingcampagne die zich voordoet als een professioneel zakelijk voorstel. Door een nep-LinkedIn-inlogpagina in een kwaadaardige HTML-bijlage te plaatsen, proberen aanvallers gebruikersgegevens te stelen en tegelijkertijd traditionele phishingdetectiemethoden te omzeilen.

Ontvangers moeten deze e-mails niet vertrouwen, de bijlage niet openen en geen inloggegevens verstrekken. De veiligste reactie is om het bericht direct te verwijderen en op te passen voor ongevraagde samenwerkingsaanbiedingen die te dringend of ongebruikelijk formeel lijken.