Oszustwo związane z e-mailami do współpracy na LinkedIn

Cyberprzestępcy stojący za oszustwem LinkedIn Collaboration próbują zwabić odbiorców, przedstawiając im coś, co wygląda na profesjonalne zapytanie biznesowe. E-maile rzekomo pochodzą od kupującego o nazwisku „Jonathan Spriggs” z firmy Storex Trading Ltd., który rzekomo odkrył odbiorcę za pośrednictwem LinkedIn i chce omówić duże zamówienie na 12 000 sztuk.

Aby wiadomość wydawała się autentyczna, oszuści powołują się na podpisaną umowę i zachęcają odbiorców do zapoznania się z załączonym plikiem. Treść wiadomości e-mail jest starannie sformułowana, aby stworzyć wrażenie wiarygodności i pilności, zwiększając prawdopodobieństwo, że użytkownicy otworzą załącznik bez podejrzeń.

Jednak cała wiadomość jest oszustwem i stanowi część operacji phishingowej, której celem jest kradzież danych logowania.

Złośliwy załącznik ukryty pod nazwą w stylu PDF

Zamiast kierować ofiary na zewnętrzną witrynę phishingową, atakujący dołączają złośliwy plik HTML o nazwie „LinkedIn_Buyer_Contract_33110.pdf.html”. Nazwa pliku jest celowo myląca, ponieważ na pierwszy rzut oka przypomina nieszkodliwy dokument PDF.

Wielu użytkowników może nie zauważyć rozszerzenia „.html” i założyć, że plik to standardowy dokument umowy. W rzeczywistości otwarcie załącznika uruchamia lokalnie zapisaną stronę phishingową bezpośrednio w przeglądarce internetowej użytkownika.

Dzięki tej taktyce oszuści mogą ominąć podejrzenia, unikając jednocześnie tradycyjnych linków phishingowych, które systemy bezpieczeństwa poczty e-mail mogą łatwiej oznaczyć.

Jak działa fałszywa strona logowania LinkedIn

Po otwarciu załącznika HTML, ofierze wyświetla się fałszywa strona logowania LinkedIn. Strona imituje wygląd LinkedIn, wykorzystując skopiowane logo, branding i znane elementy graficzne, aby stworzyć fałszywe poczucie autentyczności.

Fałszywa strona twierdzi, że użytkownicy muszą zweryfikować swoją tożsamość, podając adres e-mail i hasło, aby wyświetlić umowę. Ponieważ formularz phishingowy jest uruchamiany lokalnie na urządzeniu ofiary, a nie na zdalnej stronie internetowej, niektórzy użytkownicy mogą błędnie założyć, że jest on bezpieczny.

Wszystkie dane uwierzytelniające podane w formularzu są przesyłane bezpośrednio do oszustów.

LinkedIn nie ma absolutnie żadnego udziału w tej operacji. Jego wizerunek jest nadużywany wyłącznie w celu manipulowania odbiorcami, aby zaufali fałszywemu interfejsowi logowania.

Ryzyko kradzieży danych uwierzytelniających LinkedIn

Zhakowane konta LinkedIn mogą być niezwykle cenne dla cyberprzestępców. Po uzyskaniu dostępu atakujący mogą wykorzystać konto do wielu złośliwych celów, w tym:

• Wysyłanie wiadomości phishingowych do kontaktów biznesowych i połączeń

• Zbieranie poufnych informacji zawodowych lub korporacyjnych

• Podszywanie się pod ofiarę w oszustwach związanych z biznesem

• Sprzedaż zagrożonych kont na podziemnych rynkach cyberprzestępczości

Ponieważ profile w serwisie LinkedIn często zawierają informacje o zatrudnieniu, dane kontaktowe i relacje biznesowe, przejęte konto może stać się bramą do dalszych ataków wymierzonych zarówno w osoby fizyczne, jak i organizacje.

Dlaczego załączniki HTML są niebezpieczne

Wielu użytkowników kojarzy złośliwe załączniki wyłącznie z plikami wykonywalnymi lub pobieraniem podejrzanego oprogramowania. Jednak załączniki HTML są coraz częściej wykorzystywane w kampaniach phishingowych, ponieważ mogą uruchamiać fałszywe strony logowania bezpośrednio w przeglądarce.

Cyberprzestępcy często rozpowszechniają złośliwe oprogramowanie i treści phishingowe za pośrednictwem załączników, takich jak dokumenty pakietu Office, archiwa, pliki PDF, pliki wykonywalne i pliki HTML. W niektórych przypadkach samo otwarcie pliku wystarczy, aby zainicjować szkodliwą aktywność. Inne ataki mogą wymagać od użytkowników włączenia makr, pobrania dodatkowych plików lub ręcznego przesłania poufnych informacji.

Wiadomości e-mail typu phishing mogą również zawierać szkodliwe linki, które kierują użytkowników do witryn zawierających złośliwe oprogramowanie lub fałszywych portali logowania.

Jak chronić się przed podobnymi atakami phishingowymi

Użytkownicy mogą znacząco zmniejszyć ryzyko naruszenia bezpieczeństwa, stosując się do kilku podstawowych zasad cyberbezpieczeństwa:

• Nigdy nie otwieraj nieoczekiwanych załączników e-mail od nieznanych lub podejrzanych nadawców
• Dokładnie sprawdź nazwy plików i zwróć uwagę na wprowadzające w błąd podwójne rozszerzenia, takie jak „.pdf.html”
• Unikaj wprowadzania danych logowania na stronach otwieranych z załączników wiadomości e-mail
• Weryfikuj zapytania biznesowe za pośrednictwem oficjalnych kanałów komunikacji firmy
• Użyj uwierzytelniania wieloskładnikowego, aby zabezpieczyć ważne konta
• Natychmiast usuwaj podejrzane wiadomości e-mail, nie wchodząc w interakcję z załącznikami ani linkami

Ostatnie myśli

Oszustwo e-mailowe LinkedIn Collaboration to wyrafinowana kampania phishingowa podszywająca się pod profesjonalną ofertę biznesową. Osadzając fałszywą stronę logowania LinkedIn w złośliwym załączniku HTML, atakujący próbują ukraść dane uwierzytelniające użytkownika, unikając jednocześnie tradycyjnych metod wykrywania phishingu.

Odbiorcy nie powinni ufać tym e-mailom, otwierać załączników ani podawać danych logowania. Najbezpieczniej jest natychmiast usunąć wiadomość i zachować ostrożność w przypadku niezamawianych ofert współpracy, które wydają się zbyt pilne lub nietypowo formalne.