Golpe de e-mail de colaboração do LinkedIn

Os cibercriminosos por trás do golpe de colaboração no LinkedIn tentam atrair os destinatários com o que parece ser uma consulta comercial profissional. Os e-mails alegam ser de um comprador chamado "Jonathan Spriggs", da Storex Trading Ltd., que supostamente encontrou o destinatário pelo LinkedIn e deseja discutir um grande pedido de 12.000 unidades.

Para dar autenticidade à mensagem, os golpistas mencionam um contrato assinado e incentivam os destinatários a analisar um arquivo anexado. O e-mail é cuidadosamente redigido para criar uma sensação de legitimidade e urgência, aumentando a probabilidade de os usuários abrirem o anexo sem suspeitar de nada.

No entanto, toda a mensagem é fraudulenta e faz parte de uma operação de phishing destinada a roubar credenciais de login.

O anexo malicioso oculto por trás de um nome no estilo PDF

Em vez de direcionar as vítimas para um site externo de phishing, os atacantes anexam um arquivo HTML malicioso chamado 'LinkedIn_Buyer_Contract_33110.pdf.html'. O nome do arquivo é intencionalmente enganoso, pois à primeira vista se assemelha a um documento PDF inofensivo.

Muitos usuários podem ignorar a extensão final '.html' e presumir que o arquivo seja um documento de contrato padrão. Na realidade, abrir o anexo abre uma página de phishing armazenada localmente diretamente no navegador do usuário.

Essa tática permite que os golpistas ignorem as suspeitas, evitando os links de phishing tradicionais que os sistemas de segurança de e-mail podem sinalizar com mais facilidade.

Como funciona a página de login falsa do LinkedIn

Ao abrir o anexo HTML, a vítima se depara com uma página de login falsa do LinkedIn. A página imita a aparência do LinkedIn usando marcas, logotipos e elementos de design familiares copiados para criar uma falsa sensação de autenticidade.

A página falsa alega que os usuários devem verificar sua identidade inserindo seu endereço de e-mail e senha antes de visualizar o contrato. Como o formulário de phishing é executado localmente no próprio dispositivo da vítima, em vez de um site remoto, alguns usuários podem presumir erroneamente que é seguro.

Todas as informações inseridas no formulário são transmitidas diretamente aos golpistas.

O LinkedIn não tem absolutamente nenhum envolvimento nessa operação. Sua marca está sendo usada indevidamente apenas para manipular os destinatários e levá-los a confiar na interface de login falsa.

Os riscos do roubo de credenciais do LinkedIn

Contas do LinkedIn comprometidas podem ser extremamente valiosas para cibercriminosos. Uma vez que os invasores obtêm acesso, eles podem usar a conta para diversos fins maliciosos, incluindo:

• Envio de mensagens de phishing para contatos e conexões comerciais.

• Coletar informações profissionais ou corporativas confidenciais.

• Fingir ser a vítima em golpes relacionados a negócios

• Venda de contas comprometidas em mercados clandestinos de crimes cibernéticos.

Como os perfis do LinkedIn geralmente contêm detalhes de emprego, informações de contato e relacionamentos comerciais, uma conta invadida pode se tornar uma porta de entrada para outros ataques direcionados a indivíduos e organizações.

Por que os anexos HTML são perigosos

Muitos usuários associam anexos maliciosos apenas a arquivos executáveis ou downloads de software suspeitos. No entanto, anexos HTML estão sendo cada vez mais utilizados em campanhas de phishing, pois podem abrir páginas de login enganosas diretamente no navegador.

Criminosos cibernéticos costumam distribuir malware e conteúdo de phishing por meio de anexos como documentos do Office, arquivos compactados, PDFs, executáveis e arquivos HTML. Em alguns casos, basta abrir o arquivo para iniciar a atividade maliciosa. Outros ataques podem exigir que os usuários habilitem macros, baixem arquivos adicionais ou enviem informações confidenciais manualmente.

E-mails de phishing também podem conter links maliciosos que redirecionam os usuários para sites que hospedam malware ou portais de login fraudulentos.

Como se proteger contra ataques de phishing semelhantes

Os usuários podem reduzir significativamente o risco de comprometimento de seus sistemas seguindo algumas práticas essenciais de segurança cibernética:

• Nunca abra anexos inesperados de e-mails de remetentes desconhecidos ou suspeitos.
• Examine cuidadosamente os nomes dos arquivos e fique atento a extensões duplas enganosas, como '.pdf.html'.
• Evite inserir credenciais de login em páginas abertas a partir de anexos de e-mail.
• Verifique as informações comerciais através dos canais de comunicação oficiais da empresa.
• Use a autenticação multifator para ajudar a proteger contas importantes.
• Apague imediatamente e-mails suspeitos sem interagir com anexos ou links.

Considerações finais

O golpe do e-mail de colaboração do LinkedIn é uma campanha de phishing sofisticada disfarçada de proposta comercial profissional. Ao incorporar uma página de login falsa do LinkedIn em um anexo HTML malicioso, os atacantes tentam roubar as credenciais do usuário, evitando os métodos tradicionais de detecção de phishing.

Os destinatários não devem confiar nesses e-mails, abrir o anexo ou fornecer qualquer informação de login. A resposta mais segura é excluir a mensagem imediatamente e permanecer cauteloso com ofertas de colaboração não solicitadas que pareçam muito urgentes ou excessivamente formais.