Мошенничество с использованием электронных писем для совместной работы в LinkedIn

Киберпреступники, стоящие за мошеннической схемой с использованием LinkedIn Collaboration, пытаются заманить получателей письмами, которые выглядят как деловые запросы от профессионалов. В письмах утверждается, что они отправлены покупателем по имени Джонатан Сприггс из компании Storex Trading Ltd., который якобы нашел получателя через LinkedIn и хочет обсудить крупный заказ на 12 000 единиц продукции.

Чтобы сообщение выглядело правдоподобно, мошенники упоминают подписанный контракт и предлагают получателям ознакомиться с прикрепленным файлом. Текст письма тщательно составлен, чтобы создать ощущение легитимности и срочности, повышая вероятность того, что пользователи откроют вложение без подозрений.

Однако всё сообщение носит мошеннический характер и является частью фишинговой операции, направленной на кражу учетных данных для входа в систему.

Вредоносное вложение, скрытое за именем в стиле PDF.

Вместо того чтобы направлять жертв на внешний фишинговый сайт, злоумышленники прикрепляют вредоносный HTML-файл с именем «LinkedIn_Buyer_Contract_33110.pdf.html». Название файла намеренно обманчиво, поскольку на первый взгляд он напоминает безобидный PDF-документ.

Многие пользователи могут не заметить расширение ".html" в конце файла и предположить, что это стандартный договор. На самом деле, открытие вложения запускает локально сохраненную фишинговую страницу непосредственно в веб-браузере пользователя.

Эта тактика позволяет мошенникам обходить подозрения, избегая при этом традиционных фишинговых ссылок, которые системы безопасности электронной почты могут помечать как подозрительные.

Как работает поддельная страница входа в LinkedIn

После открытия HTML-вложения жертве отображается поддельная страница входа в LinkedIn. Страница имитирует внешний вид LinkedIn, используя скопированные элементы фирменной символики, логотипы и знакомые элементы дизайна, чтобы создать ложное ощущение подлинности.

Поддельная страница утверждает, что пользователи должны подтвердить свою личность, введя адрес электронной почты и пароль, прежде чем просмотреть договор. Поскольку фишинговая форма запускается локально на устройстве жертвы, а не на удаленном веб-сайте, некоторые пользователи могут ошибочно предположить, что она безопасна.

Все данные, введенные в форму, передаются напрямую мошенникам.

LinkedIn абсолютно не имеет отношения к этой операции. Его бренд используется исключительно для того, чтобы заставить получателей поверить поддельному интерфейсу авторизации.

Риски кражи учетных данных LinkedIn

Взломанные аккаунты LinkedIn могут представлять огромную ценность для киберпреступников. Получив доступ, злоумышленники могут использовать аккаунт в различных злонамеренных целях, включая:

• Отправка фишинговых сообщений деловым контактам и знакомым.

• Сбор конфиденциальной профессиональной или корпоративной информации.

• Выдача себя за жертву в мошеннических схемах, связанных с бизнесом.

• Продажа взломанных аккаунтов на подпольных площадках киберпреступности.

Поскольку профили LinkedIn часто содержат информацию о трудоустройстве, контактные данные и деловые связи, взломанный аккаунт может стать отправной точкой для дальнейших атак, направленных как на отдельных лиц, так и на организации.

Почему HTML-вложения опасны

Многие пользователи связывают вредоносные вложения только с исполняемыми файлами или подозрительными загрузками программного обеспечения. Однако HTML-вложения все чаще используются в фишинговых кампаниях, поскольку они могут запускать обманчивые страницы авторизации непосредственно в браузере.

Киберпреступники обычно распространяют вредоносное ПО и фишинговые материалы через вложения, такие как документы Office, архивы, PDF-файлы, исполняемые файлы и HTML-файлы. В некоторых случаях для начала вредоносной деятельности достаточно просто открыть файл. Другие атаки могут потребовать от пользователей включения макросов, загрузки дополнительных файлов или ручной отправки конфиденциальной информации.

Фишинговые электронные письма также могут содержать вредоносные ссылки, перенаправляющие пользователей на веб-сайты, содержащие вредоносное ПО, или на мошеннические порталы авторизации.

Как защититься от подобных фишинговых атак

Пользователи могут значительно снизить риск компрометации своих данных, следуя нескольким важным правилам кибербезопасности:

• Никогда не открывайте неожиданные вложения в электронных письмах от неизвестных или подозрительных отправителей.
• Внимательно проверяйте имена файлов и обращайте внимание на вводящие в заблуждение двойные расширения, такие как '.pdf.html'.
• Избегайте ввода учетных данных для входа на страницы, открываемые из вложенных электронных писем.
• Проверяйте деловые запросы через официальные каналы связи компании.
• Используйте многофакторную аутентификацию для защиты важных учетных записей.
• Немедленно удаляйте подозрительные электронные письма, не взаимодействуя с вложениями или ссылками.

Заключительные мысли

Мошенническая схема с рассылкой электронных писем о сотрудничестве в LinkedIn — это изощренная фишинговая кампания, замаскированная под профессиональное деловое предложение. Внедряя поддельную страницу входа в LinkedIn в вредоносное HTML-вложение, злоумышленники пытаются украсть учетные данные пользователей, избегая традиционных методов обнаружения фишинга.

Получателям не следует доверять этим электронным письмам, открывать вложения или предоставлять какие-либо данные для входа в систему. Наиболее безопасным вариантом будет немедленно удалить сообщение и проявлять осторожность в отношении незапрошенных предложений о сотрудничестве, которые кажутся слишком срочными или необычно формальными.