Podvod s e-mailami na spoluprácu na LinkedIn

Kyberzločinci stojaci za podvodom LinkedIn Collaboration sa snažia nalákať príjemcov niečím, čo vyzerá ako profesionálny obchodný dopyt. E-maily údajne pochádzajú od kupujúceho menom „Jonathan Spriggs“ zo spoločnosti Storex Trading Ltd., ktorý údajne objavil príjemcu cez LinkedIn a chce prediskutovať veľkú objednávku produktov zahŕňajúcu 12 000 kusov.

Aby správa vyzerala autenticky, podvodníci spomenú podpísanú zmluvu a povzbudia príjemcov, aby si prezreli priložený súbor. E-mail je starostlivo formulovaný tak, aby vytvoril pocit legitímnosti a naliehavosti, čím sa zvyšuje pravdepodobnosť, že používatelia otvoria prílohu bez podozrenia.

Celá správa je však podvodná a tvorí súčasť phishingovej operácie, ktorej cieľom je ukradnúť prihlasovacie údaje.

Škodlivá príloha skrytá za názvom v štýle PDF

Namiesto presmerovania obetí na externú phishingovú webovú stránku útočníci pripájajú škodlivý súbor HTML s názvom „LinkedIn_Buyer_Contract_33110.pdf.html“. Názov súboru je zámerne klamlivý, pretože na prvý pohľad pripomína neškodný dokument PDF.

Mnoho používateľov môže prehliadnuť koncovú príponu „.html“ a predpokladať, že súbor je štandardný zmluvný dokument. V skutočnosti otvorenie prílohy spustí lokálne uloženú phishingovú stránku priamo vo webovom prehliadači používateľa.

Táto taktika umožňuje podvodníkom obísť podozrenie a zároveň sa vyhnúť tradičným phishingovým odkazom, ktoré môžu systémy zabezpečenia e-mailov ľahšie odhaliť.

Ako funguje falošná prihlasovacia stránka na LinkedIn

Po otvorení HTML prílohy sa obeti zobrazí falošná prihlasovacia stránka LinkedIn. Stránka napodobňuje vzhľad LinkedInu pomocou kopírovanej značky, log a známych dizajnových prvkov, čím vytvára falošný pocit autenticity.

Falošná stránka tvrdí, že používatelia musia pred zobrazením zmluvy overiť svoju totožnosť zadaním svojej e-mailovej adresy a hesla. Keďže phishingový formulár beží lokálne z vlastného zariadenia obete a nie zo vzdialenej webovej stránky, niektorí používatelia sa môžu mylne domnievať, že je bezpečný.

Všetky prihlasovacie údaje zadané do formulára sa prenášajú priamo podvodníkom.

LinkedIn sa do tejto operácie absolútne nijako nezapája. Jeho branding sa zneužíva výlučne na manipuláciu príjemcov, aby dôverovali falošnému prihlasovaciemu rozhraniu.

Riziká ukradnutých poverení LinkedIn

Kompromitované účty LinkedIn môžu byť pre kyberzločincov mimoriadne cenné. Keď útočníci získajú prístup, môžu účet použiť na viacero škodlivých účelov vrátane:

• Odosielanie phishingových správ obchodným kontaktom a kontaktom

• Zhromažďovanie citlivých profesionálnych alebo firemných informácií

• Vydávanie sa za obeť v obchodných podvodoch

• Predaj kompromitovaných účtov na podzemných trhoch s kybernetickou kriminalitou

Keďže profily na LinkedIn často obsahujú údaje o zamestnaní, kontaktné informácie a obchodné vzťahy, napadnutý účet sa môže stať vstupnou bránou k ďalším útokom zameraným na jednotlivcov aj organizácie.

Prečo sú HTML prílohy nebezpečné

Mnoho používateľov si škodlivé prílohy spája iba so spustiteľnými súbormi alebo s podozrivým sťahovaním softvéru. HTML prílohy sa však čoraz častejšie používajú v phishingových kampaniach, pretože môžu priamo v prehliadači spustiť klamlivé prihlasovacie stránky.

Kyberzločinci bežne šíria malvér a phishingový obsah prostredníctvom príloh, ako sú dokumenty balíka Office, archívy, súbory PDF, spustiteľné súbory a súbory HTML. V niektorých prípadoch stačí na spustenie škodlivej aktivity už len otvorenie súboru. Iné útoky môžu vyžadovať, aby používatelia povolili makrá, stiahli ďalšie súbory alebo manuálne odoslali citlivé informácie.

Phishingové e-maily môžu tiež obsahovať škodlivé odkazy, ktoré presmerujú používateľov na webové stránky hostujúce malvér alebo na podvodné prihlasovacie portály.

Ako sa chrániť pred podobnými phishingovými útokmi

Používatelia môžu výrazne znížiť riziko kompromitácie dodržiavaním niekoľkých základných postupov kybernetickej bezpečnosti:

• Nikdy neotvárajte neočakávané e-mailové prílohy od neznámych alebo podozrivých odosielateľov
• Starostlivo skontrolujte názvy súborov a hľadajte zavádzajúce dvojité prípony, ako napríklad „.pdf.html“.
• Nezadávajte prihlasovacie údaje na stránkach otvorených z e-mailových príloh
• Overte si obchodné otázky prostredníctvom oficiálnych komunikačných kanálov spoločnosti
• Používajte viacfaktorové overovanie na zabezpečenie dôležitých účtov
• Okamžite vymažte podozrivé e-maily bez nutnosti manipulácie s prílohami alebo odkazmi

Záverečné myšlienky

E-mailový podvod LinkedIn Collaboration je sofistikovaná phishingová kampaň maskovaná ako profesionálny obchodný návrh. Vložením falošnej prihlasovacej stránky LinkedIn do škodlivej HTML prílohy sa útočníci snažia ukradnúť používateľské prihlasovacie údaje a zároveň sa vyhnúť tradičným metódam detekcie phishingu.

Príjemcovia by nemali týmto e-mailom dôverovať, otvárať prílohy ani poskytovať žiadne prihlasovacie údaje. Najbezpečnejšou reakciou je okamžite správu vymazať a dávať si pozor na nevyžiadané ponuky spolupráce, ktoré sa zdajú byť príliš naliehavé alebo nezvyčajne formálne.