Превара путем е-поште за сарадњу на LinkedIn-у

Сајбер криминалци који стоје иза преваре „Сарадња на LinkedIn-у“ покушавају да намаме примаоце оним што изгледа као професионални пословни упит. У имејловима се тврди да потичу од купца по имену „Џонатан Спригс“ из компаније Storex Trading Ltd., који је наводно открио примаоца преко LinkedIn-а и жели да разговара о великој поруџбини производа која укључује 12.000 јединица.

Да би порука изгледала аутентично, преваранти помињу потписан уговор и подстичу примаоце да прегледају приложену датотеку. Имејл је пажљиво формулисан како би се створио осећај легитимности и хитности, повећавајући вероватноћу да ће корисници отворити прилог без сумње.

Међутим, цела порука је лажна и део је фишинг операције чији је циљ крађа приступних података.

Злонамерни прилог скривен иза имена у PDF стилу

Уместо да усмере жртве на екстерну фишинг веб страницу, нападачи прилажу злонамерну HTML датотеку под називом „LinkedIn_Buyer_Contract_33110.pdf.html“. Назив датотеке је намерно обмањујући јер на први поглед подсећа на безопасни PDF документ.

Многи корисници могу превидети последњу екстензију „.html“ и претпоставити да је датотека стандардни уговорни документ. У стварности, отварање прилога покреће локално сачувану фишинг страницу директно у веб прегледачу корисника.

Ова тактика омогућава преварантима да заобиђу сумњу, избегавајући традиционалне фишинг линкове које системи за безбедност е-поште могу лакше да обележе.

Како функционише лажна страница за пријаву на LinkedIn

Када се HTML прилог отвори, жртви се приказује лажна страница за пријаву на LinkedIn. Страница имитира изглед LinkedIn-а користећи копирани брендинг, логотипе и познате елементе дизајна како би се створио лажни осећај аутентичности.

Лажна страница тврди да корисници морају да потврде свој идентитет уносом адресе е-поште и лозинке пре него што прегледају уговор. Пошто се фишинг образац покреће локално са уређаја жртве, а не са удаљене веб странице, неки корисници могу погрешно претпоставити да је безбедан.

Сви подаци за унос у образац се директно преносе преварантима.

LinkedIn апсолутно нема никакве везе са овом операцијом. Његов бренд се злоупотребљава искључиво да би се манипулисало примаоцима да поверују у лажни интерфејс за пријаву.

Ризици украдених LinkedIn акредитива

Компромитовани LinkedIn налози могу бити изузетно вредни за сајбер криминалце. Када нападачи добију приступ, могу користити налог у више злонамерних сврха, укључујући:

• Слање фишинг порука пословним контактима и везама

• Прикупљање осетљивих професионалних или корпоративних информација

• Лажно представљање жртве у преварама везаним за пословање

• Продаја угрожених налога на илегалним тржиштима сајбер криминала

Пошто LinkedIn профили често садрже детаље о запослењу, контакт информације и пословне односе, отети налог може постати улазна тачка за даље нападе усмерене и на појединце и на организације.

Зашто су HTML прилози опасни

Многи корисници повезују злонамерне прилоге само са извршним датотекама или сумњивим преузимањима софтвера. Међутим, HTML прилози се све више користе у фишинг кампањама јер могу да покрену обмањујуће странице за пријаву директно унутар прегледача.

Сајбер криминалци обично дистрибуирају злонамерни софтвер и фишинг садржај путем прилога као што су Офис документи, архиве, ПДФ-ови, извршне датотеке и ХТМЛ датотеке. У неким случајевима, само отварање датотеке је довољно да покрене злонамерну активност. Други напади могу захтевати од корисника да омогуће макрое, преузму додатне датотеке или ручно пошаљу осетљиве информације.

Фишинг имејлови могу такође да садрже штетне линкове који преусмеравају кориснике на веб локације које хостују злонамерни софтвер или лажне портале за пријаву.

Како се заштитити од сличних фишинг напада

Корисници могу значајно смањити ризик од угрожавања тако што ће пратити неколико основних пракси сајбер безбедности:

• Никада не отварајте неочекиване прилоге е-поште од непознатих или сумњивих пошиљалаца
• Пажљиво проверите имена датотека и обратите пажњу на обмањујуће двоструке екстензије као што је „.pdf.html“
• Избегавајте уношење података за пријаву на странице које се отварају из прилога е-поште
• Проверите пословне упите путем званичних комуникационих канала компаније
• Користите вишефакторску аутентификацију да бисте заштитили важне налоге
• Одмах обришите сумњиве имејлове без интеракције са прилозима или линковима

Завршне мисли

Превара путем имејла „Линдин сарадња“ је софистицирана фишинг кампања прикривена као професионални пословни предлог. Уграђивањем лажне странице за пријаву на Линдин унутар злонамерног HTML прилога, нападачи покушавају да украду корисничке акредитиве, избегавајући традиционалне методе откривања фишинга.

Примаоци не би требало да верују овим имејловима, да отварају прилоге или дају било какве податке за пријаву. Најбезбеднији одговор је да одмах обришу поруку и да буду опрезни са непожељним понудама за сарадњу које делују превише хитно или необично формално.