E-postbedrägeri om samarbete på LinkedIn

Cyberbrottslingarna bakom LinkedIn Collaboration-bedrägeriet försöker locka mottagare med vad som verkar vara en professionell affärsförfrågan. E-postmeddelandena påstås komma från en köpare vid namn "Jonathan Spriggs" från Storex Trading Ltd., som påstås ha upptäckt mottagaren via LinkedIn och vill diskutera en stor produktorder som omfattar 12 000 enheter.

För att få meddelandet att verka autentiskt nämner bedragarna ett undertecknat kontrakt och uppmuntrar mottagarna att granska en bifogad fil. E-postmeddelandet är noggrant formulerat för att skapa en känsla av legitimitet och brådska, vilket ökar sannolikheten för att användarna öppnar den bifogade filen utan misstanke.

Hela meddelandet är dock bedrägligt och ingår i en nätfiskeoperation som syftar till att stjäla inloggningsuppgifter.

Den skadliga bilagan gömd bakom ett PDF-liknande namn

Istället för att dirigera offren till en extern nätfiskewebbplats bifogar angriparna en skadlig HTML-fil med namnet "LinkedIn_Buyer_Contract_33110.pdf.html". Filnamnet är avsiktligt vilseledande eftersom det vid första anblicken liknar ett ofarligt PDF-dokument.

Många användare kan förbise den slutliga filändelsen '.html' och anta att filen är ett standardavtalsdokument. I verkligheten öppnas en lokalt lagrad nätfiskesida direkt i användarens webbläsare om man öppnar den bifogade filen.

Denna taktik gör det möjligt för bedragare att kringgå misstankar samtidigt som de undviker traditionella nätfiskelänkar som e-postsäkerhetssystem lättare kan flagga.

Hur den falska LinkedIn-inloggningssidan fungerar

När HTML-bilagan öppnas visas offret med en förfalskad LinkedIn-inloggningssida. Sidan imiterar LinkedIns utseende genom att använda kopierade varumärken, logotyper och välbekanta designelement för att skapa en falsk känsla av äkthet.

Den falska sidan hävdar att användare måste verifiera sin identitet genom att ange sin e-postadress och sitt lösenord innan de kan se kontraktet. Eftersom nätfiskeformuläret körs lokalt från offrets egen enhet snarare än en fjärrwebbplats, kan vissa användare felaktigt anta att det är säkert.

Alla inloggningsuppgifter som anges i formuläret skickas direkt till bedragarna.

LinkedIn har absolut ingen inblandning i den här operationen. Dess varumärke missbrukas enbart för att manipulera mottagare att lita på det falska inloggningsgränssnittet.

Riskerna med stulna LinkedIn-referenser

Kompromitterade LinkedIn-konton kan vara extremt värdefulla för cyberbrottslingar. När angripare får åtkomst kan de använda kontot för flera skadliga syften, inklusive:

• Skicka nätfiskemeddelanden till affärskontakter och kontakter

• Insamling av känslig professionell eller företagsinformation

• Att utge sig för att vara offret i affärsrelaterade bedrägerier

• Sälja komprometterade konton på underjordiska marknadsplatser för cyberbrottslighet

Eftersom LinkedIn-profiler ofta innehåller anställningsuppgifter, kontaktuppgifter och affärsrelationer kan ett kapat konto bli en inkörsport till ytterligare attacker riktade mot både individer och organisationer.

Varför HTML-bilagor är farliga

Många användare kopplar endast skadliga bilagor till körbara filer eller misstänkta programnedladdningar. HTML-bilagor används dock alltmer i nätfiskekampanjer eftersom de kan starta vilseledande inloggningssidor direkt i en webbläsare.

Cyberbrottslingar distribuerar ofta skadlig programvara och nätfiskeinnehåll via bilagor som Office-dokument, arkiv, PDF-filer, körbara filer och HTML-filer. I vissa fall räcker det att bara öppna filen för att initiera skadlig aktivitet. Andra attacker kan kräva att användare aktiverar makron, laddar ner ytterligare filer eller skickar in känslig information manuellt.

Nätfiskemejl kan också innehålla skadliga länkar som omdirigerar användare till webbplatser med skadlig programvara eller bedrägliga inloggningsportaler.

Hur man skyddar sig mot liknande nätfiskeattacker

Användare kan avsevärt minska risken för kompromettering genom att följa flera viktiga cybersäkerhetspraxis:

• Öppna aldrig oväntade e-postbilagor från okända eller misstänkta avsändare
• Kontrollera filnamn noggrant och se upp för vilseledande dubbla filändelser som '.pdf.html'
• Undvik att ange inloggningsuppgifter på sidor som öppnas från e-postbilagor
• Verifiera affärsförfrågningar via företagets officiella kommunikationskanaler
• Använd multifaktorautentisering för att skydda viktiga konton
• Ta bort misstänkta e-postmeddelanden omedelbart utan att interagera med bilagor eller länkar

Slutliga tankar

E-postbedrägeriet LinkedIn Collaboration är en sofistikerad nätfiskekampanj förklädd till ett professionellt affärsförslag. Genom att bädda in en falsk LinkedIn-inloggningssida i en skadlig HTML-bilaga försöker angripare stjäla användaruppgifter samtidigt som de undviker traditionella metoder för att upptäcka nätfiske.

Mottagare bör inte lita på dessa e-postmeddelanden, öppna bilagan eller lämna någon inloggningsinformation. Det säkraste svaret är att omedelbart radera meddelandet och vara försiktig med oombedda samarbetserbjudanden som verkar alltför brådskande eller ovanligt formella.