LinkedIn İş Birliği E-posta Dolandırıcılığı

LinkedIn iş birliği dolandırıcılığının arkasındaki siber suçlular, alıcıları profesyonel bir iş sorgusu gibi görünen bir e-posta ile kandırmaya çalışıyor. E-postalar, Storex Trading Ltd.'den 'Jonathan Spriggs' adlı bir alıcıdan geldiğini iddia ediyor; bu kişi alıcıyı LinkedIn aracılığıyla bulduğunu ve 12.000 adetlik büyük bir ürün siparişi hakkında görüşmek istediğini söylüyor.

Mesajın gerçekçi görünmesi için dolandırıcılar imzalı bir sözleşmeden bahsediyor ve alıcıları ekli dosyayı incelemeye teşvik ediyor. E-posta, meşruiyet ve aciliyet hissi yaratacak şekilde özenle hazırlanmış olup, kullanıcıların eki şüphe duymadan açma olasılığını artırıyor.

Ancak, mesajın tamamı sahte olup, giriş bilgilerini çalmayı amaçlayan bir kimlik avı operasyonunun parçasıdır.

PDF Tarzı Bir Adın Arkasına Gizlenmiş Kötü Amaçlı Ek Dosya

Saldırganlar, kurbanları harici bir kimlik avı web sitesine yönlendirmek yerine, 'LinkedIn_Buyer_Contract_33110.pdf.html' adlı kötü amaçlı bir HTML dosyası ekliyorlar. Dosya adı kasıtlı olarak yanıltıcıdır çünkü ilk bakışta zararsız bir PDF belgesine benziyor.

Birçok kullanıcı dosyanın sonundaki '.html' uzantısını gözden kaçırarak dosyanın standart bir sözleşme belgesi olduğunu varsayabilir. Gerçekte ise, eki açmak, kullanıcının web tarayıcısında doğrudan yerel olarak depolanmış bir kimlik avı sayfasını başlatır.

Bu taktik, dolandırıcıların şüphe çekmeden, e-posta güvenlik sistemlerinin daha kolay tespit edebileceği geleneksel kimlik avı bağlantılarından kaçınmalarını sağlar.

Sahte LinkedIn Giriş Sayfası Nasıl Çalışır?

HTML eki açıldığında, kurban sahte bir LinkedIn giriş sayfasıyla karşılaşır. Sayfa, sahte bir gerçeklik hissi yaratmak için kopyalanmış marka öğeleri, logolar ve tanıdık tasarım unsurları kullanarak LinkedIn'in görünümünü taklit eder.

Sahte sayfa, kullanıcıların sözleşmeyi görüntülemeden önce e-posta adreslerini ve şifrelerini girerek kimliklerini doğrulamaları gerektiğini iddia ediyor. Kimlik avı formu, uzak bir web sitesinden ziyade kurbanın kendi cihazından yerel olarak çalıştığı için, bazı kullanıcılar bunun güvenli olduğunu yanlışlıkla varsayabilir.

Forma girilen tüm kimlik bilgileri doğrudan dolandırıcılara iletilmektedir.

LinkedIn'in bu operasyonla kesinlikle hiçbir ilgisi yoktur. Marka imajı, yalnızca alıcıları sahte giriş arayüzüne güvenmeye yönlendirmek için kötüye kullanılmaktadır.

Çalınan LinkedIn Kimlik Bilgilerinin Riskleri

Ele geçirilen LinkedIn hesapları siber suçlular için son derece değerli olabilir. Saldırganlar hesaba erişim sağladıktan sonra, hesabı aşağıdakiler de dahil olmak üzere birçok kötü amaçlı kullanabilirler:

• İş bağlantılarına ve ilişkilerine kimlik avı mesajları göndermek

• Hassas mesleki veya kurumsal bilgilerin toplanması

• İş amaçlı dolandırıcılıklarda mağdurun kimliğine bürünme

• Yeraltı siber suç pazarlarında ele geçirilmiş hesapların satışı

LinkedIn profilleri genellikle iş bilgilerini, iletişim bilgilerini ve iş ilişkilerini içerdiğinden, ele geçirilen bir hesap hem bireyleri hem de kuruluşları hedef alan daha fazla saldırı için bir geçit haline gelebilir.

HTML Ekleri Neden Tehlikelidir?

Birçok kullanıcı kötü amaçlı ekleri yalnızca çalıştırılabilir dosyalar veya şüpheli yazılım indirmeleriyle ilişkilendirir. Bununla birlikte, HTML ekleri, doğrudan tarayıcı içinde aldatıcı giriş sayfaları başlatabildikleri için kimlik avı kampanyalarında giderek daha fazla kullanılmaktadır.

Siber suçlular genellikle Office belgeleri, arşivler, PDF'ler, çalıştırılabilir dosyalar ve HTML dosyaları gibi ekler aracılığıyla kötü amaçlı yazılım ve kimlik avı içerikleri dağıtırlar. Bazı durumlarda, dosyayı açmak bile kötü amaçlı faaliyeti başlatmak için yeterlidir. Diğer saldırılar ise kullanıcıların makroları etkinleştirmesini, ek dosyalar indirmesini veya hassas bilgileri manuel olarak göndermesini gerektirebilir.

Kimlik avı e-postaları, kullanıcıları kötü amaçlı yazılım barındıran web sitelerine veya sahte giriş portallarına yönlendiren zararlı bağlantılar da içerebilir.

Benzer Kimlik Avı Saldırılarına Karşı Nasıl Korunulur?

Kullanıcılar, aşağıdaki temel siber güvenlik uygulamalarını izleyerek siber saldırıya uğrama risklerini önemli ölçüde azaltabilirler:

• Tanımadığınız veya şüpheli göndericilerden gelen beklenmedik e-posta eklerini asla açmayın.
• Dosya adlarını dikkatlice inceleyin ve '.pdf.html' gibi yanıltıcı çift uzantılara dikkat edin.
• E-posta eklerinden açılan sayfalara giriş bilgilerinizi girmekten kaçının.
• İş sorgularını resmi şirket iletişim kanalları aracılığıyla doğrulayın.
• Önemli hesaplarınızın güvenliğini sağlamak için çok faktörlü kimlik doğrulamayı kullanın.
• Şüpheli e-postaları, eklerle veya bağlantılarla etkileşime girmeden derhal silin.

Son Düşünceler

LinkedIn İş Birliği e-posta dolandırıcılığı, profesyonel bir iş teklifi gibi görünen karmaşık bir kimlik avı kampanyasıdır. Saldırganlar, kötü amaçlı bir HTML ekine sahte bir LinkedIn giriş sayfası yerleştirerek, geleneksel kimlik avı tespit yöntemlerinden kaçınırken kullanıcı kimlik bilgilerini çalmaya çalışırlar.

Alıcılar bu e-postalara güvenmemeli, ekleri açmamalı veya herhangi bir giriş bilgisi vermemelidir. En güvenli yanıt, mesajı hemen silmek ve çok acil veya alışılmadık derecede resmi görünen istenmeyen iş birliği tekliflerine karşı temkinli olmaktır.