Шахрайство з електронною поштою щодо співпраці в LinkedIn

Кіберзлочинці, що стоять за шахрайством щодо співпраці з LinkedIn, намагаються заманити одержувачів тим, що виглядає як професійний бізнес-запит. В електронних листах стверджується, що вони надійшли від покупця на ім'я Джонатан Спріггс з Storex Trading Ltd., який нібито знайшов одержувача через LinkedIn і хоче обговорити велике замовлення товару на 12 000 одиниць.

Щоб повідомлення виглядало справжнім, шахраї згадують підписаний контракт і заохочують одержувачів переглянути вкладений файл. Електронний лист ретельно сформульовано, щоб створити відчуття легітимності та терміновості, збільшуючи ймовірність того, що користувачі відкриють вкладення без підозр.

Однак усе повідомлення є шахрайським і є частиною фішингової операції, спрямованої на крадіжку облікових даних для входу.

Шкідливе вкладення, приховане за назвою в стилі PDF

Замість того, щоб перенаправляти жертв на зовнішній фішинговий веб-сайт, зловмисники додають шкідливий HTML-файл під назвою «LinkedIn_Buyer_Contract_33110.pdf.html». Назва файлу навмисно оманлива, оскільки на перший погляд вона нагадує нешкідливий PDF-документ.

Багато користувачів можуть не помітити остаточне розширення «.html» і вважати, що файл є стандартним контрактним документом. Насправді, відкриття вкладення запускає локально збережену фішингову сторінку безпосередньо у веббраузері користувача.

Ця тактика дозволяє шахраям обійти підозри, уникаючи традиційних фішингових посилань, які системи безпеки електронної пошти можуть легше позначити.

Як працює фальшива сторінка входу в LinkedIn

Після відкриття HTML-файлу жертві відображається підроблена сторінка входу в LinkedIn. Сторінка імітує зовнішній вигляд LinkedIn, використовуючи скопійований брендинг, логотипи та знайомі елементи дизайну, щоб створити хибне відчуття автентичності.

На фальшивій сторінці стверджується, що користувачі повинні підтвердити свою особу, ввівши адресу електронної пошти та пароль, перш ніж переглядати контракт. Оскільки фішингова форма запускається локально з власного пристрою жертви, а не з віддаленого веб-сайту, деякі користувачі можуть помилково вважати її безпечною.

Будь-які облікові дані, введені у форму, передаються безпосередньо шахраям.

LinkedIn абсолютно не причетний до цієї операції. Його брендинг використовується виключно для маніпулювання одержувачами, щоб вони довіряли фальшивому інтерфейсу входу.

Ризики крадіжки облікових даних LinkedIn

Скомпрометовані облікові записи LinkedIn можуть бути надзвичайно цінними для кіберзлочинців. Отримавши доступ, зловмисники можуть використовувати обліковий запис для різних зловмисних цілей, зокрема:

Оскільки профілі LinkedIn часто містять інформацію про роботу, контактну інформацію та ділові зв'язки, викрадений обліковий запис може стати воротами для подальших атак, спрямованих як на окремих осіб, так і на організації.

Чому HTML-вкладення небезпечні

Багато користувачів асоціюють шкідливі вкладення лише з виконуваними файлами або підозрілими завантаженнями програмного забезпечення. Однак HTML-вкладення все частіше використовуються у фішингових кампаніях, оскільки вони можуть запускати оманливі сторінки входу безпосередньо у браузері.

Кіберзлочинці зазвичай розповсюджують шкідливе програмне забезпечення та фішинговий контент через вкладення, такі як документи Office, архіви, PDF-файли, виконувані файли та HTML-файли. У деяких випадках простого відкриття файлу достатньо для початку шкідливої діяльності. Інші атаки можуть вимагати від користувачів увімкнення макросів, завантаження додаткових файлів або надсилання конфіденційної інформації вручну.

Фішингові електронні листи також можуть містити шкідливі посилання, які перенаправляють користувачів на веб-сайти зі шкідливим програмним забезпеченням або шахрайські портали входу.

Як захиститися від подібних фішингових атак

Користувачі можуть значно зменшити ризик компрометації, дотримуючись кількох основних правил кібербезпеки:

• Ніколи не відкривайте неочікувані вкладення електронних листів від невідомих або підозрілих відправників
• Уважно перевіряйте назви файлів та звертайте увагу на оманливі подвійні розширення, такі як «.pdf.html»
• Уникайте введення облікових даних для входу на сторінках, що відкриваються з вкладень електронної пошти
• Перевіряйте бізнес-запити через офіційні канали зв'язку компанії
• Використовуйте багатофакторну автентифікацію для захисту важливих облікових записів
• Негайно видаляйте підозрілі електронні листи без взаємодії з вкладеннями чи посиланнями

Заключні думки

Шахрайство електронною поштою про співпрацю в LinkedIn — це складна фішингова кампанія, замаскована під професійну ділову пропозицію. Вбудовуючи фальшиву сторінку входу LinkedIn у шкідливий HTML-файл, зловмисники намагаються викрасти облікові дані користувачів, уникаючи традиційних методів виявлення фішингу.

Одержувачам не слід довіряти цим електронним листам, відкривати вкладення або надавати будь-яку інформацію для входу. Найбезпечніша відповідь — негайно видалити повідомлення та бути обережними з небажаними пропозиціями про співпрацю, які виглядають надто терміновими або надзвичайно формальними.