Шахрайство з електронною поштою щодо запитів на купівлю в LinkedIn

Несподівані електронні листи, які ніби надходять з перевірених платформ, можуть бути дуже переконливими, особливо коли вони обіцяють нові бізнес-можливості. З цієї причини користувачам слід завжди бути обережними, отримуючи небажані повідомлення, які вимагають дій або містять посилання та вкладення. Так звані електронні листи із запитами на покупку в LinkedIn є частиною фішингової кампанії та не пов’язані з LinkedIn чи будь-якою законною компанією, організацією чи суб’єктом. Натомість вони розроблені для того, щоб обманом змусити одержувачів розкрити конфіденційні облікові дані для входу.

Фальшива бізнес-можливість, розроблена для побудови довіри

Дослідники з кібербезпеки ідентифікували електронні листи LinkedIn Purchase Inquiry як фішингові повідомлення, що імітують ділові сповіщення від LinkedIn. В електронних листах неправдиво стверджується, що одержувач отримав нове ділове запрошення та запит на купівлю від особи, ідентифікованої як «lisa_fan», яка представлена як старший партнер і керуючий директор гонконгської торгової компанії.

Згідно з повідомленням, відправник зацікавлений у тому, щоб дізнатися, чи пропонує компанія одержувача певні товари. Одержувачам рекомендується переглянути ймовірний запит на пошук товару та відповісти, вказавши мінімальні кількості замовлення. Контент ретельно розроблений, щоб виглядати професійним та орієнтованим на бізнес, що збільшує ймовірність того, що одержувачі довірятимуть повідомленню.

Небезпечні посилання, приховані за повідомленням

Шахрайські електронні листи зазвичай містять дві помітні кнопки. Одна запрошує одержувачів прийняти запрошення відправника, а інша закликає їх негайно надати цінову пропозицію.

Незалежно від того, яку кнопку натиснути, користувачів перенаправляють на шкідливий веб-сайт, створений спеціально для крадіжки облікових даних. Мета полягає не в тому, щоб сприяти діловому обговоренню, а в тому, щоб спонукати жертв надати конфіденційну інформацію облікового запису.

Всередині веб-сайту для збору посвідчень

Фішингова сторінка розміщується через Міжпланетну файлову систему (IPFS) – децентралізований протокол зберігання файлів, який зловмисники часто використовують для розміщення шкідливого контенту.

Відвідавши сторінку, користувачі можуть помітити те, що виглядає як замовлення на купівлю у форматі електронної таблиці, пов’язане з компанією під назвою LightKing Tech Group Co. LTD. Однак доступ до документа блокується спливаючим вікном, яке стверджує, що перед переглядом нібито зашифрованого файлу потрібна перевірка особи.

Спливаюче вікно запитує ім'я користувача та пароль. Будь-яка інформація, введена в ці поля, передається безпосередньо шахраям, які керують кампанією.

Що відбувається, коли крадуть посвідчення?

Щойно кіберзлочинці отримають облікові дані для входу, вони можуть спробувати отримати доступ до різних облікових записів і сервісів, що належать жертві. Наслідки можуть виходити далеко за рамки одного скомпрометованого облікового запису.

Потенційні ризики включають:

• Несанкціонований доступ до облікових записів електронної пошти, бізнес-платформ та онлайн-сервісів.
• Крадіжка особистих даних, шахрайські транзакції та додаткові афери, здійснені від імені жертви.
• Подальше компрометування ділових комунікацій та конфіденційної корпоративної інформації.

Оскільки багато користувачів повторно використовують паролі на різних платформах, один випадок крадіжки облікових даних може призвести до ланцюга порушень безпеки.

Розповсюдження шкідливого програмного забезпечення залишається потенційною загрозою

Хоча основною метою цієї кампанії є крадіжка облікових даних, подібні фішингові операції іноді використовуються також для розповсюдження шкідливого програмного забезпечення. Кіберзлочинці часто використовують електронні листи для поширення шкідливого програмного забезпечення через вкладення або посилання на заражені вебсайти.

Загрожуючі файли можуть бути замасковані під легітимні документи, архіви, PDF-файли, виконувані програми або файли Microsoft Office. У деяких випадках відвідування шкідливого веб-сайту може спровокувати автоматичне завантаження шкідливого програмного забезпечення. В інших випадках жертвам пропонується вручну завантажити та запустити файл.

Документи Office також можуть містити шкідливі макроси, які залишаються неактивними, доки користувачі їх не ввімкнуть. Як наслідок, успішне зараження часто залежить від певної форми взаємодії з користувачем.

Попереджувальні ознаки, що виявляють шахрайство

Кілька індикаторів можуть допомогти одержувачам ідентифікувати ці шахрайські повідомлення до того, як буде завдано шкоди:

• Небажані ділові запити від невідомих контактів.
• Запити на перегляд документів надсилаються через зовнішні посилання, а не через офіційні сповіщення платформи.
• Термінові підказки, що спонукають до негайних дій, таких як прийняття запрошень або надання цінових пропозицій.
• Сторінки входу, що запитують облікові дані перед наданням доступу до документа.
• Невідповідності щодо даних відправника, інформації про компанію або адрес веб-сайтів.

Розпізнавання цих попереджувальних знаків може значно зменшити ризик стати жертвою.

Як відповідати на електронні листи із запитами щодо купівлі в LinkedIn

Одержувачам, які отримують ці електронні листи, слід уникати переходу за посиланнями, відкриття пов’язаних файлів або введення облікових даних на будь-якому пов’язаному веб-сайті. Найбезпечніший спосіб дій – негайно видалити повідомлення.

Якщо облікові дані вже було надано, постраждалі користувачі повинні негайно змінити скомпрометовані паролі, оновити всі облікові записи, що використовують той самий пароль, і ввімкнути багатофакторну автентифікацію, де це можливо. Крім того, слід контролювати активність облікових записів на наявність ознак несанкціонованого доступу.

Заключні думки

Кампанія електронною поштою «Запити про покупку в LinkedIn» – це фішингова афера, яка використовує репутацію LinkedIn для створення хибного відчуття легітимності. Надаючи одержувачам те, що здається справжньою бізнес-можливістю, кіберзлочинці намагаються обманом змусити користувачів розкрити цінні облікові дані для входу. Обережне ставлення до неочікуваних електронних листів, перевірка комунікацій через офіційні канали та уникнення підозрілих посилань залишаються важливими засобами захисту від цієї та подібних онлайн-загроз.