Ηθοποιός απειλών καταχράται τη λειτουργία έξυπνων συνδέσμων του LinkedIn για τη συλλογή πιστωτικών καρτών

Μια κακόβουλη καμπάνια που στοχεύει χρήστες του Διαδικτύου στη Σλοβακία αποτελεί μια ακόμη υπενθύμιση για το πώς οι φορείς phishing χρησιμοποιούν συχνά νόμιμες υπηρεσίες και επωνυμίες για να αποφύγουν τους ελέγχους ασφαλείας.

Σε αυτήν την περίπτωση, οι φορείς απειλών εκμεταλλεύονται μια λειτουργία LinkedIn Premium που ονομάζεται Έξυπνοι Σύνδεσμοι για να κατευθύνουν τους χρήστες σε μια σελίδα phishing για τη συλλογή πληροφοριών πιστωτικών καρτών. Ο σύνδεσμος είναι ενσωματωμένος σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που υποτίθεται ότι προέρχεται από τη Σλοβακική Ταχυδρομική Υπηρεσία και είναι μια νόμιμη διεύθυνση URL του LinkedIn, επομένως οι ασφαλείς πύλες ηλεκτρονικού ταχυδρομείου (SEG) και άλλα φίλτρα είναι συχνά απίθανο να τον αποκλείσουν.

«Στην περίπτωση που βρήκε το Cofense, οι εισβολείς χρησιμοποίησαν έναν αξιόπιστο τομέα όπως το LinkedIn για να ξεπεράσουν ασφαλείς πύλες ηλεκτρονικού ταχυδρομείου», λέει η Monnia Deng, διευθύντρια μάρκετινγκ προϊόντων στο Bolster. "Αυτός ο νόμιμος σύνδεσμος από το LinkedIn ανακατεύθυνε στη συνέχεια τον χρήστη σε έναν ιστότοπο ηλεκτρονικού "ψαρέματος", όπου κατέβαλαν μεγάλες προσπάθειες για να τον κάνουν να φαίνεται νόμιμος, όπως η προσθήκη ενός πλαστού ελέγχου ταυτότητας μηνύματος κειμένου SMS."

Το email ζητά επίσης από τον παραλήπτη να πληρώσει ένα πιστευτά μικρό χρηματικό ποσό για ένα δέμα που προφανώς εκκρεμεί η αποστολή σε αυτόν. Οι χρήστες που εξαπατήθηκαν κάνοντας κλικ στον σύνδεσμο φτάνουν σε μια σελίδα που έχει σχεδιαστεί για να φαίνεται σαν αυτή που χρησιμοποιεί η ταχυδρομική υπηρεσία για τη συλλογή πληρωμών στο διαδίκτυο. Αλλά αντί να πληρώνουν απλώς για την υποτιθέμενη αποστολή πακέτου, οι χρήστες καταλήγουν να δίνουν ολόκληρα τα στοιχεία της κάρτας πληρωμής τους και στους χειριστές phishing.

Δεν έχει γίνει κατάχρηση της πρώτης λειτουργίας έξυπνων συνδέσμων Tine

Η καμπάνια δεν είναι η πρώτη φορά που οι φορείς απειλών κάνουν κατάχρηση της λειτουργίας Έξυπνων συνδέσμων του LinkedIn — ή των Slinks, όπως την αποκαλούν ορισμένοι — σε μια επιχείρηση phishing. Ωστόσο, σηματοδοτεί μια από τις σπάνιες περιπτώσεις όπου μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν παραμορφωμένα LinkedIn Slinks έχουν καταλήξει στα εισερχόμενα των χρηστών, λέει ο Brad Haas, ανώτερος αναλυτής πληροφοριών στην Cofense. Ο προμηθευτής υπηρεσιών προστασίας από ψάρεμα είναι τρέχουσα παρακολούθηση τη συνεχιζόμενη εκστρατεία στη Σλοβακία και αυτή την εβδομάδα εξέδωσε έκθεση σχετικά με την ανάλυσή της για την απειλή μέχρι στιγμής.

Το LinkedIn Έξυπνοι σύνδεσμοι είναι μια λειτουργία μάρκετινγκ που επιτρέπει στους χρήστες που είναι εγγεγραμμένοι στην υπηρεσία Premium να κατευθύνει άλλους στο περιεχόμενο που θέλει να δει ο αποστολέας. Η δυνατότητα επιτρέπει στους χρήστες να χρησιμοποιούν μια ενιαία διεύθυνση URL του LinkedIn για να κατευθύνουν τους χρήστες σε πολλαπλές εξασφαλίσεις μάρκετινγκ — όπως έγγραφα, αρχεία Excel, αρχεία PDF, εικόνες και ιστοσελίδες. Οι παραλήπτες λαμβάνουν έναν σύνδεσμο LinkedIn στον οποίο, όταν κάνουν κλικ, τους ανακατευθύνει στο περιεχόμενο πίσω από αυτόν. Το LinkedIn Slinks επιτρέπει στους χρήστες να λαμβάνουν σχετικά λεπτομερείς πληροφορίες σχετικά με το ποιος θα μπορούσε να δει το περιεχόμενο, πώς μπορεί να αλληλεπιδράσει με αυτό και άλλες λεπτομέρειες.

Παρέχει επίσης στους εισβολείς έναν βολικό - και πολύ αξιόπιστο - τρόπο να ανακατευθύνουν τους χρήστες σε κακόβουλους ιστότοπους. 

«Είναι σχετικά εύκολο να δημιουργήσεις Έξυπνους Συνδέσμους», λέει ο Haas. «Το κύριο εμπόδιο για την είσοδο είναι ότι απαιτεί έναν Premium λογαριασμό LinkedIn», σημειώνει. Ένας παράγοντας απειλής θα πρέπει να αγοράσει την υπηρεσία ή να αποκτήσει πρόσβαση στον λογαριασμό ενός νόμιμου χρήστη. Αλλά εκτός από αυτό, είναι σχετικά εύκολο για τους φορείς απειλών να χρησιμοποιήσουν αυτούς τους συνδέσμους για να στείλουν χρήστες σε κακόβουλους ιστότοπους, λέει. "Έχουμε δει άλλους παράγοντες απειλών ηλεκτρονικού "ψαρέματος" να κάνουν κατάχρηση των Έξυπνων συνδέσμων του LinkedIn, αλλά από σήμερα, είναι ασυνήθιστο να τα βλέπουμε να φτάνουν στα εισερχόμενα."

Αξιοποίηση νόμιμων υπηρεσιών

Η αυξανόμενη χρήση από τους εισβολείς νόμιμων προσφορών λογισμικού ως υπηρεσίας και cloud, όπως το LinkedIn, το Google Cloud, το AWS και πολλά άλλα για να φιλοξενήσουν κακόβουλο περιεχόμενο ή να κατευθύνουν τους χρήστες σε αυτό, είναι ένας λόγος για τον οποίο το phishing παραμένει ένα από τα κύρια αρχικά διανύσματα πρόσβασης.

Μόλις την περασμένη εβδομάδα, η Uber αντιμετώπισε ένα καταστροφική παραβίαση των εσωτερικών συστημάτων της, αφού ένας εισβολέας κοινωνικής δικτύωσης σχεδίασε τα διαπιστευτήρια ενός υπαλλήλου και τα χρησιμοποίησε για πρόσβαση στο VPN της εταιρείας. Σε εκείνη την περίπτωση, ο εισβολέας — τον οποίο αναγνώρισε η Uber ανήκει στην ομάδα απειλών Lapsus$ — εξαπάτησε τον χρήστη να αποδεχτεί ένα αίτημα ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) προσποιούμενος ότι είναι από το τμήμα IT της εταιρείας.

Είναι σημαντικό ότι οι επιτιθέμενοι αξιοποιούν τις πλατφόρμες μέσων κοινωνικής δικτύωσης ως πληρεξούσιο για τους ψεύτικους ιστότοπους ηλεκτρονικού ψαρέματος. Επίσης, ανησυχητικό είναι το γεγονός ότι οι καμπάνιες phishing έχουν εξελιχθεί σημαντικά ώστε όχι μόνο να είναι πιο δημιουργικές αλλά και πιο προσιτές σε άτομα που δεν μπορούν να γράψουν κώδικα, προσθέτει ο Deng.

«Το phishing συμβαίνει οπουδήποτε μπορείτε να στείλετε ή να λάβετε έναν σύνδεσμο», προσθέτει ο Patrick Harr, Διευθύνων Σύμβουλος στο SlashNext. Οι χάκερ χρησιμοποιούν με σύνεση τεχνικές που αποφεύγουν τα πιο προστατευμένα κανάλια, όπως το εταιρικό email. Αντίθετα, επιλέγουν να χρησιμοποιούν εφαρμογές κοινωνικών μέσων και προσωπικά μηνύματα ηλεκτρονικού ταχυδρομείου ως κερκόπορτα στην επιχείρηση. "Οι απάτες ηλεκτρονικού "ψαρέματος" (phishing) συνεχίζουν να αποτελούν σοβαρό πρόβλημα για τους οργανισμούς και μετακινούνται προς τα SMS, τα εργαλεία συνεργασίας και τα μέσα κοινωνικής δικτύωσης", λέει ο Harr. Σημειώνει ότι το SlashNext έχει αυξήσει τα αιτήματα για προστασία SMS και μηνυμάτων, καθώς οι συμβιβασμοί που περιλαμβάνουν μηνύματα κειμένου γίνονται μεγαλύτερο πρόβλημα.