Haitallinen kampanja, joka on kohdistettu Slovakian Internetin käyttäjiin, on jälleen yksi muistutus siitä, kuinka tietojenkalasteluoperaattorit käyttävät usein laillisia palveluita ja brändejä välttääkseen turvatarkastuksia.
Tässä tapauksessa uhkatekijät hyödyntävät LinkedIn Premium -ominaisuutta nimeltä Smart Links ohjatakseen käyttäjät tietojenkalastelusivulle luottokorttitietojen keräämistä varten. Linkki on upotettu sähköpostiin, jonka väitetään lähettäneen Slovakian postipalvelusta, ja se on aito LinkedIn-URL-osoite, joten suojatut sähköpostiyhdyskäytävät (SEG) ja muut suodattimet eivät useinkaan estä sitä.
"Jos Cofense löysi, hyökkääjät käyttivät luotettavaa verkkotunnusta, kuten LinkedIniä, päästäkseen suojattujen sähköpostiyhdyskäytävien ohi", sanoo Monnia Deng, Bolsterin tuotemarkkinoinnin johtaja. "Tuo LinkedInin laillinen linkki uudelleenohjasi käyttäjän tietojenkalastelusivustolle, jossa he tekivät paljon vaivaa saadakseen sen näyttämään lailliselta, esimerkiksi lisäämällä väärennetyn tekstiviestin todennuksen."
Sähköpostissa pyydetään myös vastaanottajaa maksamaan uskottavan pieni summa paketista, joka ilmeisesti odottaa lähetystä. Käyttäjät, jotka on huijattu napsauttamaan linkkiä, saapuvat sivulle, joka on suunniteltu näyttämään samalta kuin postipalvelu kerää verkkomaksuja. Mutta sen sijaan, että maksaisivat vain oletetusta pakettilähetyksestä, käyttäjät päätyvät luovuttamaan koko maksukorttitietonsa myös phishing-operaattoreille.
Ei ensimmäistäkään Tine Smart Links -ominaisuutta ole käytetty väärin
Kampanja ei ole ensimmäinen kerta, kun uhkatoimijat ovat käyttäneet väärin LinkedInin Smart Links -ominaisuutta – tai Slinksejä, kuten jotkut sitä kutsuvat – tietojenkalasteluoperaatiossa. Mutta se on yksi harvoista tapauksista, joissa linkkejä sisältäviä sähköposteja ovat päätyneet käyttäjien postilaatikoihin, sanoo Cofensen vanhempi tiedusteluanalyytikko Brad Haas. Tietojenkalastelupalveluiden toimittaja on tällä hetkellä seurannassa meneillään olevaa Slovakian kampanjaa ja julkaisi tällä viikolla raportin tähänastisesta uhka-analyysistään.
LinkedIn Smart Linkit on markkinointiominaisuus, jonka avulla sen Premium-palvelun tilaaneet käyttäjät voivat ohjata muita sisältöön, jonka lähettäjä haluaa heidän näkevän. Ominaisuuden avulla käyttäjät voivat käyttää yhtä LinkedIn-URL-osoitetta ohjatakseen käyttäjät useisiin markkinointimateriaaliin – kuten asiakirjoihin, Excel-tiedostoihin, PDF-tiedostoihin, kuviin ja verkkosivuihin. Vastaanottajat saavat LinkedIn-linkin, jota napsautettuna ohjataan heidät sen takana olevaan sisältöön. LinkedIn Slinks antaa käyttäjille mahdollisuuden saada suhteellisen yksityiskohtaista tietoa siitä, kuka on voinut katsoa sisältöä, miten he ovat saattaneet olla vuorovaikutuksessa sen kanssa ja muita yksityiskohtia.
Se tarjoaa myös hyökkääjille kätevän – ja erittäin uskottavan – tavan ohjata käyttäjiä haitallisille sivustoille.
"Älykkäiden linkkien luominen on suhteellisen helppoa", Haas sanoo. "Pääsylle pääsyn pääasiallinen este on se, että se vaatii Premium LinkedIn -tilin", hän huomauttaa. Uhkatoimijan on ostettava palvelu tai hankittava laillisen käyttäjän tili. Mutta sen lisäksi uhkatekijöiden on suhteellisen helppoa käyttää näitä linkkejä käyttäjien ohjaamiseen haitallisille sivustoille, hän sanoo. "Olemme nähneet muiden tietojenkalasteluuhkatekijöiden väärinkäyttävän LinkedIn Smart Links -palvelua, mutta nykyään on harvinaista nähdä sen saapuvan postilaatikoihin."
Laillisten palvelujen hyödyntäminen
Hyökkääjien lisääntyvä käyttö laillisten ohjelmistojen palveluna ja pilvipalveluiden, kuten LinkedInin, Google Cloudin, AWS:n ja monien muiden taholta haitallisen sisällön isännöimiseen tai käyttäjien ohjaamiseen siihen, on yksi syy siihen, miksi tietojenkalastelu on edelleen yksi ensisijaisista alkuvaiheista. pääsyvektorit.
Juuri viime viikolla Uber koki a katastrofaalinen rikkomus sen sisäisistä järjestelmistä sen jälkeen, kun hyökkääjä sosiaalisesti muokkasi työntekijän tunnistetiedot ja käytti niitä päästäkseen yrityksen VPN:ään. Tässä tapauksessa hyökkääjä, jonka Uber tunnisti kuuluu Lapsus$-uhkaryhmään — huijannut käyttäjän hyväksymään monitekijätodennuspyynnön (MFA) teeskentelemällä olevansa yrityksen IT-osastolta.
On tärkeää, että hyökkääjät hyödyntävät sosiaalisen median alustoja väärennettyjen tietojenkalastelusivustojensa välityspalvelimena. Huolestuttavaa on myös se, että tietojenkalastelukampanjat ovat kehittyneet merkittävästi, jotta ne eivät ole vain luovempia, vaan myös helpommin saatavilla ihmisille, jotka eivät osaa kirjoittaa koodia, Deng lisää.
"Tietojenkalastelu tapahtuu kaikkialla, missä voit lähettää tai vastaanottaa linkin", lisää Patrick Harr, SlashNextin toimitusjohtaja. Hakkerit käyttävät viisaasti tekniikoita, jotka välttävät suojatuimpia kanavia, kuten yrityksen sähköpostin. Sen sijaan he päättävät käyttää sosiaalisen median sovelluksia ja henkilökohtaisia sähköposteja takaovena yritykseen. "Tietojenkalasteluhuijaukset ovat edelleen vakava ongelma organisaatioille, ja ne ovat siirtymässä tekstiviesteihin, yhteistyötyökaluihin ja sosiaalisiin", Harr sanoo. Hän huomauttaa, että SlashNext on nähnyt tekstiviestien ja viestien suojauspyyntöjen lisääntyneen, kun tekstiviestien kompromisseista tulee suurempi ongelma.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
