A szlovákiai internetfelhasználókat célzó rosszindulatú kampány újabb emlékeztetőül szolgál arra, hogy az adathalász-szolgáltatók miként használnak fel gyakran legitim szolgáltatásokat és márkákat a biztonsági ellenőrzések kijátszására.
Ebben az esetben a fenyegetés szereplői a LinkedIn Premium Smart Links funkcióját használják ki, hogy a felhasználókat egy adathalász oldalra irányítsák a hitelkártyaadatok begyűjtésére. A hivatkozás állítólag a Szlovák Postaszolgálattól származó e-mailbe van beágyazva, és egy legitim LinkedIn URL, így a biztonságos e-mail átjárók (SEG) és más szűrők gyakran nem blokkolják.
„Abban az esetben, ha a Cofense megtalálta, a támadók egy megbízható domaint, például a LinkedIn-t használtak a biztonságos e-mail átjárók elkerülésére” – mondja Monnia Deng, a Bolster termékmarketing igazgatója. "A LinkedIn legitim linkje ezután egy adathalász oldalra irányította a felhasználót, ahol mindent megtettek annak érdekében, hogy legitimnek tűnjenek, például hamis SMS-hitelesítést adtak hozzá."
Az e-mail arra is kéri a címzettet, hogy fizessen egy hihetően kis összeget egy olyan csomagért, amely nyilvánvalóan szállításra vár. Azok a felhasználók, akiket csalva rákattintottak a linkre, egy olyan oldalra jutnak, amelyet úgy terveztek, hogy úgy nézzen ki, mint a postai szolgáltatás az online fizetések beszedésére. De ahelyett, hogy pusztán a feltételezett csomagszállítmányt fizetnék, a felhasználók a teljes fizetési kártyaadatukat is átadják az adathalász üzemeltetőknek.
Nem az első Tine Smart Links funkcióval éltek vissza
A kampány nem az első alkalom, hogy a fenyegetés szereplői adathalász művelet során visszaélnek a LinkedIn Smart Links funkciójával – vagy ahogy egyesek nevezik a Slinks szolgáltatással. Ez azonban azon ritka esetek egyikét jelenti, amikor az orvosolt LinkedIn Slinkeket tartalmazó e-mailek a felhasználók postaládájába kerültek – mondja Brad Haas, a Cofense vezető hírszerzési elemzője. Az adathalászat elleni védelmi szolgáltatások szállítója az jelenleg követi a folyamatban lévő szlovák kampányról, és a héten jelentést adott ki a fenyegetés eddigi elemzéséről.
LinkedIn Intelligens linkek egy marketingfunkció, amely lehetővé teszi a prémium szolgáltatásra előfizetett felhasználók számára, hogy másokat a feladó által látni kívánt tartalomhoz irányítsanak. A funkció lehetővé teszi a felhasználók számára, hogy egyetlen LinkedIn URL-t használva több marketinganyaghoz – például dokumentumokhoz, Excel-fájlokhoz, PDF-ekhez, képekhez és weboldalakhoz – irányítsák a felhasználókat. A címzettek egy LinkedIn hivatkozást kapnak, amelyre kattintáskor átirányítja őket a mögötte lévő tartalomra. A LinkedIn Slinks lehetővé teszi a felhasználók számára, hogy viszonylag részletes információkat kapjanak arról, hogy kik nézték meg a tartalmat, hogyan kommunikálhattak vele, és egyéb részleteket.
Ezenkívül kényelmes – és nagyon hiteles – módot ad a támadóknak a felhasználók rosszindulatú webhelyekre való átirányítására.
„Viszonylag könnyű intelligens hivatkozásokat létrehozni” – mondja Haas. "A belépés fő akadálya az, hogy prémium LinkedIn-fiók szükséges" - jegyzi meg. A fenyegetés szereplőjének meg kell vásárolnia a szolgáltatást, vagy hozzáférést kell szereznie egy legitim felhasználói fiókhoz. De emellett a fenyegetés szereplői viszonylag könnyen használhatják ezeket a linkeket, hogy rosszindulatú webhelyekre irányítsák a felhasználókat, mondja. "Láttunk már más adathalász fenyegetés szereplőit is visszaélni a LinkedIn Smart Links szolgáltatással, de ma már ritka, hogy a beérkezett üzenetek mappába is eljutnak."
A törvényes szolgáltatások kihasználása
Az egyik oka annak, hogy az adathalászat továbbra is az egyik elsődleges kezdeti probléma, hogy a támadók egyre növekvő mértékben használják a legális szoftver-szolgáltatásként és felhőajánlatokat, mint például a LinkedIn, a Google Cloud, az AWS és sok más. hozzáférési vektorok.
Éppen a múlt héten tapasztalta az Uber a katasztrofális megsértése belső rendszereiből, miután egy támadó, szociálisan megtervezett egy alkalmazott hitelesítő adatait, és ezek segítségével hozzáfért a vállalat VPN-jéhez. Ebben az esetben a támadó – akit az Uber azonosított a Lapsus$ fenyegetettségi csoporthoz tartozó — rávette a felhasználót, hogy elfogadjon egy többtényezős hitelesítési (MFA) kérést, úgy, hogy a vállalat informatikai részlegétől származott.
Lényeges, hogy a támadók a közösségi média platformjait használják fel hamis adathalász webhelyeik proxyjaként. Szintén aggasztó az a tény, hogy az adathalász kampányok jelentősen fejlődtek, és nemcsak kreatívabbak, hanem elérhetőbbek is azok számára, akik nem tudnak kódot írni, teszi hozzá Deng.
„Az adathalászat mindenhol előfordul, ahol linket küldhet vagy fogadhat” – teszi hozzá Patrick Harr, a SlashNext vezérigazgatója. A hackerek bölcsen olyan technikákat alkalmaznak, amelyek elkerülik a leginkább védett csatornákat, például a vállalati e-maileket. Ehelyett úgy döntenek, hogy a közösségi média alkalmazásokat és a személyes e-maileket hátsó ajtóként használják a vállalkozásba. „Az adathalász csalások továbbra is komoly problémát jelentenek a szervezetek számára, és áttérnek az SMS-ekre, az együttműködési eszközökre és a közösségi oldalra” – mondja Harr. Megjegyzi, hogy a SlashNextnél megnövekedett az SMS- és üzenetvédelem iránti kérelmek száma, mivel a szöveges üzenetekkel kapcsolatos kompromisszumok egyre nagyobb problémát jelentenek.
