Een kwaadwillende campagne gericht op internetgebruikers in Slowakije herinnert ons er opnieuw aan hoe phishing-operators regelmatig gebruik maken van legitieme diensten en merken om beveiligingscontroles te omzeilen.
In dit geval maken de aanvallers gebruik van een LinkedIn Premium-functie genaamd Smart Links om gebruikers naar een phishing-pagina te leiden voor het verzamelen van creditcardgegevens. De link is ingebed in een e-mail die zogenaamd afkomstig is van de Slowaakse postdienst en is een legitieme LinkedIn-URL, dus het is vaak onwaarschijnlijk dat beveiligde e-mailgateways (SEG's) en andere filters deze blokkeren.
"In het geval dat Cofense ontdekte, gebruikten aanvallers een vertrouwd domein zoals LinkedIn om langs beveiligde e-mailgateways te komen", zegt Monnia Deng, directeur productmarketing bij Bolster. "Die legitieme link van LinkedIn leidde de gebruiker vervolgens om naar een phishing-site, waar ze zich tot het uiterste inspanden om het legitiem te laten lijken, zoals het toevoegen van een nep-sms-authenticatie."
De e-mail vraagt de ontvanger ook om een geloofwaardig klein bedrag te betalen voor een pakket dat klaarblijkelijk in afwachting is van verzending. Gebruikers die zijn misleid om op de link te klikken, komen op een pagina die is ontworpen om eruit te zien als een pagina die de post gebruikt om online betalingen te innen. Maar in plaats van alleen te betalen voor de vermeende pakketverzending, geven gebruikers uiteindelijk ook hun volledige betaalkaartgegevens weg aan de phishing-operators.
Niet de First Tine Smart Links-functie is misbruikt
De campagne is niet de eerste keer dat cybercriminelen misbruik maken van de Smart Links-functie van LinkedIn - of Slinks, zoals sommigen het noemen - in een phishing-operatie. Maar het is een van de weinige gevallen waarin e-mails met gemanipuleerde LinkedIn Slinks in de inbox van gebruikers zijn beland, zegt Brad Haas, senior inlichtingenanalist bij Cofense. De leverancier van phishing-beveiligingsservices is momenteel volgen de lopende Slowaakse campagne en bracht deze week een rapport uit over haar analyse van de dreiging tot nu toe.
LinkedIn's Smart Links is een marketingfunctie waarmee gebruikers die zijn geabonneerd op de Premium-service anderen kunnen doorverwijzen naar inhoud die de afzender wil dat ze zien. Met deze functie kunnen gebruikers een enkele LinkedIn-URL gebruiken om gebruikers naar meerdere marketingmaterialen te verwijzen, zoals documenten, Excel-bestanden, pdf's, afbeeldingen en webpagina's. Ontvangers ontvangen een LinkedIn-link die, wanneer erop wordt geklikt, hen omleidt naar de inhoud erachter. Met LinkedIn Slinks kunnen gebruikers relatief gedetailleerde informatie krijgen over wie de inhoud heeft bekeken, hoe ze ermee hebben gereageerd en andere details.
Het geeft aanvallers ook een handige - en zeer geloofwaardige - manier om gebruikers om te leiden naar kwaadaardige sites.
"Het is relatief eenvoudig om Smart Links te maken", zegt Haas. "De belangrijkste toetredingsdrempel is dat het een Premium LinkedIn-account vereist", merkt hij op. Een bedreigingsactor zou de service moeten kopen of toegang moeten krijgen tot het account van een legitieme gebruiker. Maar afgezien daarvan is het relatief eenvoudig voor aanvallers om deze links te gebruiken om gebruikers naar kwaadwillende sites te sturen, zegt hij. "We hebben gezien dat andere phishing-actoren LinkedIn Smart Links misbruiken, maar vanaf vandaag is het ongebruikelijk om te zien dat het inboxen bereikt."
Gebruikmaken van legitieme services
Het toenemende gebruik door aanvallers van legitieme software-as-a-service en cloudaanbiedingen zoals LinkedIn, Google Cloud, AWS en tal van andere om schadelijke inhoud te hosten of om gebruikers ernaartoe te leiden, is een van de redenen waarom phishing een van de belangrijkste initiële aanvallen blijft. toegang tot vectoren.
Vorige week ondervond Uber een catastrofale breuk van zijn interne systemen nadat een aanvaller de inloggegevens van een werknemer via social engineering had gemanipuleerd en deze had gebruikt om toegang te krijgen tot de VPN van het bedrijf. In dat geval de aanvaller - die Uber identificeerde als behorend tot de dreigingsgroep Lapsus$ — misleidde de gebruiker om een multifactorauthenticatieverzoek (MFA) te accepteren door te doen alsof hij van de IT-afdeling van het bedrijf kwam.
Het is veelbetekenend dat aanvallers sociale-mediaplatforms gebruiken als proxy voor hun valse phishing-websites. Ook verontrustend is het feit dat phishing-campagnes aanzienlijk zijn geëvolueerd om niet alleen creatiever te zijn, maar ook toegankelijker voor mensen die geen code kunnen schrijven, voegt Deng toe.
"Phishing komt overal voor waar u een link kunt verzenden of ontvangen", voegt Patrick Harr, CEO van SlashNext toe. Hackers gebruiken wijselijk technieken die de meest beschermde kanalen vermijden, zoals zakelijke e-mail. In plaats daarvan kiezen ze ervoor om sociale media-apps en persoonlijke e-mails te gebruiken als een achterdeur naar de onderneming. "Phishing-scams blijven een serieus probleem voor organisaties en ze stappen over op sms, samenwerkingstools en sociale media", zegt Harr. Hij merkt op dat SlashNext een toename heeft gezien in verzoeken om sms- en berichtbeveiliging, omdat compromissen met sms-berichten een groter probleem worden.
