En ondsinnet kampanje rettet mot Internett-brukere i Slovakia gir nok en påminnelse om hvordan phishing-operatører ofte utnytter legitime tjenester og merkevarer for å unngå sikkerhetskontroller.
I dette tilfellet utnytter trusselaktørene en LinkedIn Premium-funksjon kalt Smart Links for å lede brukere til en phishing-side for å hente kredittkortinformasjon. Linken er innebygd i en e-post angivelig fra den slovakiske posttjenesten og er en legitim LinkedIn-URL, så det er ofte usannsynlig at sikre e-postgatewayer (SEG-er) og andre filtre blokkerer den.
"I tilfellet Cofense fant, brukte angripere et pålitelig domene som LinkedIn for å komme forbi sikre e-postgatewayer," sier Monnia Deng, direktør for produktmarkedsføring i Bolster. "Den legitime koblingen fra LinkedIn omdirigerte deretter brukeren til et phishing-nettsted, hvor de gikk langt for å få det til å virke legitimt, for eksempel å legge til en falsk SMS-tekstmeldingsautentisering."
E-posten ber også mottakeren om å betale en utrolig liten sum penger for en pakke som tilsynelatende venter på forsendelse til dem. Brukere som blir lurt til å klikke på lenken kommer til en side designet for å se ut som en posttjenesten bruker til å samle inn betalinger på nettet. Men i stedet for bare å betale for den antatte pakkeforsendelsen, ender brukerne opp med å gi bort hele betalingskortdetaljene til phishing-operatørene også.
Ikke den første Tine Smart Links-funksjonen har blitt misbrukt
Kampanjen er ikke første gang trusselaktører har misbrukt LinkedIns Smart Links-funksjon – eller Slinks, som noen kaller det – i en phishing-operasjon. Men det markerer et av de sjeldne tilfellene der e-poster som inneholder doktorerte LinkedIn Slinks har havnet i brukerinnbokser, sier Brad Haas, senior etterretningsanalytiker hos Cofense. Leverandøren av phishing-beskyttelsestjenester er for øyeblikket sporing den pågående slovakiske kampanjen og ga denne uken en rapport om sin analyse av trusselen så langt.
LinkedIns Smart Linker er en markedsføringsfunksjon som lar brukere som abonnerer på Premium-tjenesten henvise andre til innhold avsenderen vil at de skal se. Funksjonen lar brukere bruke en enkelt LinkedIn-URL for å peke brukere til flere markedsføringsmateriale – for eksempel dokumenter, Excel-filer, PDF-er, bilder og nettsider. Mottakere mottar en LinkedIn-lenke som, når de klikkes, omdirigerer dem til innholdet bak den. LinkedIn Slinks lar brukere få relativt detaljert informasjon om hvem som kan ha sett på innholdet, hvordan de kan ha interagert med det og andre detaljer.
Det gir også angripere en praktisk – og veldig troverdig – måte å omdirigere brukere til ondsinnede nettsteder.
"Det er relativt enkelt å lage Smart Links," sier Haas. "Den største barrieren for oppføring er at det krever en Premium LinkedIn-konto," bemerker han. En trusselaktør må kjøpe tjenesten eller få tilgang til en legitim brukers konto. Men i tillegg er det relativt enkelt for trusselaktører å bruke disse lenkene til å sende brukere til ondsinnede nettsteder, sier han. "Vi har sett andre aktører av phishing-trusler misbruke LinkedIn Smart Links, men per i dag er det uvanlig å se det når innbokser."
Utnytte legitime tjenester
Den økende bruken av angripere av legitim programvare-som-en-tjeneste og skytilbud som LinkedIn, Google Cloud, AWS og mange andre for å være vert for skadelig innhold eller for å lede brukere til det, er en grunn til at phishing fortsatt er en av de viktigste initialene tilgang til vektorer.
Bare forrige uke opplevde Uber en katastrofalt brudd av sine interne systemer etter at en angriper sosialiserte en ansatts legitimasjon og brukte dem for å få tilgang til selskapets VPN. I det tilfellet angriperen - som Uber identifiserte som som tilhører Lapsus$-trusselgruppen — lurte brukeren til å godta en forespørsel om multifaktorautentisering (MFA) ved å utgi seg for å være fra selskapets IT-avdeling.
Det er viktig at angripere bruker sosiale medieplattformer som en proxy for sine falske phishing-nettsteder. Også urovekkende er det faktum at phishing-kampanjer har utviklet seg betydelig til ikke bare å være mer kreative, men også mer tilgjengelige for folk som ikke kan skrive kode, legger Deng til.
"Phishing forekommer hvor som helst du kan sende eller motta en lenke," legger Patrick Harr, administrerende direktør i SlashNext til. Hackere bruker klokt teknikker som unngår de mest beskyttede kanalene, som bedriftens e-post. I stedet velger de å bruke apper for sosiale medier og personlige e-poster som en bakdør inn i bedriften. "Phishing-svindel fortsetter å være et alvorlig problem for organisasjoner, og de går over til SMS, samarbeidsverktøy og sosiale," sier Harr. Han bemerker at SlashNext har sett en økning i forespørsler om SMS- og meldingsbeskyttelse ettersom kompromisser som involverer tekstmeldinger blir et større problem.
