Uma campanha maliciosa dirigida aos utilizadores da Internet na Eslováquia serve mais um lembrete de como os operadores de phishing utilizam frequentemente serviços e marcas legítimos para escapar aos controlos de segurança.
Neste caso, os agentes da ameaça estão aproveitando um recurso do LinkedIn Premium chamado Smart Links para direcionar os usuários a uma página de phishing para coletar informações de cartão de crédito. O link está incorporado em um e-mail supostamente do Serviço Postal da Eslováquia e é um URL legítimo do LinkedIn, portanto, é improvável que gateways de e-mail seguros (SEGs) e outros filtros o bloqueiem.
“No caso descoberto pela Cofense, os invasores usaram um domínio confiável como o LinkedIn para passar por gateways de e-mail seguros”, diz Monnia Deng, diretora de marketing de produto da Bolster. “Esse link legítimo do LinkedIn redirecionou o usuário para um site de phishing, onde eles fizeram de tudo para fazer com que parecesse legítimo, como adicionar uma autenticação de mensagem de texto SMS falsa.”
O e-mail também pede ao destinatário que pague uma pequena quantia em dinheiro por um pacote que aparentemente está pendente de envio para ele. Os usuários induzidos a clicar no link chegam a uma página projetada para se parecer com aquela que o serviço postal usa para coletar pagamentos online. Mas, em vez de apenas pagar pela suposta remessa do pacote, os usuários acabam cedendo todos os detalhes do seu cartão de pagamento também aos operadores de phishing.
Nem o primeiro recurso de links inteligentes foi abusado
A campanha não é a primeira vez que os agentes de ameaças abusam do recurso Smart Links do LinkedIn – ou Slinks, como alguns o chamam – em uma operação de phishing. Mas é um dos raros casos em que e-mails contendo Slinks adulterados do LinkedIn acabaram nas caixas de entrada dos usuários, diz Brad Haas, analista sênior de inteligência da Cofense. O fornecedor de serviços de proteção contra phishing é atualmente rastreando a campanha eslovaca em curso e esta semana publicou um relatório sobre a sua análise da ameaça até agora.
Do LinkedIn Links Inteligentes é um recurso de marketing que permite que os usuários assinantes do serviço Premium direcionem outras pessoas ao conteúdo que o remetente deseja que vejam. O recurso permite que os usuários usem um único URL do LinkedIn para direcionar os usuários a vários materiais de marketing – como documentos, arquivos Excel, PDFs, imagens e páginas da web. Os destinatários recebem um link do LinkedIn que, quando clicado, os redireciona para o conteúdo por trás dele. LinkedIn Slinks permite que os usuários obtenham informações relativamente detalhadas sobre quem pode visualizar o conteúdo, como podem ter interagido com ele e outros detalhes.
Ele também oferece aos invasores uma maneira conveniente — e muito confiável — de redirecionar usuários para sites maliciosos.
“É relativamente fácil criar Smart Links”, diz Haas. “A principal barreira de entrada é que é necessária uma conta Premium no LinkedIn”, observa ele.” Um agente de ameaça precisaria adquirir o serviço ou obter acesso à conta de um usuário legítimo. Mas, além disso, é relativamente fácil para os agentes de ameaças usarem esses links para enviar usuários a sites maliciosos, diz ele. “Vimos outros agentes de ameaças de phishing abusarem dos Smart Links do LinkedIn, mas, a partir de hoje, é incomum vê-los chegar às caixas de entrada.”
Aproveitando serviços legítimos
O uso crescente por invasores de ofertas legítimas de software como serviço e de nuvem, como LinkedIn, Google Cloud, AWS e muitos outros, para hospedar conteúdo malicioso ou para direcionar usuários a ele, é um dos motivos pelos quais o phishing continua sendo um dos principais ataques iniciais. vetores de acesso.
Na semana passada, a Uber experimentou um violação catastrófica de seus sistemas internos depois que um invasor fez engenharia social nas credenciais de um funcionário e as usou para acessar a VPN da empresa. Nesse caso, o invasor – que a Uber identificou como pertencente ao grupo de ameaça Lapsus$ — enganou o usuário para que aceitasse uma solicitação de autenticação multifator (MFA), fingindo ser do departamento de TI da empresa.
É significativo que os invasores estejam aproveitando as plataformas de mídia social como proxy para seus sites falsos de phishing. Também preocupante é o facto de as campanhas de phishing terem evoluído significativamente, não só para serem mais criativas, mas também mais acessíveis para pessoas que não sabem escrever código, acrescenta Deng.
“O phishing ocorre em qualquer lugar onde você possa enviar ou receber um link”, acrescenta Patrick Harr, CEO da SlashNext. Os hackers estão usando sabiamente técnicas que evitam os canais mais protegidos, como o e-mail corporativo. Em vez disso, estão optando por usar aplicativos de mídia social e e-mails pessoais como backdoor para a empresa. “Os golpes de phishing continuam a ser um problema sério para as organizações e estão migrando para SMS, ferramentas de colaboração e redes sociais”, diz Harr. Ele observa que o SlashNext tem visto um aumento nas solicitações de SMS e proteção de mensagens, à medida que os comprometimentos envolvendo mensagens de texto se tornam um problema maior.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
