O campanie rău intenționată care vizează utilizatorii de internet din Slovacia oferă o altă reamintire a modului în care operatorii de phishing folosesc frecvent serviciile și mărcile legitime pentru a sustrage controalele de securitate.
În acest caz, actorii amenințărilor profită de o funcție LinkedIn Premium numită Smart Links pentru a direcționa utilizatorii către o pagină de phishing pentru a colecta informații despre cardul de credit. Linkul este încorporat într-un e-mail pretins de la Serviciul Poștal Slovac și este o adresă URL LinkedIn legitimă, așa că este puțin probabil ca gateway-uri de e-mail securizate (SEG) și alte filtre să-l blocheze.
„În cazul pe care l-a găsit Cofense, atacatorii au folosit un domeniu de încredere precum LinkedIn pentru a depăși gateway-uri de e-mail sigure”, spune Monnia Deng, director de marketing de produs la Bolster. „Acea legătură legitimă de la LinkedIn l-a redirecționat apoi pe utilizator către un site de phishing, unde a făcut tot posibilul să pară legitim, cum ar fi adăugarea unui mesaj text SMS fals de autentificare.”
E-mailul îi cere, de asemenea, destinatarului să plătească o sumă incredibil de mică de bani pentru un pachet care aparent este în așteptarea expedierii către el. Utilizatorii păcăliți să facă clic pe link ajung la o pagină concepută să arate ca una pe care serviciul poștal o folosește pentru a colecta plăți online. Dar, în loc să plătească pur și simplu pentru presupusul pachet de expediere, utilizatorii ajung să dea toate detaliile cardului de plată și operatorilor de phishing.
Nu a fost abuzată funcția First Tine Smart Links
Campania nu este prima dată când actorii amenințărilor au abuzat de caracteristica Link-uri inteligente a LinkedIn – sau Slinkuri, așa cum o numesc unii – într-o operațiune de phishing. Dar marchează unul dintre rarele cazuri în care e-mailurile care conțin linkuri LinkedIn falsificate au ajuns în căsuțele de e-mail ale utilizatorilor, spune Brad Haas, analist senior de informații la Cofense. Furnizorul de servicii de protecție împotriva phishingului este urmărire în prezent campania slovacă în curs de desfășurare și săptămâna aceasta a emis un raport privind analiza amenințării de până acum.
LinkedIn Link-uri inteligente este o caracteristică de marketing care permite utilizatorilor care sunt abonați la serviciul său Premium să direcționeze pe alții către conținutul pe care expeditorul dorește să-l vadă. Funcția permite utilizatorilor să folosească o singură adresă URL LinkedIn pentru a indica utilizatorii către mai multe materiale de marketing - cum ar fi documente, fișiere Excel, PDF-uri, imagini și pagini web. Destinatarii primesc un link LinkedIn care, atunci când dau clic, îi redirecționează către conținutul din spatele acestuia. LinkedIn Slinks permite utilizatorilor să obțină informații relativ detaliate despre cine ar putea vizualiza conținutul, cum ar fi putut interacționa cu acesta și alte detalii.
De asemenea, oferă atacatorilor o modalitate convenabilă – și foarte credibilă – de a redirecționa utilizatorii către site-uri rău intenționate.
„Este relativ ușor să creezi Smart Links”, spune Haas. „Principalul obstacol în calea intrării este că necesită un cont Premium LinkedIn”, notează el. Un actor de amenințare ar trebui să achiziționeze serviciul sau să obțină acces la contul unui utilizator legitim. Dar, pe lângă asta, este relativ ușor pentru actorii amenințărilor să folosească aceste link-uri pentru a trimite utilizatorii către site-uri rău intenționate, spune el. „Am văzut alți actori de amenințări de tip phishing abuzând de LinkedIn Smart Links, dar, de astăzi, este neobișnuit să-l vezi în căsuța de e-mail.”
Utilizarea serviciilor legitime
Utilizarea tot mai mare de către atacatori a software-ului ca serviciu și a ofertelor cloud legitime, cum ar fi LinkedIn, Google Cloud, AWS și multe altele pentru a găzdui conținut rău intenționat sau pentru a direcționa utilizatorii către acesta, este unul dintre motivele pentru care phishingul rămâne unul dintre principalele inițiale. vectori de acces.
Chiar săptămâna trecută, Uber a experimentat o încălcarea catastrofală a sistemelor sale interne după ce un atacator a creat acreditările unui angajat și le-a folosit pentru a accesa VPN-ul companiei. În acest caz, atacatorul – pe care Uber l-a identificat aparţinând grupului de ameninţare Lapsus$ — a păcălit utilizatorul să accepte o cerere de autentificare multifactor (MFA), pretinzând că este de la departamentul IT al companiei.
Este semnificativ faptul că atacatorii folosesc platformele de social media ca proxy pentru site-urile lor false de phishing. De asemenea, îngrijorător este faptul că campaniile de phishing au evoluat semnificativ pentru a fi nu numai mai creative, ci și mai accesibile pentru persoanele care nu pot scrie cod, adaugă Deng.
„Phishing-ul are loc oriunde puteți trimite sau primi un link”, adaugă Patrick Harr, CEO la SlashNext. Hackerii folosesc cu înțelepciune tehnici care evită canalele cele mai protejate, cum ar fi e-mailul corporativ. În schimb, ei aleg să folosească aplicațiile de rețele sociale și e-mailurile personale ca ușă în spate în întreprindere. „Înșelătoriile de tip phishing continuă să fie o problemă serioasă pentru organizații, iar acestea trec la SMS-uri, instrumente de colaborare și rețele sociale”, spune Harr. El observă că SlashNext a înregistrat o creștere a cererilor de protecție prin SMS și mesaje, deoarece compromisurile care implică mesajele text devin o problemă mai mare.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
