En skadlig kampanj riktad mot internetanvändare i Slovakien ger ytterligare en påminnelse om hur nätfiskeoperatörer ofta utnyttjar legitima tjänster och varumärken för att undvika säkerhetskontroller.
I det här fallet utnyttjar hotaktörerna en LinkedIn Premium-funktion som heter Smart Links för att dirigera användare till en nätfiskesida för att samla in kreditkortsinformation. Länken är inbäddad i ett e-postmeddelande som påstås komma från den slovakiska posttjänsten och är en legitim LinkedIn-URL, så säkra e-postgateways (SEG) och andra filter är ofta osannolikt att blockera den.
"I fallet som Cofense hittade använde angripare en betrodd domän som LinkedIn för att ta sig förbi säkra e-postgateways", säger Monnia Deng, chef för produktmarknadsföring på Bolster. "Den legitima länken från LinkedIn omdirigerade sedan användaren till en nätfiskewebbplats, där de gjorde mycket för att få det att verka legitimt, som att lägga till en falsk SMS-autentisering."
I mejlet uppmanas också mottagaren att betala en antagligen liten summa pengar för ett paket som uppenbarligen väntar på leverans till dem. Användare som luras att klicka på länken kommer till en sida utformad för att se ut som en som posttjänsten använder för att samla in onlinebetalningar. Men istället för att bara betala för den förmodade paketsändningen, slutar användarna med att ge bort hela sina betalkortsuppgifter till nätfiskeoperatörerna.
Inte den första Tine Smart Links-funktionen har missbrukats
Kampanjen är inte första gången som hotaktörer missbrukar LinkedIns Smart Links-funktion – eller Slinks, som vissa kallar det – i en nätfiskeoperation. Men det markerar ett av de sällsynta fallen där e-postmeddelanden som innehåller manipulerade LinkedIn Slinks har hamnat i användarnas inkorgar, säger Brad Haas, senior underrättelseanalytiker på Cofense. Försäljaren av nätfiskeskyddstjänster är spårar för närvarande den pågående slovakiska kampanjen och denna vecka utfärdade en rapport om sin analys av hotet hittills.
LinkedIns Smarta länkar är en marknadsföringsfunktion som låter användare som prenumererar på dess Premium-tjänst dirigera andra till innehåll som avsändaren vill att de ska se. Funktionen tillåter användare att använda en enda LinkedIn-URL för att peka användare till flera marknadsföringsmaterial - såsom dokument, Excel-filer, PDF-filer, bilder och webbsidor. Mottagarna får en LinkedIn-länk som, när de klickas, omdirigerar dem till innehållet bakom den. LinkedIn Slinks låter användare få relativt detaljerad information om vem som kan ha sett innehållet, hur de kan ha interagerat med det och andra detaljer.
Det ger också angripare ett bekvämt – och mycket trovärdigt – sätt att omdirigera användare till skadliga webbplatser.
"Det är relativt enkelt att skapa smarta länkar", säger Haas. "Det främsta hindret för inträde är att det kräver ett Premium LinkedIn-konto," noterar han. En hotaktör skulle behöva köpa tjänsten eller få tillgång till en legitim användares konto. Men förutom det är det relativt lätt för hotaktörer att använda dessa länkar för att skicka användare till skadliga webbplatser, säger han. "Vi har sett andra aktörer som hotar nätfiske missbruka LinkedIn Smart Links, men från och med idag är det ovanligt att se det nå inkorgar."
Utnyttja legitima tjänster
Den växande användningen av angripare av legitima mjukvara-som-en-tjänst och molnerbjudanden såsom LinkedIn, Google Cloud, AWS och många andra för att vara värd för skadligt innehåll eller för att dirigera användare till det, är en anledning till att nätfiske förblir en av de primära initialerna åtkomstvektorer.
Bara förra veckan upplevde Uber en katastrofala brott av dess interna system efter att en angripare socialt konstruerat en anställds referenser och använt dem för att komma åt företagets VPN. I det fallet angriparen – som Uber identifierade som som tillhör Lapsus$-hotgruppen — lurade användaren att acceptera en begäran om multifaktorautentisering (MFA) genom att låtsas vara från företagets IT-avdelning.
Det är viktigt att angripare använder sociala medieplattformar som en proxy för sina falska nätfiskewebbplatser. Också oroande är det faktum att nätfiskekampanjer har utvecklats avsevärt för att inte bara vara mer kreativa utan också mer tillgängliga för människor som inte kan skriva kod, tillägger Deng.
"Phishing förekommer var som helst där du kan skicka eller ta emot en länk", tillägger Patrick Harr, VD på SlashNext. Hackare använder klokt tekniker som undviker de mest skyddade kanalerna, som företagets e-post. Istället väljer de att använda appar för sociala medier och personliga e-postmeddelanden som en bakdörr till företaget. "Nätfiske-bedrägerier fortsätter att vara ett allvarligt problem för organisationer, och de går över till SMS, samarbetsverktyg och sociala", säger Harr. Han noterar att SlashNext har sett en ökning av förfrågningar om SMS och meddelandeskydd eftersom kompromisser som involverar textmeddelanden blir ett större problem.
