ผู้คุกคามใช้คุณสมบัติลิงก์อัจฉริยะของ LinkedIn เพื่อเก็บเกี่ยวบัตรเครดิต

แคมเปญที่เป็นอันตรายซึ่งกำหนดเป้าหมายผู้ใช้อินเทอร์เน็ตในสโลวาเกียกำลังเตือนอีกครั้งว่าผู้ให้บริการฟิชชิ่งมักใช้ประโยชน์จากบริการและแบรนด์ที่ถูกกฎหมายเพื่อหลบเลี่ยงการควบคุมความปลอดภัยอย่างไร

ในกรณีนี้ ผู้คุกคามกำลังใช้ประโยชน์จากคุณสมบัติ LinkedIn Premium ที่เรียกว่า Smart Links เพื่อนำผู้ใช้ไปยังหน้าฟิชชิ่งเพื่อรวบรวมข้อมูลบัตรเครดิต ลิงก์นี้ฝังอยู่ในอีเมลที่อ้างว่ามาจากบริการไปรษณีย์สโลวาเกีย และเป็น URL ของ LinkedIn ที่ถูกต้อง ดังนั้นเกตเวย์อีเมล (SEG) ที่ปลอดภัยและตัวกรองอื่น ๆ มักจะไม่น่าจะบล็อกได้

“ในกรณีที่ Cofense พบ ผู้โจมตีใช้โดเมนที่เชื่อถือได้ เช่น LinkedIn เพื่อเข้าถึงเกตเวย์อีเมลที่ปลอดภัย” Monia Deng ผู้อำนวยการฝ่ายการตลาดผลิตภัณฑ์ของ Bolster กล่าว “ลิงก์ที่ถูกต้องจาก LinkedIn นั้นเปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ฟิชชิ่ง ซึ่งพวกเขาใช้ความพยายามอย่างมากเพื่อทำให้ดูเหมือนถูกต้องตามกฎหมาย เช่น เพิ่มการตรวจสอบสิทธิ์ข้อความ SMS ปลอม”

อีเมลยังขอให้ผู้รับชำระเงินจำนวนเล็กน้อยอย่างไม่น่าเชื่อสำหรับพัสดุที่ดูเหมือนว่าจะอยู่ระหว่างการจัดส่งถึงพวกเขา ผู้ใช้ที่ถูกหลอกให้คลิกลิงก์จะมาถึงหน้าเว็บที่ออกแบบมาให้ดูเหมือนบริการไปรษณีย์ใช้ในการเก็บเงินออนไลน์ แต่แทนที่จะจ่ายเงินเพียงสำหรับการจัดส่งพัสดุ ผู้ใช้กลับต้องมอบรายละเอียดบัตรชำระเงินทั้งหมดให้กับผู้ให้บริการฟิชชิ่งด้วยเช่นกัน

ไม่ใช่คุณสมบัติ Tine Smart Links แรกที่ถูกละเมิด

แคมเปญนี้ไม่ใช่ครั้งแรกที่ผู้คุกคามใช้คุณสมบัติ Smart Links ของ LinkedIn หรือ Slinks ในทางที่ผิดในการดำเนินการฟิชชิ่ง แต่นี่ถือเป็นกรณีที่เกิดขึ้นไม่บ่อยนักที่อีเมลที่มี LinkedIn Slinks ที่ปรับแต่งแล้วไปอยู่ในกล่องจดหมายของผู้ใช้ Brad Haas นักวิเคราะห์ข่าวกรองอาวุโสของ Cofense กล่าว ผู้จำหน่ายบริการป้องกันฟิชชิ่งคือ กำลังติดตามอยู่ การรณรงค์สโลวาเกียที่กำลังดำเนินอยู่และในสัปดาห์นี้ก็ได้ออกรายงานการวิเคราะห์ภัยคุกคามจนถึงขณะนี้

LinkedInของ ลิงค์สมาร์ท เป็นคุณลักษณะทางการตลาดที่ช่วยให้ผู้ใช้ที่สมัครรับบริการพรีเมียมสามารถนำผู้อื่นไปยังเนื้อหาที่ผู้ส่งต้องการให้พวกเขาเห็น คุณลักษณะนี้ช่วยให้ผู้ใช้สามารถใช้ LinkedIn URL เดียวเพื่อชี้ผู้ใช้ไปยังเอกสารทางการตลาดหลายรายการ เช่น เอกสาร ไฟล์ Excel PDF รูปภาพ และหน้าเว็บ ผู้รับจะได้รับลิงก์ LinkedIn ซึ่งเมื่อคลิกแล้ว พวกเขาจะเปลี่ยนเส้นทางไปยังเนื้อหาที่อยู่ด้านหลัง LinkedIn Slinks ช่วยให้ผู้ใช้ได้รับข้อมูลโดยละเอียดว่าใครบ้างที่อาจดูเนื้อหา พวกเขาโต้ตอบกับเนื้อหาอย่างไร และรายละเอียดอื่นๆ

มันยังช่วยให้ผู้โจมตีมีวิธีที่สะดวก — และน่าเชื่อถือมาก — ในการเปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ที่เป็นอันตราย 

“การสร้างสมาร์ทลิงก์นั้นค่อนข้างง่าย” ฮาสกล่าว “อุปสรรคหลักในการเข้าร่วมคือต้องมีบัญชี LinkedIn ระดับพรีเมียม” เขากล่าว” ผู้คุกคามจะต้องซื้อบริการหรือเข้าถึงบัญชีผู้ใช้ที่ถูกกฎหมาย แต่นอกเหนือจากนั้น มันค่อนข้างง่ายสำหรับผู้ก่อภัยคุกคามที่จะใช้ลิงก์เหล่านี้เพื่อส่งผู้ใช้ไปยังไซต์ที่เป็นอันตราย เขากล่าว “เราเคยเห็นผู้คุกคามฟิชชิ่งรายอื่นละเมิด LinkedIn Smart Links แต่ ณ วันนี้ ไม่ใช่เรื่องแปลกที่จะเห็นมันเข้าถึงกล่องจดหมาย”

การใช้ประโยชน์จากบริการที่ถูกกฎหมาย

ผู้โจมตีใช้บริการซอฟต์แวร์และบริการคลาวด์ที่ถูกกฎหมายมากขึ้น เช่น LinkedIn, Google Cloud, AWS และอื่นๆ อีกมากมายเพื่อโฮสต์เนื้อหาที่เป็นอันตรายหรือนำผู้ใช้ไปยังเนื้อหาดังกล่าว เป็นเหตุผลหนึ่งที่ทำให้ฟิชชิ่งยังคงเป็นหนึ่งในสาเหตุหลัก เข้าถึงเวกเตอร์

เมื่อสัปดาห์ที่แล้ว Uber ประสบปัญหา การละเมิดภัยพิบัติ ของระบบภายในหลังจากที่ผู้โจมตีออกแบบข้อมูลประจำตัวของพนักงานทางสังคมและใช้ข้อมูลเหล่านี้เพื่อเข้าถึง VPN ของบริษัท ในกรณีนั้น ผู้โจมตี — ซึ่ง Uber ระบุว่าเป็น อยู่ในกลุ่มภัยคุกคาม Lapsus$ — หลอกให้ผู้ใช้ยอมรับคำขอการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) โดยแกล้งทำเป็นว่ามาจากแผนกไอทีของบริษัท

ผู้โจมตีกำลังใช้ประโยชน์จากแพลตฟอร์มโซเชียลมีเดียเป็นพร็อกซีสำหรับเว็บไซต์ฟิชชิ่งปลอมเป็นสิ่งสำคัญ สิ่งที่น่าหนักใจอีกประการหนึ่งก็คือความจริงที่ว่าแคมเปญฟิชชิ่งได้พัฒนาไปอย่างมาก ไม่เพียงแต่จะสร้างสรรค์มากขึ้นเท่านั้น แต่ยังเข้าถึงได้มากขึ้นสำหรับผู้ที่ไม่สามารถเขียนโค้ดได้อีกด้วย Deng กล่าวเสริม

“ฟิชชิ่งเกิดขึ้นได้ทุกที่ที่คุณสามารถส่งหรือรับลิงก์ได้” Patrick Harr ซีอีโอของ SlashNext กล่าวเสริม แฮกเกอร์ใช้เทคนิคอย่างชาญฉลาดเพื่อหลีกเลี่ยงช่องทางที่มีการป้องกันมากที่สุด เช่น อีเมลขององค์กร แต่พวกเขาเลือกที่จะใช้แอปโซเชียลมีเดียและอีเมลส่วนตัวเป็นประตูหลังในองค์กรแทน “กลโกงแบบฟิชชิ่งยังคงเป็นปัญหาร้ายแรงสำหรับองค์กร และพวกเขากำลังเปลี่ยนไปใช้ SMS เครื่องมือการทำงานร่วมกัน และโซเชียล” Harr กล่าว เขาตั้งข้อสังเกตว่า SlashNext ได้เห็นคำขอการป้องกัน SMS และข้อความเพิ่มขึ้นเนื่องจากการประนีประนอมที่เกี่ยวข้องกับการส่งข้อความกลายเป็นปัญหาใหญ่