针对斯洛伐克互联网用户的恶意活动再次提醒人们,网络钓鱼运营商如何经常利用合法服务和品牌来逃避安全控制。
在这种情况下,威胁行为者正在利用名为“智能链接”的 LinkedIn Premium 功能将用户引导至网络钓鱼页面以获取信用卡信息。该链接嵌入在一封据称来自斯洛伐克邮政服务的电子邮件中,并且是合法的 LinkedIn URL,因此安全电子邮件网关 (SEG) 和其他过滤器通常不太可能阻止它。
“在 Cofense 发现的案例中,攻击者使用 LinkedIn 等受信任域来绕过安全电子邮件网关,”Bolster 产品营销总监 Monnia Deng 表示。 “然后,来自 LinkedIn 的合法链接将用户重定向到网络钓鱼网站,他们在该网站上竭尽全力使其看起来合法,例如添加虚假的短信身份验证。”
该电子邮件还要求收件人为显然待运送给他们的包裹支付一小笔钱。被诱骗点击该链接的用户会到达一个看起来像邮政服务用来收取在线付款的页面。但用户最终不仅仅是支付所谓的包裹运输费用,而是将其全部支付卡详细信息泄露给网络钓鱼运营商。
Tine 智能链接功能并非首次被滥用
此次活动并不是威胁行为者第一次在网络钓鱼活动中滥用 LinkedIn 的智能链接功能(有些人称之为 Slinks)。 Cofense 高级情报分析师布拉德·哈斯 (Brad Haas) 表示,这标志着包含被篡改的 LinkedIn Slinks 的电子邮件最终出现在用户收件箱中的罕见情况之一。网络钓鱼防护服务供应商是 目前正在跟踪 斯洛伐克正在进行的行动,并于本周发布了一份关于迄今为止威胁分析的报告。
领英 智能链接 是一项营销功能,可让订阅其高级服务的用户引导其他人看到发送者希望他们看到的内容。该功能允许用户使用单个 LinkedIn URL 将用户指向多个营销资料,例如文档、Excel 文件、PDF、图像和网页。收件人会收到一个 LinkedIn 链接,单击该链接后,会将他们重定向到其背后的内容。 LinkedIn Slinks 允许用户获得相对详细的信息,包括谁可能查看过内容、他们如何与之交互以及其他详细信息。
它还为攻击者提供了一种方便且非常可靠的方式将用户重定向到恶意站点。
“创建智能链接相对容易,”哈斯说。 “进入的主要障碍是它需要一个高级 LinkedIn 帐户,”他指出。威胁行为者需要购买服务或获得合法用户帐户的访问权限。但除此之外,威胁行为者相对容易使用这些链接将用户引导至恶意网站,他说。 “我们已经看到其他网络钓鱼威胁行为者滥用 LinkedIn 智能链接,但截至目前,它到达收件箱的情况并不常见。”
利用合法服务
攻击者越来越多地使用 LinkedIn、Google Cloud、AWS 等合法软件即服务和云产品来托管恶意内容或将用户引导至恶意内容,这也是网络钓鱼仍然是主要威胁之一的原因之一。访问向量。
就在上周,Uber 经历了一次 灾难性的破坏 攻击者对员工的凭据进行社交工程并使用它们访问公司的 VPN 后,其内部系统遭到攻击。在这种情况下,攻击者——Uber 认定的身份是 属于 Lapsus$ 威胁组织 — 通过假装来自公司 IT 部门来欺骗用户接受多重身份验证 (MFA) 请求。
值得注意的是,攻击者利用社交媒体平台作为其虚假网络钓鱼网站的代理。邓补充道,同样令人不安的是,网络钓鱼活动已经发生了显着的演变,不仅更具创造性,而且对于不会编写代码的人来说也更容易访问。
“网络钓鱼发生在任何可以发送或接收链接的地方,”SlashNext 首席执行官帕特里克·哈尔 (Patrick Harr) 补充道。黑客明智地使用技术来避开最受保护的渠道,例如公司电子邮件。相反,他们选择使用社交媒体应用程序和个人电子邮件作为进入企业的后门。 “网络钓鱼诈骗仍然是组织面临的一个严重问题,他们正在转向短信、协作工具和社交媒体,”哈尔说。他指出,随着涉及短信的泄露成为一个更大的问题,SlashNext 对短信和短信保护的请求有所增加。
