Phishing bují už i na LinkedInu; útočníci zneužívají funkci Slinks

Zpět na blog

Spammeři, phisheři a další aktéři hrozeb už dlouho využívají marketingovou funkci profesní sociální sítě LinkedIn umožňující vytvořit odkaz na LinkedIn.com, který prohlížeč přesměruje na jiné webové stránky. Takto mohou útočníci nasměrovat své poběti například na podvodné stránky, které napodobují přední internetové značky (především však mateřskou firmu LinkedInu – Microsoft).

Funkce „přesměrování“ je k dispozici podnikům, jež se rozhodly propagovat prostřednictvím LinkedIn.com. Odkazy na přesměrování LinkedIn umožňují zákazníkům sledovat výkonnost reklamních kampaní a zároveň propagují zdroje mimo web. Všechny tyto odkazy neboli „Slinks“ mají standardní formát: „https://www.linkedin.com/slink?code=“, za kterým následuje krátká alfanumerická proměnná.

Potíž je v tom, že zločincům jen máloco brání v tom, aby využili nově zaregistrované nebo hacknuté firemní účty LinkedIn k vytvoření vlastních reklamních kampaní pomocí Slinks. Bezplatná služba Urlscan.io, která poskytuje podrobné zprávy o všech skenovaných adresách URL, nabízí také historický pohled na podezřelé odkazy zadané jinými uživateli. Toto vyhledávání prostřednictvím Urlscan odhaluje desítky nedávných phishingových útoků, které využily právě funkci Slinks.

Například 31. ledna se objevila kampaň využívající odkazy na Linkedin.com k přesměrování každého, kdo klikne, na web, který podvrhuje společnost Adobe, a poté vyzývá uživatele, aby se přihlásil ke svému e-mailovému účtu Microsoft a zobrazil sdílený dokument. Urlscan našel také phishingový podvod z 12. ledna, který využívá Slinks k podvržení amerického finančního úřadu a 3. února se objevil phishing zaměřený na zákazníky společnosti Amazon. Již v roce 2016 psala bezpečnostní firma Fortinet na svém blogu o tom, že přesměrování na LinkedIn je využíváno k propagaci phishingových stránek. Nejde tedy o žádnou novinku, ale dlouhodobý problém.

V prohlášení poskytnutém serveru KrebsOnSecurity společnost LinkedIn uvedla, že má „zavedené standardní technologie pro sdílení adres URL a řetězové přesměrování, které nám pomáhají identifikovat a zabránit šíření malwaru, phishingu a spamu“. LinkedIn také uvedl, že k identifikaci známých špatných adres URL používá služby třetích stran – například Google Safe Browsing, Spamhaus, Microsoft a další.

KrebsOnSecurity nenašel žádné důkazy o tom, že by phisheři v poslední době využívali přesměrování LinkedIn k podvodnému získávání přihlašovacích údajů na samotný LinkedIn, ale rozhodně to není vyloučeno. Při méně komplexním útoku by mohl protivník odeslat e-mail, který by se tvářil jako žádost o připojení ze sítě LinkedIn a který by přesměroval přes LinkedIn na škodlivou nebo podvodnou stránku.

Je také nepravděpodobné, že by škodlivé nebo podvodné e-maily využívající odkazy LinkedIn byly blokovány antispamovými nebo antimalwarovými filtry, protože LinkedIn je obecně považován za důvěryhodnou doménu a přesměrování zastírá konečný cíl odkazu.

Mateřská společnost LinkedIn – Microsoft – je jednou z nejčastěji napadaných značek na internetu. Podle loňské zprávy společnosti Check Point je zhruba 45 % všech pokusů o phishing značek na celém světě zaměřeno na Microsoft. Check Point uvedl, že LinkedIn byl v loňském roce šestou nejčastěji phishingovou značkou.

Nejlepší radou, jak se vyhnout phishingovým podvodům, je neklikat na odkazy, které se objevují v e-mailech, textových zprávách a dalších médiích. Většina phishingových podvodů se odvolává na časový prvek, který varuje před hrozivými následky, pokud nebudete reagovat nebo rychle jednat. Pokud si nejste jisti, zda je zpráva legitimní, navštivte danou stránku nebo službu „ručně“ – ideálně pomocí záložky v prohlížeči, abyste se vyhnuli potenciálním typosquattingovým stránkám.

Zdroj: Krebsonsecurity.com

15. 2. 2022