Când directori financiari primesc pe LinkedIn invitaţii care par serioase pentru un consiliu de administraţie, nu înseamnă neapărat că li s-a deschis o oportunitate reală. O campanie de phishing descoperită recent exploatează exact această schemă: mesaje directe care promit poziţii în bordul unui fond fictiv numit Common Wealth, având ca scop real deturnarea acreditărilor Microsoft.
Cercetătorii de la Push Security au identificat campania după ce au blocat un atac iniţiat de un mesaj LinkedIn ce conţinea un link maliţios. Mesajele susţin că invită CFO-uri să se alăture Executive Board al unui fond care ar opera în America de Sud, în parteneriat cu o pretinsă ramură de asset management, AMCO. Redactarea este profesională şi convingătoare, tocmai cât să reducă vigilenţa destinatarului şi să încurajeze click-ul: o variantă modernă a plicului ispititor, dar în mediul online.
Cei care accesează linkul sunt trimişi printr-o serie de redirecţionări. Prima etapă poate include un Google open redirect care conduce la un site controlat de atacatori, iar destinaţia finală este o pagină găzduită pe firebasestorage.googleapis[.]com. Domenii folosite în campanie, semnalate de cercetători, includ payrails-canaccord[.]icu, boardproposalmeet[.]com şi sqexclusiveboarddirect[.]icu, extensii atipice precum .icu fiind un indiciu care ar trebui să trezească suspiciuni.
Pagina Firebase imită o platformă numită LinkedIn Cloud Share şi afişează documente asociate poziţiei din consiliu. Când utilizatorul încearcă să deschidă un document, apare un mesaj care solicită apăsarea butonului View with Microsoft. Pasul următor redirecţionează către un domeniu precum login.kggpho[.]icu, unde apare o verificare Cloudflare Turnstile, practic un CAPTCHA, destinată să blocheze roboţii şi să permită doar oamenilor să continue. După trecerea acestui test, victima găseşte o pagină care seamănă cu autentificarea Microsoft, dar este de fapt o pagină AITM, folosită pentru a captura atât acreditările, cât şi cookie-urile de sesiune.
Utilizarea soluţiilor anti-bot precum Cloudflare Turnstile devine o tactică tot mai frecventă: atacatorii doresc ca paginile lor să fie vizibile doar pentru persoane, nu şi pentru instrumente automate care le pot detecta şi raporta. Push Security notează că astfel de atacuri se extind dincolo de e-mail în zone unde companiile şi profesioniştii comunică frecvent, LinkedIn fiind un exemplu elocvent. Jacques Louw, Chief Product Officer la Push Security, afirmă că în ultima lună circa 34% din încercările de phishing monitorizate de ei au venit prin canale non-email, comparativ cu mai puţin de 10% cu trei luni în urmă. Această evoluţie impune o atenţie sporită din partea apărătorilor şi a utilizatorilor.
Este a doua oară în şase săptămâni când cercetătorii observă o campanie de phishing ţintită spre executivi prin LinkedIn; prima, din septembrie, viza lideri din tehnologie. Recomandarea practică rămâne neschimbată: trataţi cu precauţie mesajele neaşteptate care oferă oportunităţi de afaceri sau invitaţii în board, evitaţi accesarea linkurilor din mesaje directe şi verificaţi identitatea şi legitimitatea expeditorului înainte de a răspunde. De asemenea, fiţi atenţi la domenii cu TLD-uri neobişnuite, cum ar fi .top, .icu sau .xyz, ele apar frecvent în astfel de scheme şi ar trebui privite cu suspiciune.
Exemplul acestei campanii evidenţiază cât de bine puse la punct pot fi fraudele moderne: Common Wealth, AMCO, pagini care imită servicii cunoscute şi un mic CAPTCHA pentru „filtrarea roboţilor”, toate contribuie la un context convingător care poate determina cel puţin un click greşit. Cazul arată că atacatorii exploatează pragul de încredere profesională: dacă mesajul pare legat de consiliu sau oportunităţi executive, receptorul este mai tentat să reacţioneze rapid. Ce măsuri concrete pot adopta organizaţiile? Activarea autentificării multi-factor pentru conturi, reguli de blocare a redirecţionărilor externe în browserele corporative şi campanii de conştientizare axate pe riscurile din mesaje directe, nu doar pe e-mail.
login.kggpho[.]icu este un exemplu de domeniu folosit pentru pagini de autentificare false, iar Cloudflare Turnstile a fost folosit ca filtru anti-bot în lanţul atacului. Această tehnică ilustrează modul în care atacatorii combină instrumente legitime cu pagini de phishing pentru a eluda detecţia automată. Creşterea proporţiei de atacuri prin LinkedIn de la sub 10% la aproximativ 34% în câteva luni este un semnal clar pentru profesionişti: verificaţi atent înainte de a da click sau de a accepta oportunităţi care par să vină din reţele profesionale. Ai prefera să verifici identitatea expeditorului printr-un apel telefonic sau ai răspunde doar la mesaje private venite de la contacte confirmate?
Fii primul care comentează