Egy új adathalász kampány a LinkedIn kommentrendszerét használja támadási felületként. A csalók célja, hogy a felhasználókat megtévesztve, a platform hivatalos kommunikációjának látszatát keltő üzenetekkel rávegyék őket külső, rosszindulatú weboldalak felkeresésére.
A támadás lényege, hogy a LinkedIn-bejegyzések alatt megjelenő „válasz” kommentek (1. ábra) azt a benyomást keltik, mintha azokat maga a LinkedIn tette volna közzé. Ezek a hozzászólások állítólagos szabályszegésekre hivatkoznak, és azt közlik a felhasználóval, hogy a fiókjához való hozzáférést ideiglenesen korlátozták. A hozzáférés visszaállítását a kommentben elhelyezett hivatkozás felkereséséhez kötik.
A kampány különösen veszélyes, mivel a támadók nagy pontossággal másolják le a LinkedIn arculati elemeit, beleértve a logót és a hivatalos értesítések nyelvezetét. Egyes esetekben a LinkedIn saját lnkd.in URL-rövidítő szolgáltatását is felhasználják, ami jelentősen megnehezíti az adathalász hivatkozások megkülönböztetését a legitim linkektől. Ez fokozott kockázatot jelenthet mobil eszközökön vagy olyan felületeken, ahol a linkelőnézet nem jelenik meg teljes egészében.
A támadási lánc jellemzően több lépésből áll. Az első adathalász oldal részletesen ismerteti az állítólagos „ideiglenes korlátozást”, majd arra kéri a felhasználót, hogy a személyazonosságának „ellenőrzésével” oldja fel azt. A következő lépésben az áldozatot egy újabb, szintén LinkedIn-tematikájú adathalász oldalra irányítják át, ahol ténylegesen megtörténik a bejelentkezési adatok begyűjtése.
Az 1. ábrán egy alfanumerikus „.app” végződésű domain szerepel, amely nem kapcsolódik a LinkedIn-hez, és ez egyes felhasználók számára gyanút kelthet. Más esetekben azonban a célhivatkozásokat a támadók a LinkedIn hivatalos lnkd.in URL rövidítő szolgáltatásán keresztül rejtik el (2. ábra), így az adathalász domainek csak a kattintást követően válnak láthatóvá.
A BleepingComputer által azonosított very1929412.netlify[.]app adathalász oldal részletesen kifejti az állítólagos „ideiglenes korlátozás” okát, és arra szólítja fel a felhasználót, hogy a hozzáférés helyreállításához igazolja személyazonosságát (3. ábra).
A „Verify your identity” gombra kattintva a felhasználó egy további adathalász domainre, a https://very128918[.]site weboldalra kerül, ahol a hitelesítő adatok tényleges begyűjtése történik (4. ábra).
A kampány során a támadók nemcsak egyéni profilokat, hanem LinkedIn vállalati oldalakat megszemélyesítő hamis fiókokat is alkalmaznak (5. ábra). Ezek az oldalak a LinkedIn nevének különböző variációival és a hivatalos logóval élnek vissza, ezzel tovább növelik a hitelesség látszatát. Bár rövid idő alatt több ilyen oldal is megjelent a platformon, a LinkedIn a bejelentések következtében több fiókot már eltávolított.
A LinkedIn hivatalosan megerősítette, hogy tisztában van a kampánnyal, és aktívan dolgozik annak felszámolásán. A vállalat hangsúlyozta, hogy szabályszegésekről soha nem kommunikál nyilvános kommentekben, és arra kéri a felhasználókat, hogy minden hasonló, gyanús aktivitást jelentsenek.
A felhasználók részéről kiemelten fontos a fokozott körültekintés, valamint annak felismerése, hogy a legitim szolgáltatók nem kérnek hitelesítési adatokat nyilvános hozzászólásokon vagy külső hivatkozásokon keresztül.
