LinkedIn Secure Message Scam

De meeste social network applicaties kennen een functie waarbij ze de gebruiker een PM berichtje of een email sturen om iets te valideren. Gelukkig kunnen we LinkedIn wel vertrouwen want dat is toch zakelijk? Documenten op LinkedIn zullen dan wel ok zijn. De werkelijkheid is anders..

Deze week postte JB Bowers een gastblog op het Sans Infosec Forum waarin hij de nieuwste vorm van LinkedIn Phishing toelichtte.

LinkedIn gebruikers ontvangen via in-app berichten een document van een kennis waarin gevraagd wordt een zogenaamd secure LinkedIn message document te openen. Een bestand wat helemaal niet bestaat binnen de LinkedIn functionaliteit maar er wel echt uitziet.

Klikt men hierop dan moet de gebruiker inloggen op de LinkedIn website. Tot zover allemaal begrijpelijk want we zaten immers op LinkedIn en dit is de LinkedIn inlog website. Ook hier wordt de -vaak zakelijke- gebruiker in de maling genomen door goed uitziende fake inlogpagina's die ergens op criminele sites gehost worden.

Na het invullen van de email of telefoonnummer en wachtwoord routeert de nep pagina de gebruiker weer terug naar de originele LinkedIn site maar intussen is het kwaad al geschied.

De professioneel uitziende scamsite ziet er niet alleen aan de voorkant betrouwbaar uit maar maakt onder de motorkap ook nog eens gebruik van grote professionele providers zoals Fastly, Google en Microsoft waardoor detectie niet eenvoudig is.

Op dezelfde wijze zoals dat ook bij andere apps gebeurt verstuurt een gehackte gebruiker de phishing berichten weer door en zo verspreid het zich zo snel als een virus. Bekende persona's worden extra getarget om het nep bericht extra validatie te geven waardoor de slagingskans groter wordt. Mensen die hun email en wachtwoorden hergebruiken worden zo ook weer op andere apps gecompromitteerd.

LinkedIn heeft de laatse tactiek overigens nog niet toegevoegd aan haar beperkte lijstje voorbeelden.

Origineel artikel hier