I ricercatori di Cofense Phishing Defense Center hanno scoperto una campagna di phishing degna di nota che abusa dei reindirizzamenti smart Link di LinkedIn per aggirare i Secure Email Gateways (SEG) e rubare dati personali.
La funzione “smart Link” di LinkedIn consente agli utenti di reindirizzare a siti Web legittimi per promuovere il proprio sito Web o annunci pubblicitari. Questa nuova campagna dimostra che, mentre lo sfruttamento di un noto marchio postale non è niente fuori dall’ordinario, tali e-mail di phishing continuano a non essere rilevate dai gateway di posta elettronica popolari progettati per proteggere gli utenti finali.
In questa campagna i threat actors falsificano Slovenská Posta in modo che appaia autentica al destinatario e tentano di indurre gli utenti a credere che il servizio postale slovacco richieda costi di spedizione in sospeso, abusando delle legittime funzionalità di LinkedIn con l’aggiunta di variabili alfanumeriche univoche alla fine dell’URL per reindirizzare gli utenti a siti Web dannosi.
L’e-mail è scritta in slovacco e mostra che il destinatario ha una spedizione in attesa di essere consegnata, ordine che può essere evaso solo con il pagamento. Per dare l’impressione della legittimità, l’attaccante ha persino aggiunto funzionalità all’e-mail, incluso il numero di riferimento fittizio.
Gli utenti vengono portati alla fase iniziale di questo attacco facendo clic sul pulsante “Potvrd’te tu”. Una volta cliccato, sono indotti a inserire i dati della propria carta di credito per finalizzare l’ordine di spedizione quando arrivano alla pagina di pagamento.
Nella fase finale dell’attacco, i dati della carta vengono inseriti e inviati a un indirizzo, dopodiché l’utente viene reindirizzato con un messaggio che lo informa che il suo pagamento è stato ricevuto e richiede un codice SMS falso inviato al suo numero di telefono. Qualsiasi sia la cifra inserita in questa pagina, l’utente verrà reindirizzato a una falsa pagina di conferma, sviando così i sospetti.
La pagina di destinazione del phishing doveva assomigliare all’autentico post slovacco, tuttavia, dopo un ulteriore esame, abbiamo scoperto che l’URL fornito non corrisponde all’URL legittimo del post slovacco https://tandt.posta.sk/en, comunicano gli esperti di Cofense nella loro analisi.
In questa campagna i threat actors reindirizzano gli utenti a siti dannosi nel tentativo di rubare informazioni personali sfruttando la funzione smart Link di LinkedIn come modo efficace per superare il gateway di posta elettronica sicuro: è infatti improbabile che molti strumenti di protezione della sicurezza blocchino l’URL.
La pagina di phishing in questione è ancora attiva e funzionante. Questa campagna funge da esempio di come i gateway di posta elettronica sicuri possano essere potenzialmente manovrati in assenza di un ulteriore livello di difesa fornito da sensori umani in grado di identificare e segnalare eventuali e-mail e collegamenti strani che arrivano nelle loro caselle di posta, concludono gli esperti.
https://cofense.com/blog/threat-actors-abuse-linkedin-slink-to-bypass-secure-email-gateways