Kimlik avı aktörleri, e-posta güvenlik ürünlerini atlamak ve hedeflenen kullanıcıları ödeme bilgilerini çalan kimlik avı sayfalarına başarılı bir şekilde yönlendirmek için LinkedIn’in Akıllı Bağlantı özelliğini kötüye kullanıyor.
Smart Link, LinkedIn Sales Navigator ve Enterprise kullanıcıları için ayrılmış bir özelliktir ve tek bir izlenebilir bağlantı kullanarak 15 adede kadar belge paketi göndermelerine olanak tanır.
Smart Link, çok yönlülüğünün yanı sıra, pazarlamacılara, paylaşılan içeriği kimlerin ve ne kadar süreyle görüntülediği hakkında raporlar oluşturarak analizler sağlar.
Bu nedenle, kimlik avı aktörleri, yalnızca e-posta güvenlik korumalarını atlamak için Smart Link’i kullanmakla kalmaz, aynı zamanda kampanyalarının etkinliği hakkında fikir edinerek cazibelerini optimize etmelerine olanak tanır.
Smart Link’in kimlik avı için kötüye kullanımıyla ilgili yeni trend, sahte posta hizmeti cazibeleriyle Slovak kullanıcılarını hedef alan kampanyaları gözlemleyen Cofense’deki tehdit analistleri tarafından fark edildi.
(In)Güvenli yeniden yönlendirme
Hedeflere gönderilen kimlik avı e-postasının, Slovakya’daki devlete ait posta hizmeti sağlayıcısı Slovenská pošta’dan geldiği ve alıcıyı, gönderilmeyi bekleyen bir paketin maliyetlerini karşılaması gerektiği konusunda bilgilendirdiği iddia ediliyor.
E-posta başlığı hilesi kullanıldığında, adres alıcıya meşru görünür, ancak yakından incelenirse, gönderenin aslında “sis.sk@augenlabs.com” olduğu ve posta hizmetiyle tamamen alakasız olduğu anlaşılır.
Katıştırılmış “onayla” düğmesi, kurbanı bir kimlik avı sayfasına yönlendirmek için sonuna alfasayısal değişkenler eklenmiş bir LinkedIn Akıllı Bağlantı URL’si içerir. (“linkedin[.]com/slink?code=g4zmg2B6”)
Akıllı Bağlantılardaki yeniden yönlendirme özelliği genellikle pazarlama sayfalarını, reklamları vb. tanıtmak için kullanılır, ancak tehdit aktörleri güvenlik kontrollerini geçersiz kılmak için bunu kötüye kullanır.
Açılış sayfasında sunulan gönderi maliyeti yüksek değil, gerçekçi 2,99 € olarak ayarlandı, ancak kimlik avı aktörlerinin amacı para almak değil, hedefin numarası, sahibinin adı, son kullanma tarihi dahil olmak üzere kredi kartı ayrıntılarını çalmak. tarih ve CVV.
Bilgileri girip “gönder”e tıklayan ziyaretçiler, ödemelerinin alındığı konusunda bilgilendirilecek ve sonunda, süreçte meşruiyet serpmek amacıyla nihai bir SMS kodu onay sayfasına yönlendirilecektir.
Halen devam etmekte olan bu kampanya Slovakyalıları hedef alırken, daha geniş kapsamlı kimlik avı aktörleri tarafından LinkedIn Smart Link’in kötüye kullanılması an meselesi olabilir.
BleepingComputer, bu kötüye kullanımı önlemek için güvenlik önlemleri uygulama planlarının olup olmadığını sormak için LinkedIn ile iletişime geçti, ancak henüz bir yanıt alamadık.