Linkedin è un popolarissimo social network pensato per le reti professionali e le comunità aziendali. Su questa piattaforma gli utenti si concentrano esclusivamente sulla creazione di connessioni professionali e per la ricerca di lavoro. Ma le cose non sempre sono come sembrano: di recente infatti Linkedin si sta affermando, tristemente, come uno dei social network più sfruttati dai cyber truffatori per gli attacchi di phishing.
Il caso Phishing su Linkedin
In una delle recenti (presunte) violazione di Linkedin, alcuni attaccanti hanno dichiarato di aver “rubato (facendo scraping)” i dati di 500 milioni di utenti Linkedin e di averli rivenduti online: le prove in effetti ci sono, visto che ben 2 milioni di record sono stati pubblicati a riprova del furto dati. Tra i dati trapelati vi sono i profili Linkedin, gli ID utente, gli indirizzi email, i numeri di telefono, i titoli professionali e le certificazioni, Curricula ecc…
Il sospetto è che gli attaccanti utilizzino questi dati e raccolgano le credenziali degli utenti (ma anche altre informazioni personali) lanciando attacchi di phishing. Durante l’analisi di tali messaggi, email o sulla piattaforma stessa, abbiamo notato che gli aggressori stanno portando molti attacchi di spear phishing: sfruttano link abbreviati o molto corti utilizzando le informazioni lavorative e altri dettagli elencati nel profilo Linkedin del soggetto target. Quando l’ignara vittima fa click sul link, viene reindirizzata a collegamenti fake: molto in voga e il redirect a false pagine di login per i servizi Microsoft365. Tutti i dati inseriti in quelle pagine fake finiscono nelle mani degli attaccanti, che con questa tecnica hanno rubato centinaia di migliaia di accessi di clienti Microsoft. In alcuni casi invece i link portano al download o di malware bancari o di backdoor da usare in futuro.
Esempio di messaggio di Spam
Un esempio di messaggio Spam su Linkedin:
“Ciao, spero che stai bene! Abbiamo preso in carico un progetto molto interessante, che è ancora alle fasi iniziali. Dal tuo profilo abbiamo visto che hai competenze che potrebbero esserci utili. Gentilmente, leggi e valuta la nostra proposta collegandoti al link tinyurl[.]com[/]ndependentConsultantInTelecom. Speriamo di ricevere una risposta positiva.
Cordiali saluti,
xxxxxx consulente indipendente nel settore delle Telecomunicazioni e servizi IT”.
L’analisi del link tinyurl[.]com[/]ndependentConsultantInTelecom porta ad un altro link, ben nascosto nell’altro
“https[:]//onedrive[.]live[.]com/?authkey=%21AK44ek3RzZkt3sk&cid=25AEBC3DBC26A975&id=
25AEBC3DBC26A975%21120&parId=25AEBC3DBC26A975%21119&o=OneUp”.
Al suo interno c’è un file PDF.
Una volta aperto il PDF, viene mostrato il messaggio “view message folder”, che appare come un link cliccabile. Il click reindirizza verso un altro URL https[:]//motemoat[.]net/proposal/owa/index.php, che reindirizza subito ad un altro link ben più lungo. Quest’ultimo mostra una pagina di login Microsoft fake:
Se l’utente inserisce le proprie credenziali, il form di login mostrerà un messaggio di errore:
Solo dopo questo passaggio, l’utente sarà reindirizzato, infine, alla pagina legittima di Outlook.
Lo stesso PDF contiene un secondo collegamento ipertestuale, nascosto nella parola “Message”: questo reindirizza a vari link, quindi atterra su una pagina onedrive dal quale si invita l’utente a scaricare un file .DOCX.
Poco conta se l’utente scarichi e faccia click sui link contenuti nel file PDF o nel file DOCX, il risultato è lo stesso: l’utente subisce il furto dei dati e delle credenziali.
Restare al sicuro: piccoli consigli per usare Linkedin senza pensieri
- Verifica il messaggio o i dettagli dell’account del mittente, gli ID email, il nome ecc.. perchè potrebbe trattarsi di un messaggio inviato da account violati o addirittura rubati.
- Diffida dei collegamenti che rimandano a pagine di Microsoft 365: questa è una tecnica molto usata per rubare credenziali e le pagine fake sono sempre più simili all’originale. Non fidarti delle apparenze quindi e verifica sempre che il link sia quello corretto: se ti sembra strano o comunque diverso dall’originale, stanne alla larga!
- Scansiona i file allegati che arrivano via email o via messaggio, anche nel caso in cui dovessero provenire da utenti fidati.
- Ricorda che nessun documento condiviso su Linkedin chiederà mai le credenziali Microsoft o dell’account email.
- Presta attenzione al contenuto dei messaggi e al formato delle email: leggi con attenzione tutte le parti del messaggio, verifica errori grammaticali, sintattici o grafici, verifica la firma email.
- Campagne Linkedin più recenti potrebbero differire nelle modalità rispetto a quanto descritto sopra: rimarranno invariati gli obiettivi, quindi presta attenzione e metti in sicurezza i tuoi account con password solide.