LinkedIn, una nuova campagna phishing punta a rubare gli account Microsoft

Una nuova truffa di phishing avrebbe preso di mira gli utenti LinkedIn per rubare loro le credenziali dell’account Microsoft sfruttando gli Smart Links. La campagna si rivolgerebbe in particolare ai settori finanziario e manifatturiero.

Sfruttata una funzionalità di LinkedIn legittima

La funzionalità “Smart Links” fa parte di LinkedIn Sales Navigator and Enterprise e consente ai titolari di account aziendali di contattare gli utenti di LinkedIn tramite link tracciabili. Secondo un rapporto della società di sicurezza e-mail Cofense, tra luglio e agosto 2023 sarebbero state osservate circa 800 e-mail farlocche inviate per un totale di 80 Smart Link univoci. Gli autori del phishing avrebbero sfruttato tale funzionalità legittima per eludere i meccanismi di sicurezza della posta elettronica e reindirizzare gli utenti a pagine di phishing progettate per rubare dati finanziari.

Come avviene l’attacco

In questa campagna che molto probabilmente sfrutta account aziendali compromessi su LinkedIn i truffatori confezionano delle e-mail con oggetti generici a tema finanziari o risorse umane contenenti degli smart link che oltre a includere il dominio LinkedIn con un parametro e un code di otto caratteri alfanumerici contengono anche l’ID e-mail offuscato del target, per fare compilare automaticamente al proprio kit phishing la pagina di landing a cui viene reindirizzata la vittima.

Un esempio di e-mail di phishing

Facendo click sul collegamento “VIEW COMPLETED DOCUMENT”, l’utente verrà inviato alla pagina phishing personalizzata con l’indirizzo e-mail del target passato come parametro (#test@example.com” nell’esempio).

Come proteggersi

In generale per proteggersi dai casi di phishing come questi, occorre prestare attenzione anche alle e-mail provenienti da una fonte o dominio autentico. Questa campagna che utilizza gli “slink” per aggirare il gateway di posta elettronica di sicurezza dimostra che l’impiego di soluzioni sofware di sicurezza da solo non basta.

Sebbene sia importante utilizzare suite per la sicurezza della posta elettronica, è anche essenziale che i dipendenti siano costantemente aggiornati sulla propria formazione per combattere qualsiasi campagna di phishing.“, conclude Nathaniel Raymond Cyber Threat Intelligence Analyst di Cofense.

Su Salvatore Lombardo 192 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.