Un attacco di phishing mirato alle credenziali di LinkedIn è stato rilevato dai ricercatori Armorblox. Le e-mail che comunicano alle vittime una verifica e il ripristino per un blocco di sicurezza del proprio account LinkedIn, proverrebbero da un account di posta elettronica compromesso propinando una falsa pagina di landing ospitata su Google Forms, uno degli strumenti della nota G-Suite.
Come rimarcato nel rapporto, l’attacco sarebbe stato mirato a circa 700 caselle e-mail di varie organizzazioni target e sarebbe stato allestito attraverso una serie di escamotage allo scopo di evadere i controlli automatizzati di sicurezza e persuadere, nel contempo, le ignare vittime ad abbassare i livelli di guardia.
Indice degli argomenti
Phishing su LinkedIn: i dettagli
Ecco in un breve dettaglio le caratteristiche della campagna:
- le e-mail sono state inviate da un account probabilmente compromesso. La legittimità del dominio ha consentito il raggiro dei controlli di autenticazione;
- il nome del mittente, il titolo e il contenuto delle e-mail inducono un senso di fiducia e urgenza nelle vittime, facendo ripetutamente riferimento a un noto social network e alludendo a dei problemi di sicurezza, per il solo scopo, in realtà, di carpire le credenziali del relativo account;
- la pagina di phishing, ospitata in un servizio online gratuito e legittimo, include un logo contraffatto molto verosimile.
L’e-mail e la pagina di phishing
Come accennato, la campagna di attacco alle credenziali LinkedIn, secondo gli analisti, falsificherebbe un messaggio dello stesso social network e utilizzerebbe i Moduli Google per ospitare la pagina di phishing.
L’e-mail, avente per oggetto “Verifica il tuo account LinkedIn” e affermando di provenire da questo social network, cerca di accrescere la probabilità di indurre l’interlocutore ad azioni repentine puntando sul fatto che possa ritenere veritiera la routine di sicurezza messa in atto dal presunto erogatore del servizio online.
L’e-mail specifica che a causa di attività insolite sarebbe necessaria una verifica del proprio account Linkedin. Allo scopo vengono inclusi tre collegamenti rispettivamente per visualizzare i termini del servizio e i contatti d’assistenza clienti e per dare seguito alla verifica in oggetto.
In realtà, tutti e tre i link reindirizzano ad una stessa pagina di phishing che, con un logo molto simile a quello reale, richiede le credenziali LinkedIn. Questa pagina, essendo ospitata su Google Forms, uno strumento attendibile per impostazione predefinita, non viene filtrata dai controlli di sicurezza della posta elettronica.
Nel caso in esame è importante anche notare come il dominio dell’indirizzo dell’e-mail del mittente, linkedin(at)pauluniversity[.]edu[.]ng, appartenga alla Paul University in Awka Nigeria. Ciò indicherebbe che gli attaccanti con molta probabilità hanno compromesso un account di posta elettronica dell’ateneo e sfruttato la sua infrastruttura per l’invio dei messaggi eludendo i controlli di autenticazione SPF, DKIM e DMARC.
Phishing su LinkedIn: la consapevolezza può fare la differenza
Attacchi del genere, a causa dei loro curati allestimenti personalizzati, dimostrano come i sistemi di protezione tradizionali spesso non riescano a segnalarli e bloccarli.
In questi casi, la negligenza anche di un solo dipendente potrebbe avere serie conseguenze per la propria azienda. Con i dati eventualmente carpiti illecitamente, i truffatori potrebbero rivelare informazioni commerciali, commettere atti di spionaggio, violare computer e a vario titolo distribuire malware in campagne successive.
Oltre ad implementare una tecnologia incentrata sulla sicurezza (autenticazione MFA e filtri antispam) occorre puntare, senza alcun dubbio, anche e soprattutto sulla formazione.
Nella fattispecie, gli utenti dovrebbero sapere che LinkedIn non chiederebbe di verificare il proprio account con modalità simili a quella indicata nell’e-mail e soprattutto non lo farebbe attraverso una pagina di moduli di Google.
Eppure, la mancanza di consapevolezza in questi casi può davvero essere fatale.