В потоке ежедневных служебных писем уведомление от LinkedIn о новом сообщении выглядит рутинно и безопасно. Однако именно эта обыденность становится главным оружием киберпреступников в новых целевых кампаниях. Вместо долгожданного карьерного предложения пользователь, перейдя по ссылке, рискует навсегда потерять контроль над своими учётными данными, которые моментально попадут в руки злоумышленников. Эта атака основана на тонкой социальной инженерии, где главной мишенью становится естественное человеческое любопытство и деловая активность.
Описание
Специалисты Cofense Phishing Defense Center зафиксировали и детально изучили новую волну фишинговых рассылок. Злоумышленники массово рассылают письма, идеально имитирующие уведомления LinkedIn о новых личных сообщениях. Цель кампании - выманить у жертв логины и пароли от их аккаунтов в этой профессиональной социальной сети. Аналитики центра отметили, что эта схема отражает общий тренд на повышение убедительности фишинга, когда отличить подделку от настоящего уведомления становится крайне сложно даже для внимательного пользователя.
Визуально письмо-ловушка практически неотличимо от легитимной коммуникации LinkedIn. Оно использует фирменный шрифт, логотип и форматирование. Тема письма и отображаемое имя отправителя также успешно подделаны, что усиливает обман. В теле письма, после перевода, отправитель представляется сотрудником известной компании и настойчиво предлагает срочно связаться для обсуждения "многообещающей бизнес-возможности". Этот приём - классический "крючок" социальной инженерии, создающий у жертвы ощущение срочности и вовлечённости, что заставляет действовать быстро, не задумываясь. Основным элементом письма являются три крупные кнопки, визуально предлагающие взаимодействие с сообщением, например, "Ответить" или "Посмотреть". Однако их реальное назначение - перенаправить жертву на фиктивную страницу входа в LinkedIn.
Критическим признаком мошенничества, который часто упускают из виду, является адрес отправителя. В рассмотренной кампании письма приходили с домена "khanieteam[.]com", который не имеет никакого отношения к корпорации Microsoft, владеющей LinkedIn. Более того, на момент обнаружения этот домен существовал всего несколько дней, что является типичным индикатором фиктивной регистрации для проведения краткосрочных атак.
После клика по любой из кнопок пользователь попадает на фишинговую страницу входа. Она выполнена с высокой степенью детализации, копируя оригинальный интерфейс LinkedIn до мелочей, чтобы вызвать у жертвы ложное чувство безопасности. Ключевым и самым очевидным маркером обмана снова является адресная строка браузера. В данном случае используется домен "inedin[.]digital", который фонетически и визуально напоминает "linkedin.com", но юридически и технически с ним не связан. Анализ whois-данных показал, что этот домен был зарегистрирован всего за два месяца до начала кампании, что дополнительно подтверждает его злонамеренное предназначение. Злоумышленники намеренно выбирают подобные "опечаточные" домены (typosquatting), рассчитывая на беглый взгляд пользователя, который может не заметить подмены.
Успех подобных атак демонстрирует опасную эволюцию тактик угроз. Киберпреступники больше не полагаются лишь на грубые подделки с грамматическими ошибками. Вместо этого они вкладывают значительные усилия в изучение и точное воспроизведение корпоративного стиля и рутинных цифровых взаимодействий своих жертв. Риску подвержены не только рядовые сотрудники, но и специалисты по кадрам, руководители отделов продаж и развития бизнеса - все, для кого LinkedIn является рабочим инструментом. Компрометация учётной записи в профессиональной сети может привести к целому каскаду негативных последствий: от утечки конфиденциальной переписки и списка контактов до последующих атак на коллег и партнёров от имени взломанного пользователя, что наносит серьёзный репутационный ущерб.
Защита от таких изощрённых атак требует смещения фокуса с исключительно технических средств на повышение осведомлённости. Помимо стандартных рекомендаций не переходить по ссылкам из непроверенных писем, критически важно выработать привычку вручную проверять домен отправителя в заголовке письма и домен целевой страницы в адресной строке браузера перед вводом учётных данных. Любое, даже малейшее несоответствие официальному домену компании (*linkedin.com*) должно считаться абсолютным стоп-сигналом. Внедрение многофакторной аутентификации (MFA) для корпоративных и личных аккаунтов также существенно снижает риски, так как даже при утечке логина и пароля злоумышленник не сможет получить доступ без второго фактора. Фишинг, маскирующийся под рутину, остаётся одним из самых эффективных инструментов в арсенале киберпреступников, и противостоять ему можно только сочетанием технологий и постоянной бдительности человека.
Индикаторы компрометации
IPv4
- 104.21.112.1
- 104.21.16.1
- 104.21.32.1
- 104.21.48.1
- 104.21.64.1
- 104.21.80.1
- 104.21.96.1
- 192.99.81.100
URLs
- https://notifcation.inedin.digital/?xgsrdh=12602024008489914930&provider=4__cmppbWVuZXpAaWJlcmRyb2xhLmNvbQ==__xvpji__lkkd
- https://singletoncop.info/webxr.php
