È stata rilevata una recente campagna di phishing dalle caratteristiche innovative, che prende di mira gli utenti via email, sfruttando la credibilità offerta da Linkedin. Tramite la funzionalità offerta dagli SmartLinks infatti, i criminali informatici responsabili di questo attacco, stanno diffondendo indirizzi fraudolenti trasformandoli in base Linkedin.
Gli Smartlinks di Linkedin come nuova opportunità criminale
Gli analisti di Cofense, hanno identificato una nuova campagna di phishing via email, indirizzata per il momento ad un pubblico slovacco, che prende di mira gli utenti impersonando la Posta Slovacca, il servizio di spedizione statale della Repubblica Slovacca. Il rischio però è che, assodata la pratica come possibile, possa essere utilizzata anche per altri attacchi con una diffusione più capillare, diventando un giorno, un modus operandi.
Il funzionamento è basato sul phishing tradizionale via e-mail che nell’esempio rilevato emula appunto il design e le comunicazioni del servizio postale slovacco, contenente però all’interno, non il classico collegamento da cliccare che indirizza alla pagina Web di phishing, ma creato con il servizio SmartLink messo a disposizione da Linkedin. La differenza sembra minimale, rispetto a inserire un qualsiasi URL di terze parti con l’invito a cliccare, invece è rilevante dal punto di vista dell’elusione dei controlli all’interno della casella e-mail.
I controlli messi in atto dagli strumenti di sicurezza per l’email infatti guardano sempre con sospetto i messaggi contenti link generati da servizi di URL shortener o che contengono domini di terze parti non noti, avvisando l’utente di questo sospetto. Gli SmartLink di Linkedin sono invece considerati sicuri e affidabili perché collegati ad un servizio legittimo e l’email sicura non emetterà un alert in questo caso, di fatto lasciando la strada spianata alla frode di phishing.
L’indirizzo incorporato nella e-mail, nel caso oggetto di analisi, aveva la seguente forma “hxxps://www[.]linkedin[.]com/slink?code=g4zmg2B6”, apparendo legittimo a tutti gli effetti. Questo fa in modo che l’utente convinto dal messaggio a cliccare sul tasto di conferma, per “confermare” i dati come richiesto, si ritrovino istantaneamente all’interno della pagina Web di phishing che nel caso specifico riporta un form dal design classico della Posta Slovacca, che intima il pagamento di una spesa, con l’inserimento dei dati personali.
Il meccanismo degli SmartLink di Linkedin, oltre che aiutare a bypassare i controlli di sicurezza eventualmente attivi nelle caselle email degli utenti, dà anche una puntuale immagine statistica all’attore criminale dietro questa campagna. Infatti il servizio traccia automaticamente chi clicca sul link con una serie approfondita di controlli statistici sul target (posizione , IP, browser, SO).
Una nuova occasione dunque per evidenziare quanto il fattore umano sia incidente nella sicurezza di un sistema, sia esso personale o professionale. Nonostante la persistenza di sistemi di controllo sulla sicurezza delle e-mail, una compromissione di questo tipo verrebbe considerata come legittima esponendo le vittime a rischi non calcolati.
Rimane perciò fondamentale l’apporto che forniscono le segnalazioni manuali di link sospetti, soprattutto quando destinati a servizi altamente noti, come nel caso di Linkedin, solo l’effettiva consapevolezza del sistema fraudolento, può difenderci da attacchi sempre più ottimizzati ad eludere i sistemi di rilevamento.
