Come ripetiamo da tempo, ogni campagna hacker fa storia a sé e cerca di sfruttare ogni tipo di mezzo per andare a segno, dal più sofisticato a quello più banale. Spesso però, per arrivare a grandi obiettivi i malintenzionati sfruttano anche le possibilità che vengono fornite da piattaforme totalmente legittime, come nel caso che raccontiamo oggi. Una campagna di phishing mirata al furto di credenziali dei servizi Microsoft è stata lanciata un paio di mesi fa fa utilizzando una feature che chi lavora con LinkedIn conosce molto bene: gli Smart Links.
Questi link sono dei sistemi presenti all’interno del Sales Navigator della nota piattaforma per i lavoratori e le aziende e servono essenzialmente per effettuare il tracciamento dei clic a fini di marketing. Tra le possibilità legate agli Smart Links per gli inserzionisti c’è quella dell’invio di email a chi vi clicca sopra in modo diretto, e questo ha fatto sì che si siano susseguite alcune campagne di phishing. Non è chiaro se gli account dai quali sono nati questi Smart Link siano stati creati appositamente o se fossero profili già compromessi e sfruttati per la campagna, ma la buona reputazione della piattaforma ha portato molti utenti a ritenere affidabili i messaggi ed i link presenti in essi, anche perché le mail hanno come mittente il dominio del social dal quale vengono inviate.
Nei mesi di luglio ed agosto gli osservatori hanno notato un grosso traffico di una campagna di phishing che passava mediante l’uso di almeno ottanta Smart Links di LinkedIn corrotti, mentre gli account dai quali provenivano erano in parte appena stati creati ed in parte compromessi. Gli obiettivi della campagna erano principalmente del settore della finanza e di quello manifatturiero, con una grossa presenza però anche dei settori delle costruzioni e dell’energia. Questi numeri però, non essendo schiaccianti, fanno propendere più per l’ipotesi che la campagna sia stata creata senza un obiettivo preciso ma con il solo scopo di trafugare un grosso numero di account Microsoft. Come chiave per far cliccare le vittime, gli hacker hanno usato principalmente messaggi riguardanti le risorse umane, spedizioni, pagamenti ed altri argomenti inerenti alle operazioni classiche di un’azienda.
L’utente poi veniva indirizzato verso il proprio account Microsoft mediante un link, che però portava semplicemente ad una pagina di login fasulla. La falsità di questa pagina può essere verificata anche soltanto guardando la barra dell’URL, ma chi non ha avuto questa premura ha inserito le credenziali dei suoi servizi 365 e se le è fatte trafugare dagli hacker. Il messaggio è riuscito a passare nonostante i sistemi di antivirus e antispam, come abbiamo già spiegato, sfruttando la legittimità del dominio di LinkedIn e modificando il link visualizzato dai destinatari. Questo significa che in certi casi è determinante l’educazione alla cybersecurity dei propri dipendenti, perché una sola distrazione in questo caso può costare cara ad una intera azienda.
Fonte: 1