LinkedIn-kalastelu piiloutuu Adoben oman palvelimen taakse – tunnukset kiertävät laillisen domainin kautta
Kalastelukampanja käyttää Adoben markkinointipilven domainia välivaiheena, jotta sähköpostisuodattimet eivät hälytä. Lopullinen kohde on suomalaisellekin B2B-myynnille tuttu tilanne: tuntematon ostaja lähestyy LinkedIn-viestillä ja liittää mukaan allekirjoitetun sopimuksen.
Tiivistelma
Malwarebytes raportoi LinkedIn-tunnuksia varastavasta kampanjasta, joka reitittää uhrin tunnukset Adoben lnkd.tt.omtrdc.net-domainin kautta. Liite näyttää PDF:ltä mutta on HTML, ja kirjautumislomakkeessa uhrin osoite on jo lukittuna kenttään. Kohderyhmänä ovat B2B-asiantuntijat, joille ostaja-tiedustelut LinkedInissä ovat arkea.
Adoben markkinointipilven palvelin välittää juuri nyt varastettuja LinkedIn-salasanoja venäläiselle jakohostille. Kalasteluketju kulkee lnkd.tt.omtrdc.net-osoitteen läpi, eivätkä useimmat sähköpostisuodattimet pysäytä sitä.
Syy on yksinkertainen. Adobe Marketing Cloudin domain nauttii vuosien mainetta laillisena markkinointialustana.
Malwarebytesin uhkatiedusteluyksikkö kertoi kampanjasta 27. toukokuuta. Lure on suomalaisellekin myyjälle hyvin tuttu tilanne.
Tuntematon ostaja lähestyy liiketoimintatiedustelulla ja liittää mukaan allekirjoitetun sopimuksen. Englanninkielisessä alkuperäisviestissä lukee suomennettuna näin:
– Haluaisin tehdä kanssanne kauppaa LinkedInin kautta. Olen ostaja. Liitteenä allekirjoitettu sopimus numero 33110, 12 000 kappaletta.
Sopimusnumero ja kappalemäärä antavat viestille kiireen tunnun. Kuka myyjä ei avaisi liitettä, jossa väitetään olevan jo allekirjoitettu tilaus.
Liitteen kaksoispääte paljastaa pelin
Liite näyttää sähköpostiohjelmassa PDF-kuvakkeelta. Tiedoston todellinen nimi on muotoa Contract_33110.pdf.html.
Käyttöjärjestelmä lukee aina viimeisen päätteen, joten kyseessä on HTML-tiedosto, ei PDF. Avattuna liite renderöityy paikallisesti selaimessa ja näyttää LinkedInin kirjautumissivun.
Erityispiirre erottaa lomakkeen aidosta: uhrin sähköpostiosoite on jo lukittuna kenttään, eikä sitä voi muokata. Vain salasanan voi kirjoittaa, ja juuri tästä syystä huijaus vaikuttaa aidommalta kuin tyhjä kirjautumissivu.
Kun uhri painaa "Kirjaudu", lomake POST-aa tunnukset Adobe Targetin päätteeseen lnkd.tt.omtrdc.net/rest/v1/delivery. Adobe Target on personointi- ja A/B-testaustyökalu, jota oikeasti käyttävät tuhannet markkinointitiimit. Hyökkääjä on rekisteröinyt palveluun oman aktivointinsa ja käyttää sitä yksinkertaisena välityspisteenä.
Sieltä tunnukset valuvat eteenpäin venäläiselle SpaceWeb-jakohostille osoitteeseen a1263367.xsph.ru/taam/Ln.php. Lopuksi selain ohjataan oikealle business.linkedin.com-sivulle, jolloin uhri näkee tutun käyttöliittymän eikä epäile mitään.
Miksi Adobe-domain auttaa hyökkääjää? Sähköpostisuodattimet ja URL-mainejärjestelmät luottavat omtrdc.net-päätteisiin osoitteisiin, koska Adobe Marketing Cloud kuljettaa valtavia määriä laillista markkinointiliikennettä. Viesti pääsee suodattimien läpi, ja URL-tarkistus näyttää vihreää valoa.
Suomalainen kytkös
LinkedIn on Suomen keskeisin B2B- ja rekrytointialusta. Asiantuntijat, myyjät ja johto saavat säännöllisesti tuntemattomilta tilejä, jotka esittävät ostaja-tiedusteluja tai yhteistyöehdotuksia. Lure asettuu suoraan tähän kohinaan.
Kyberturvallisuuskeskus toteaa viikkokatsauksissaan saman havainnon kuukausi toisensa jälkeen. Rikolliset suosivat laillisten pilvipalveluiden väärinkäyttöä. Microsoftin, Adoben ja jaettujen dokumenttilinkkien kautta kulkeva liikenne näyttää suodattimille lailliselta, joten perinteinen URL-tarkistus ei hälytä.
Tunnistusmerkit
- Liitteen tiedostopääte on
.pdf.htmltai.htm. Aito PDF ei sisällä HTML-päätettä. - "Ostaja"-viesti ilman aiempaa yhteydenpitoa, ennakoitu sopimusnumero ja viittaus "allekirjoitettuun sopimukseen".
- Kirjautumislomakkeessa sähköpostiosoite on lukittuna kenttään. Aito LinkedIn-kirjautumissivu sallii sähköpostin vapaan kirjoittamisen.
- Osoiterivillä ei näy
www.linkedin.com. Adobe-osoitteet kuten*.omtrdc.netja*.tt.omtrdc.neteivät kuulu LinkedIn-kirjautumiseen, vaikka ne näyttäisivätkin laillisilta.
Mitä tehdä
- Älä avaa sähköpostista
.pdf.html-liitteitä. Oikea PDF ei avaa kirjautumislomaketta selaimessa. - Kirjaudu LinkedIniin aina kirjoittamalla osoite suoraan osoiteriville tai virallisen sovelluksen kautta. Älä koskaan sähköpostin linkin kautta.
- Varo typo-domaineja kuten
linkedln.com,lnkedin.comjainedin.digital. - Ota käyttöön LinkedInin kaksivaiheinen tunnistus autentikaattorisovelluksella (Authy, Google Authenticator, Microsoft Authenticator). SMS-pohjainen vahvistus on heikompi vaihtoehto.
- Jos olet jo syöttänyt tunnukset epäilyttävälle sivulle, vaihda LinkedIn-salasana välittömästi ja kirjaa kaikki istunnot ulos: avaa LinkedIn-asetukset, valitse "Tietosuoja ja turvallisuus" ja sieltä "Missä olet kirjautunut sisään". Vaihda sama salasana myös kaikista muista palveluista, joissa sitä on käytetty.
- Ilmoita kalasteluviesti osoitteeseen phishing@linkedin.com ja Kyberturvallisuuskeskukseen osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Jää nähtäväksi, kuinka pitkään Adobe ja LinkedIn yhdessä saavat suljettua hyökkääjän käyttämän Target-aktivoinnin. Tätä artikkelia kirjoitettaessa välitysketju on edelleen toiminnassa.