Умные ссылки для умного фишинга: как сервис Smart Links помогает красть Microsoft-аккаунты

Хакеры в очередной раз начали злоупотреблять функцией Smart Links сервиса LinkedIn, рассылая фишинговые письма. Их цель — кража учетных данных от аккаунтов Microsoft.

Smart Links — платный инструмент, позволяющий создавать уникальные адреса для email-рассылок, чтобы отслеживать статистику переходов и вовлеченность аудитории. Это дает маркетологам ценную информацию для анализа эффективности кампаний.

Поскольку в ссылках используется домен LinkedIn и уникальный код длиной в 8 символов, они кажутся легитимными и легко обходят защиту почтовых сервисов.

Это не первый случай злоупотребления функцией. В конце 2022 года компания Cofense обнаружила похожую кампанию, нацеленную на пользователей из Словакии.

Эксперты выявили более 800 писем на разные темы со ссылками на фишинговые страницы.

По данным Cofense , атаки продолжались с июля по август 2023 года. Хакеры использовали 80 ссылок, сгенерированных из взломанных или недавно созданных бизнес-аккаунтов LinkedIn.

Основными целями стали финансовый сектор, производство, энергетика, строительство и здравоохранение. В темах сообщений говорилось о платежах, кадрах, документах, уведомлениях от систем безопасности. Ссылка вела пользователя через цепочку переадресаций с «доверенного» домена.

Чтобы создать иллюзию надежности, в фишинговую ссылку заранее подставлялся e-mail жертвы. На поддельной странице входа в Microsoft-аккаунт этот адрес уже был указан в поле для почты, человеку оставалось только ввести пароль.

Страница напоминала стандартную авторизацию в Microsoft, без фирменного дизайна компании. Это расширяло круг целей, но могло насторожить опытных сотрудников. При этом хакерам, судя по всему, было важно собрать как можно больше учетных данных — они не нацеливались на конкретные организации.

Пользователи должны понимать, что почтовые фильтры не гарантируют защиту от фишинга. Злоумышленники продолжают пользоваться легитимными сервисами, чтобы их обойти.