Aanvallers verschuiven steeds vaker van e-mail naar LinkedIn om phishing-pogingen te verspreiden. Securitybedrijf Push onderschepte een geavanceerde LinkedIn-phishing die meerdere ontwijkingstechnieken combineert om detectie te omzeilen.
Phishing via LinkedIn is aan een opmars bezig, hoewel het vaak onopgemerkt blijft. Dat komt omdat veel phishingdata afkomstig is van e-mailbeveiligingsleveranciers. LinkedIn valt buiten het bereik van traditionele anti-phishing controles, terwijl medewerkers het platform vaak via zakelijke apparaten gebruiken. Hierdoor ontstaat een blinde vlek in de security die aanvallers slim uitbuiten.
In deze recente aanval ontving het slachtoffer een kwaadaardige link via een LinkedIn-bericht. Na het klikken doorliep de gebruiker drie redirects via Google Search en payrails-canaccord[.]icu voordat een speciaal aangepaste landingspagina verscheen die werd gehost op firebasestorage.googleapis[.]com. Door gebruik te maken van vertrouwde diensten als Google Firebase verminderen aanvallers het risico dat links worden gedetecteerd door beveiligingstools.
De aanvalsketen eindigt bij een Microsoft-imiterende phishingpagina waarbij credentials en MFA-verificatie worden gestolen. Push detecteerde de aanval in realtime terwijl de pagina in de browser werd geladen.
Detectie-ontwijking op meerdere niveaus
De aanvallers pasten verschillende technieken toe om geautomatiseerde securitysystemen te omzeilen. De lange redirectketen via legitieme sites (bijvoorbeeld Google0 vormt een eerste laag. Veel linkanalysesystemen sluiten vertrouwde domeinen uit van scanning, waardoor aanvallers effectief het echte doelwit kunnen verbergen.
Vervolgens gebruikten ze Cloudflare Turnstile als botbescherming. Deze technologie vereist dat bezoekers een challenge voltooien voordat de volledige pagina wordt geladen. Geautomatiseerde scanners kunnen hierdoor de phishingcontent niet analyseren.
De aanvallers randomiseerden ook elementen op de phishingpagina zelf. Titels, tekst, afbeeldingen en favicons worden willekeurig gegenereerd om statische fingerprinting te voorkomen. Sommige componenten staan zelfs gecodeerd in de HTML en worden pas tijdens runtime dynamisch ingeladen. Hierdoor kan dezelfde phishingkit telkens andere signaturen genereren.
AiTM-phishing ondanks MFA
De phishingpagina maakt gebruik van Adversary-in-the-Middle technieken. Hiermee kunnen aanvallers sessies stelen, zelfs wanneer slachtoffers multifactor-authenticatie hebben ingeschakeld. Na het invoeren van credentials en het voltooien van de MFA-check nemen de aanvallers de volledige Microsoft-sessie over.
Met toegang tot zo’n core identity-account kunnen kwaadwillenden niet alleen toegang krijgen tot e-mail en bestanden, maar ook tot alle downstream-applicaties die via single sign-on bereikbaar zijn. De impact strekt zich dus veel verder uit dan alleen het gecompromitteerde LinkedIn-account.
Voor organisaties betekent dit dat de dreiging verder reikt dan aanvallen via e-mail alleen. Aanvallers zoeken nieuwe kanalen waar werknemers contactverzoeken van onbekenden verwachten. LinkedIn biedt die mogelijkheid.
Tip: Neppe LinkedIn-alerts succesvol bij phishing, toont onderzoek aan