Phishing : la fonction Smart Links de LinkedIn est utilisée pour contourner l’analyse des e-mails
La fonctionnalité Smart Links de LinkedIn est actuellement exploitée par des pirates informatiques dans le cadre de campagnes de phishing, dans le but d'outrepasser les solutions de protection des e-mails et de rediriger les utilisateurs vers des sites malveillants.
Une fois de plus, les cybercriminels ne manquent pas d'ingéniosité quand il s'agit de contourner une fonction de sécurité ! Cette fois-ci, c'est la fonction Smart Links de LinkedIn qui est exploitée, comme le rapportent les analystes de chez Cofense. Il s'agit d'une fonctionnalité destinée aux entreprises qui est disponible pour les utilisateurs de Sales Navigator. Elle permet de partager des documents à partir d'un seul lien.
Sans surprise, tout cela est accompagné par diverses statistiques sur l'utilisation de ces liens, notamment le nombre de consultations. On peut imaginer que les cybercriminels pourront utiliser les données analytiques pour optimiser leur campagne...malveillante !
Pour le moment, les analystes de chez Cofense ont détecté des campagnes ciblant les utilisateurs slovaques, mais cette technique pourrait bien se développer et toucher également les utilisateurs français. En l'occurrence dans ces campagnes, il s'agit de leurres orientés sur les services postaux slovaques, avec notamment un e-mail censé provenir de "Slovenská pošta" où l'utilisateur est invité à régler les frais d'un colis en attente d'expédition. Même si la technique d'utiliser la fonction Smart Links de LinkedIn semble nouvelle, le sujet de l'e-mail quant à lui est un grand classique.
Voici un exemple d'e-mail :
Cet e-mail contient un bouton de confirmation qui intègre une URL LinkedIn Smart Link ("linkedin[.]com/slink?code=g4zmg2B6") contenant des variables dans le but de rediriger la victime vers une page de phishing. Ici, la fonctionnalité est clairement détournée puisque l'utilisateur est renvoyé vers une page malveillante, alors que normalement c'est utilisé pour de la publicité, des pages marketing, etc.
Une fois sur la page, qui est une copie de la page officielle du service "Slovenská pošta", l'utilisateur doit régler la somme de 2,99 euros. Alors bien sûr, ici, ce n'est pas l'argent qui intéresse directement les pirates, mais plutôt la possibilité de collecter des numéros de cartes bancaires.
De son côté, LinkedIn affirme travailler sur cette problématique afin de renforcer la protection des utilisateurs et éviter que LinkedIn soit utilisé comme rebond dans le cadre de campagnes de phishing.
