Phishing : la fonction Smart Links de LinkedIn utilisée pour cibler des comptes Microsoft
Une nouvelle fois, les cybercriminels s'appuient sur la fonction Smart Links du réseau social LinkedIn pour diffuser des liens malveillants tout en contournant les systèmes de protection. La cible de cette campagne malveillante : les comptes Microsoft.
La fonction Smart Links de LinkedIn est accessible pour les entreprises intégrées à Sales Navigator. Grâce à un elle, un utilisateur peut partager plusieurs documents à partir d'un seul lien et obtenir diverses statistiques. Ce n'est pas la première fois que cette fonctionnalité est détournée par les cybercriminels. Par exemple, en septembre 2022, ils l'ont exploité dans une campagne de phishing reprenant l'identité des services postaux slovaques ("Slovenská pošta"). Nous en avions parlé dans cet article.
Cette campagne malveillante cible les comptes Microsoft
Cette fois-ci, l'entreprise Cofense a mis en ligne un rapport au sujet d'une nouvelle campagne qui s'est déroulée entre juillet et août 2023, lors de laquelle les pirates ont utilisé pas moins de 80 Smart Links et 800 objets d'e-mail différents (notifications de sécurité, paiements, documents, RH, etc...).
Les secteurs d'activités les plus ciblés par cette dernière campagne sont la finance, l'industrie et l'énergie, même si c'est une attaque globale qui n'est pas ciblée. À ce sujet, Cofense précise : "Malgré des volumes plus importants dans les secteurs de la finance et de l'industrie, on peut conclure que cette campagne n'était pas une attaque directe contre une entreprise ou un secteur en particulier, mais une attaque globale visant à collecter autant d'informations d'identification que possible en utilisant des comptes professionnels LinkedIn et des liens intelligents pour mener à bien l'attaque."
Dans le cas présent, Smart Links est utilisé pour effectuer une série de redirections afin d'amener l'utilisateur jusqu'à une fausse page de connexion aux services de Microsoft. Il s'agit d'une page de connexion par défaut, sans les personnalisations éventuelles qu'aurait pu effectuer l'entreprise au niveau de son tenant Microsoft 365. Si l'on prend l'exemple ci-dessous, tiré de cette campagne, l'URL devrait tout de suite alerter l'utilisateur.
Le Smart Links utilisé par les cybercriminels intègrent l'adresse e-mail de la victime. Bien que cette valeur soit obfusquée dans l'URL, elle sera récupérée par la fausse page de connexion aux services Microsoft, afin qu'elle soit visible. C'est une façon de mettre en confiance l'utilisateur car on reproduit en quelque sorte le fonctionnement normale de la page de connexion Microsoft. Une fois sur cette page, l'utilisateur n'a plus qu'à saisir son mot de passe pour "se connecter" : c'est là que les cybercriminels pourront récupérer le mot de passe de son compte Microsoft.
