Под поверхностью: мошенничество с уведомлениями по электронной почте в LinkedIn
Table of Contents
Не то, чем кажется
Мошенничество "LinkedIn Message Notification" - это обманчивая попытка фишинга, замаскированная под профессиональную возможность. Оно приходит по электронной почте и выглядит так, как официальное сообщение от LinkedIn, известной платформы для профессионального общения. Тема обычно намекает на деловой запрос, например, на просьбу купить продукцию у компании получателя, вызывая любопытство и срочность.
Однако, несмотря на его отполированный вид, это письмо не имеет никакого отношения к LinkedIn или какому-либо законному бизнесу. Вместо этого, это хитроумно сконструированная ловушка, предназначенная для кражи конфиденциальных учетных данных входа через поддельную страницу входа в электронную почту.
Что происходит, когда вы нажимаете
В тексте фейкового сообщения пользователям предлагается проверить предполагаемое сообщение LinkedIn, нажав на ссылку. Однако эта ссылка не ведет на LinkedIn. Вместо этого она открывает фишинговую страницу, которая имитирует экран входа в электронную почту. На странице может даже отображаться брендинг таких сервисов, как Zoho, чтобы еще больше замаскировать ее мошенническую природу.
Как только пользователь вводит свои учетные данные, информация немедленно отправляется мошенникам. Имея доступ к вашему почтовому ящику, эти злоумышленники могут копаться в сохраненных электронных письмах, сбрасывать пароли для подключенных учетных записей и использовать вашу личность различными способами.
Вот что говорится в мошенническом сообщении:
Subject: XXXXXXX - New Message Notification
LinkedIn New Message Notification
Dear Sir/Ma'am,
you've got a message from German Skillet Int'l (Contact Us), details as below:Sender Name Mr Eduardo
Receiver Email XXXXXXX
whatsapp +34 56** 32** ****
Message Good day,Would like to know more about your product and also your payment terms.
Can you ship to Spain for some urgent trial order?
IP: 85.136.16.76
Country/Region: Spain
Reply Immediately
За пределами почтового ящика: каскад последствий
Учетные записи электронной почты часто служат шлюзами для ряда личных и профессиональных услуг. Когда мошенник получает доступ, он может быстро изменить тактику — нацеливаться на профили в социальных сетях, облачные хранилища, онлайн-банкинг и многое другое. Они могут выдавать себя за жертву, чтобы просить денег, продвигать мошенничество или распространять вредоносное ПО с помощью убедительных сообщений.
Риски на этом не заканчиваются. Взломанные аккаунты, привязанные к финансовым платформам, могут использоваться для совершения несанкционированных покупок или инициирования денежных переводов. За считанные минуты одна ошибка может привести к масштабному ущербу в нескольких сервисах.
Как эта афера вписывается в более крупную схему
Письмо "LinkedIn Message Notification" — это всего лишь один пример в длинной череде фишинговых схем. Другие могут утверждать, что предлагают возврат средств, предупреждают пользователей о проблемах безопасности аккаунта или объявляют о неожиданных вознаграждениях или наследствах. Все они объединяются стратегией, основанной на обмане: создают срочность или возможность, а затем обманывают пользователей, заставляя их выдать конфиденциальную информацию.
Хотя детали меняются от одной кампании к другой, основная цель остается неизменной — получить доступ, эксплуатировать жертву и двигаться дальше, прежде чем нарушение будет обнаружено.
Как мошенники обманывают людей
Эти мошенничества обычно доставляются через спам-письма, но они не ограничиваются почтовым ящиком. Похожие фишинговые ссылки можно найти в сообщениях социальных сетей, прямых сообщениях на форумах и даже текстовых сообщениях (SMS). Электронные письма часто генерируются в больших количествах и распространяются через взломанные серверы или мошеннические рекламные сети.
Чем убедительнее электронное письмо или сообщение, тем больше вероятность успеха. Мошенники часто копируют тон, макет и брендинг надежных компаний, чтобы снизить бдительность пользователей.
Вредоносное ПО и фишинг: опасный дуэт
Фишинговые мошенничества тесно связаны с распространением вредоносного ПО. Часто спам-письма содержат вложения или ссылки, которые инициируют заражение при открытии. Эти вложения могут быть замаскированы под счета-фактуры, отчеты или другие деловые документы в форматах PDF, DOCX, ZIP или даже исполняемые файлы.
В некоторых случаях пользователи должны включить макросы или щелкнуть встроенные ссылки, чтобы вредоносное ПО активировалось, что добавляет еще один уровень обмана. В случае успеха вредоносное ПО может украсть данные, установить шпионское ПО или открыть бэкдор для дальнейших атак.
Лучшие практики для обеспечения безопасности
Чтобы избежать мошенничества, такого как фишинговое письмо с уведомлением о сообщении LinkedIn, необходимо сочетание бдительности и хорошей цифровой гигиены. Вот несколько простых методов, которые помогут вам сохранить безопасность ваших аккаунтов:
- Проверьте отправителя , прежде чем нажимать на ссылки. Официальные сообщения от LinkedIn будут приходить с доверенных доменов.
- Наведите указатель мыши на ссылки , чтобы проверить их истинное назначение. Если оно не соответствует домену LinkedIn, не нажимайте.
- Используйте двухфакторную аутентификацию (2FA) на всех важных аккаунтах. Даже если учетные данные будут украдены, 2FA добавит дополнительный уровень защиты.
- Относитесь скептически к срочным или неожиданным сообщениям , особенно к тем, в которых вас просят войти в систему, сбросить пароль или просмотреть конфиденциальную информацию.
- Загружайте вложения или программное обеспечение только из известных и надежных источников.
Заключительные мысли
Мошенничество "LinkedIn Message Notification" напоминает нам, как легко можно манипулировать доверием в цифровом мире. Эти атаки не опираются на сложный взлом — они эксплуатируют человеческую природу: любопытство, амбиции и рутину.
Быть информированным и осторожным — самый эффективный способ перехитрить фишинговые схемы. Задавая вопросы незнакомым подсказкам и тратя время на проверку перед нажатием, вы ставите барьер между своей информацией и теми, кто пытается ее украсть. В конце концов, цифровая безопасность начинается с осведомленности.
