Los piratas informáticos se dirigen a los usuarios con ofertas de trabajo falsas


LinkedIn es una plataforma de redes sociales popular que se centra en las redes profesionales y la comunidad empresarial. En esta plataforma, los usuarios se centran casi por completo en hacer conexiones y encontrar trabajo. Pero las cosas no siempre son lo que parecen. Últimamente, LinkedIn se está convirtiendo en uno de los sitios de redes sociales más populares utilizados por los atacantes para realizar ataques de phishing.

En una de las supuestas infracciones recientes en LinkedIn, los atacantes afirmaron que "datos extraídos de 500 millones de usuarios de LinkedIn vendidos en línea, 2 millones de registros filtrados como prueba". En esto Filtración de datos Se filtraron datos de perfiles de LinkedIn, ID de usuario, direcciones de correo electrónico, números de teléfono, títulos profesionales y descripciones relacionadas con el trabajo. Se sospecha que los atacantes utilizan estos datos y recopilan credenciales de usuario y otra información personal con ataques de phishing y más. Aunque la declaración oficial de LinkedIn en estos datos es que "Esto no fue una violación de datos de LinkedIn y no se incluyeron datos de cuentas de miembros privados de LinkedIn en lo que pudimos revisar.. "

Al analizar dichos mensajes o correos electrónicos de LinkedIn, observamos que los atacantes están haciendo phishing a las víctimas con URL pequeñas o más cortas utilizando la descripción del trabajo o los detalles que figuran en el perfil de LinkedIn del objetivo. Cuando la víctima desprevenida hace clic en la URL, la víctima es redirigida a enlaces de phishing y luego a un inicio de sesión falso de Microsoft 0-365 para recolectar las credenciales. En algunos casos, los ataques han utilizado enlaces que descargan software malicioso bancario o puertas traseras en la máquina de la víctima.

Diagrama de flujo detallado

Fig 1. Diagrama de flujo

Ejemplo de mensaje de spam en LinkedIn

Aquí hay un ejemplo de mensaje de LinkedIn, que parece un mensaje de oferta de trabajo con un enlace malicioso.

"Hola, espero que estés bien! Tenemos un proyecto personal de un cliente que estoy asumiendo actualmente. Todavía se encuentra en las etapas iniciales de seguimiento. Desde su perfil, vemos que sus competencias podrían ser útiles. Por favor acceda a esta propuesta a través del siguiente enlace y asesoramiento. (tinyurl (.) com (/) ndependentConsultantInTelecom) Esperamos su pronta y positiva respuesta. Saludos cordiales, Bob Fitzgerald Consultor independiente en la industria de servicios de telecomunicaciones y TI"

Al analizar la URL "tinyurl (.) com / LeaderatCiscoSystems"Redirigido a un enlace de una unidad codificado de forma rígida ->

"Https (:) // onedrive (.) Live (.) Com /? Authkey =% 21AK44ek3RzZkt3sk & cid = 25AEBC3DBC26A975 & id = 25AEBC3DBC26A975% 21120 & parId = 25AEBC3DBC26A975% 21119 & o = OneUp"

Luego, este enlace se descarga como un archivo PDF.

Fig 2. Archivo PDF

Una vez que abrimos el archivo PDF, muestra "ver carpeta de mensajes" como un enlace en el que se puede hacer clic. Al hacer clic, se redirige a

https (:) // motemoat (.) net / propuesta / owa / index.php, que además redirige a una URL larga como se indica a continuación:

“Https (:) // motemoat (.) Net / propuesta / oWa / 1c7d4ce11e790d9a70714069a60fd205 / & (+ y6 + 6 == & = 60 ~ wuz9% 5Ep0 &)) ~% 5Epzz &% 5Eppzp = ke9p $ = 0 = z ~ pwyeea % 60 |% 5Ex = @ + wpy9w && + 6 + wpkp & 90w & = a ~ a = & + $ p0.php? Login = &. Verify? Service = mail & data: text / html; js6 / main.jsp? Sid = CAgbePXXjcVpfthPNgXXCcgDQ = webqqTE126 # module = welcome.WelcomeModule% 7C% 7B% 7D = default & ltmplcache = 2 & emr = 1 & osid = 1 # identifier ”

La URL anterior muestra una página de inicio de sesión de Microsoft falsa como se muestra a continuación:

Fig 3. Página de inicio de sesión de Microsoft falsa

Después de agregar credenciales por primera vez, muestra una cuenta o contraseña incorrecta.

Fig 4– Muestra una cuenta o contraseña incorrecta.

Después de agregar nuevamente, muestra el mensaje "El proceso de su cuenta se completó", aquí podemos sospechar que ocurre la actividad de recopilación de información de credenciales de la cuenta.

Fig.5 – Cuenta completada

Además, esto se redirigió a la página legítima de Outlook.

El mismo archivo PDF tiene una URL más, que es el hipervínculo a la palabra “Mensaje” “https (:) // good354la354dsaporrpe.org/proposal/oWa/index.php”.

Otra URL que analizamos "Tinyurl (.) Com / ndependentConsultantInTelecom" Esta URL redirige a un enlace de una unidad.

"Https (:) // onedrive (.) Live (.) Com /? Authkey =% 21AKHcqNAx% 2D4BHzLg & cid = 25AEBC3DBC26A975 & id = 25AEBC3DBC26A975% 21124 & parId = 25AEBC3DBC26A975% 21123 & o = OneUp"

Fig.6 – Archivo de documento

Este enlace también está activo y descarga un archivo doc llamado Bob Fitzgerals.docx.

Una vez que el DOCX. se abre el archivo, muestra un enlace con el texto "ver carpeta de mensajes". Este enlace redirige a

https (:) // motemoat (.) net / propuesta / owa / index.php.

En más URL hay un hipervínculo a la palabra "Mensaje" "https (:) // good354la354dsaporrpe.org/proposal/oWa/index.php".

Esta URL también está inactiva a partir de ahora. Es el mismo que se encuentra en la variante de archivo PDF anterior.

Fig.7 – Enlace incrustado en el texto

Acerca de las URL y sus respectivos dominios

1. "https (:) // motemoat (.) Net / propuesta / oWa / index.php"

  • I.P: 162.241.71.191
  • Nombre de dominio: MOTEMOAT.NET
  • Ciudad de administración: Scottsdale
  • País de administración: EE. UU.
  • Correo electrónico del administrador: 77a661c69ce7e338s@domainsbyproxy.com
  • Administración Estado / Provincia: Arizona
  • Fecha de creación: 2015-03-01T20: 05: 14Z
  • Fecha de actualización: 2021-03-02T08: 14: 32Z
  • Servidor de nombres: NS39.DOMAINCONTROL.COM
  • País del registrante: EE. UU.

2. "https (:) // good354la354dsaporrpe (.) Org / propuesta / oWa / index.php"

  • I.P: 162.241.71.191 (igual que el dominio anterior)
  • Nombre de dominio: GOOD354LA354DSAPORRPE.ORG
  • Fecha de creación: 2021-04-30T01: 56: 00Z
  • Fecha de actualización: 2021-05-04T08: 44: 08Z
  • Servidor de nombres: NS01.ONE.COM
  • País del registrante: GB
  • URL del registrador: http://www.ascio.com
  • Registrador: Ascio Technologies, Inc. Danmark – Filial af Ascio Technologies, Inc. EE. UU.

Consejos para detectar intentos de phishing

  • Verifique el Mensaje o los detalles de la cuenta del remitente, las ID de correo electrónico, el nombre, etc., ya que posiblemente alguna cuenta conocida de conexión de LinkedIn haya sido pirateada o se hayan robado las credenciales y se haya utilizado indebidamente la cuenta.
  • Tenga en cuenta los enlaces falsos 0-365, ya que se utilizan para la recolección de credenciales. Siempre verifique las URL / dominio en los enlaces y la página. Si no parece coincidir con el original, evite visitar y poner credenciales en dichas páginas de phishing.
  • Analice los archivos adjuntos que lleguen a través del mensaje o correo electrónico, incluso si proviene de un usuario de confianza.
  • Cualquier documento abierto compartido en LinkedIn nunca debe solicitar 0365 o credenciales de correo, ya que ambos no tienen relación.
  • Incluso si los correos electrónicos fraudulentos y de suplantación de identidad no le piden que evite ser sospechoso de inmediato, es posible que intenten apuntar a la recolección de credenciales de los usuarios legítimos de LinkedIn.
  • Contenido del mensaje y formato del correo electrónico: lea atentamente la naturaleza del correo electrónico, la intención, verifique los errores gramaticales y el estilo visual, y verifique la firma del correo electrónico.
  • Las campañas de spam más recientes con temas de LinkedIn pueden diferir, pero su propósito sigue siendo el mismo, así que mantenga su cuenta segura con una contraseña segura.

Prashant Tilekar

Prashant Tilekar