Categories: Sicherheit

Phishing-Attacke über LinkedIn

In einer Attacke werden über vertrauenswürdige LinkedIn-Konten Phishing-Kampagnen gestartet. Dabei werden aus gekaperten Konten über Mail oder private Nachrichten Phishing-Links an Mitglieder des Business-Netzwerkes aber auch an externe verschickt, wie das Sicherheitsunternehmen Malwarebytes jetzt in einem Blog mitteilt.

Was diese Kampagne laut Malwarebytes von anderen unterscheidet, ist der Umstand, dass auch langjährige und vertrauenswürdiger Konten gehackt wurden. Auch Premium-Accounts sollen dazugehören.

Über das Netzwerk können Mitglieder andere LinkedIn-Benutzer, auch wenn diese keinen direkten Kontakt haben, über die Funktion InMail kontaktieren.

Die bösartige Nachricht enthält einen Verweis auf ein freigegebenes Dokument sowie einen Kurz-Link, der auf eine Phishing-Site für Google Mail und andere E-Mail-Provider verweist. Die Opfer sollen sich dort anmelden.

Die Getäuschten, die Benutzernamen für Gmail, Yahoo und AOL, Passwörter und Telefonnummer weitergeben haben, sehen nicht sofort, dass sie Opfer einer Phishing-Attacke geworden sind. Anschließend wird den Opfern ein weiteres Dokument zugestellt, das scheinbar von der Vermögensverwaltung Wells Fargo stammt und das auf Google Docs gehostet wird.

Potentielle Opfer, die über InMail kontaktiert werden, werden ebenfalls auf das Dokument geleitet. InMail ist eigentlich eine vertrauenswürdige Kommunikationsform, die LinkedIn lediglich zahlenden Kunden anbietet.

Anwender können nur eine gewisse Anzahl von Nachrichten kostenpflichtig verschicken. Daher war dieser Kanal für Hacker eher uninteressant, weil dadurch Kosten entstehen. Im aktuellen Fall aber bezahlen die Hacker nicht selbst, sondern sie verwenden die Credits der kompromittierten Konten.

Von LinkedIn heißt es, dass zwar die Übertragung der Mails sicher ist, dass aber dennoch die Inhalte der Nachrichten unsicher sein können. In dieser Attacke werden die Nachrichten zudem mit einem “Security Footer” verschickt, der eigentlich Phishing-Mails verhindern soll, indem Position oder Arbeitgeber in dem Footer eingeblendet werden. Anwender können diese Informationen aber auch verändern.

In beiden Fällen bekommen die potentiellen Opfer jedoch diese Nachricht zu lesen:

“I have just shared a document with you using GoogleDoc Drive,

View shared document http://ow.ly/[…]”

Der Klick auf den Link öffnet folgende Seiten und Dokumente:

ow[.]ly/qmxf30eWLyN
dgocs[.]gdk.mx/new/index.php
dgocs[.]gdk.mx/new/index.php?i=1
cakrabuanacsbali[.]com/wp-rxz/index.php

Wie viele Accounts gehackt wurden oder ob stets neue URL-Abkürzungen verwendet werden, sei bislang nicht bekannt, heißt es von Malwarebytes. Daher lasse sich auch der Umfang der Kampagne derzeit schlecht bemessen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.

Kai Schmerer @KaiSchmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Auch Firefox stuft künftig HTTP-Websites als unsicher ein

Ab Werk aktiv ist die Funktion in Firefox 70. Aktuell ist die Funktion im Nightly Channel erhältlich. Aber auch Firefox…

11 Stunden ago

Smartphones mit 12 GByte RAM: Samsung kündigt neue Low-Power-Speichermodule an

Sie ermöglichen Übertragungsraten von 5500 Mbit/s. 44 GByte Daten übertragen sie somit innerhalb einer Sekunde. Samsung fertigt die Chips mit…

16 Stunden ago

Windows, iOS und macOS: Bluetooth-Bug ermöglicht Nutzer-Tracking

Forscher umgehen die Anonymisierung von Bluetooth-MAC-Adressen. Sie entwickeln einen Algorithmus, der ausschließlich unverschlüsselten und öffentlichen Datenverkehr von Bluetooth-Geräten verarbeitet. Googles…

18 Stunden ago

Umgang mit Händlerdaten: EU startet Kartelluntersuchung gegen Amazon

Amazons Vereinbarungen mit Händlern über die Analyse ihrer Daten sind möglicherweise wettbewerbswidrig. Die EU prüft in dem Zusammenhang auch einen…

19 Stunden ago

Windows 10 1903: Microsoft verteilt neueste Windows-Version an weitere Anwender

Nutzer von Windows 10 1803 erhalten das Update auf Version 1903 automatisch. Für bestimmte Geschäftsanwender wird das Update ab dem…

1 Tag ago

BeiTaAd: Google verbannt chinesischen App-Entwickler CooTek

CooTek hatte die mit BeiTaAd bezeichnete Adware als Plug-in für 238 verschiedenen Anwendungen über Google Play ausgeliefert. Dazu gehörte auch…

2 Tagen ago