Los ataques de LinkedIn Smart Links vuelven a apuntar a las cuentas de Microsoft

Una vez más, los piratas informáticos están abusando de LinkedIn Smart Links en ataques de phishing para eludir las medidas de protección y evadir la detección en un intento de robar las credenciales de la cuenta de Microsoft.

Los Smart Links forman parte del servicio Sales Navigator de LinkedIn, que se utiliza para el marketing y el seguimiento, lo que permite a las cuentas de empresa enviar contenido por correo electrónico utilizando enlaces rastreables para determinar quién interactuó con él.

Además, debido a que Smart Link utiliza el dominio de LinkedIn seguido de un parámetro de código de ocho caracteres, parecen originarse en una fuente confiable y eluden las protecciones del correo electrónico.

El abuso de la función Smart Link de LinkedIn no es nuevo, ya que la empresa de ciberseguridad Cofense descubrió la técnica en una campaña de finales de 2022 dirigida a usuarios eslovacos con señuelos falsos del servicio postal.

La nueva campaña se orienta a las cuentas de Microsoft

La compañía de seguridad del correo electrónico informa hoy que identificó un aumento en el abuso de LinkedIn Smart Link recientemente, con más de 800 correos electrónicos de varios temas que conducen a una amplia gama de objetivos a páginas de phishing.

Según Cofense, los ataques recientes ocurrieron entre julio y agosto de 2023, utilizando 80 Smart Links únicos, y se originaron en cuentas comerciales de LinkedIn recién creadas o comprometidas.

Los datos de Cofense muestran que los sectores más atacados de esta última campaña son las finanzas, la manufactura, la energía, la construcción y la salud.


"A pesar de que Finanzas y Manufactura tienen mayores volúmenes, se puede concluir que esta campaña no fue un ataque directo a ningún negocio o sector en particular, sino un ataque general para recopilar tantas credenciales como sea posible utilizando cuentas comerciales de LinkedIn y Smart Links para llevar a cabo el ataque", explica Cofense.

Los correos electrónicos enviados a los destinatarios utilizan asuntos relacionados con pagos, recursos humanos, documentos, notificaciones de seguridad y otros, y el enlace/botón incrustado desencadena una serie de redireccionamientos desde un enlace inteligente de LinkedIn "confiable".


Para agregar legitimidad al proceso de suplantación de identidad (phishing) y crear una falsa sensación de autenticidad en la página de inicio de sesión de Microsoft, el enlace inteligente enviado a las víctimas se ajusta para contener la dirección de correo electrónico del objetivo.


La página de phishing leerá la dirección de correo electrónico del enlace en el que hizo clic la víctima y la completará automáticamente en el formulario, solo esperando que la víctima complete la contraseña, al igual que sucede en el portal de inicio de sesión legítimo.


La página de phishing se asemeja a un portal de inicio de sesión estándar de Microsoft en lugar de un diseño personalizado y específico de la empresa.

Si bien esto amplía su rango objetivo, puede disuadir a las personas familiarizadas con los portales únicos de su empleador.

Se debe educar a los usuarios para que no confíen únicamente en las herramientas de seguridad del correo electrónico para bloquear las amenazas, ya que los actores de phishing adoptan cada vez más tácticas que abusan de los servicios legítimos para eludir estas protecciones.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta