Die neue Phishing-Methode funktioniert über Verunsicherung: In einem ersten Schritt schreiben die Angreifer ihren Opfern auf LinkedIn einen Kommentar in ihr Profil. Die Kommentare der Angreifer werden dabei von gefälschten Unternehmensseiten gepostet, die das offizielle Logo von LinkedIn und eine Abwandlung des Namens der Plattform verwenden – zum Beispiel ‚Linked Very‘. Im Kommentar teilen sie ihren Opfern mit, dass einer ihrer Beiträge gegen die Richtlinien von LinkedIn verstoßen habe und dass ihr Konto deshalb vorübergehend eingeschränkt werden müsse. Das Opfer könne diese Einschränkung jedoch jederzeit ganz leicht wieder aufheben. Es müsse hierzu nur auf einen beigefügten Link, etwa eine Schaltfläche mit dem Titel ‚Identität verifizieren‘, klicken.
Der Link führt das Opfer dann auf ein überzeugendes – aber nichtsdestotrotz gefälschtes – LinkedIn-Anmeldeportal. Sein Zweck: die Google-, Microsoft- und Apple-Anmeldedaten der Opfer zu stehlen. Einige der Angreifer gehen dabei dilettantisch vor. Sie nutzen für die FAKE-LinkedIn-Webseite eine alphanumerische .app-Domain, die nicht mit LinkedIn in Verbindung steht. Sind ihre Opfer vorsichtig, kommen sie den Angreifern noch rechtzeitig auf die Schliche. Andere Angreifer sind deutlich professioneller. Sie nutzen den offiziellen URL-Kürzer von LinkedIn, der den verdächtig aussehenden Phishing-Link durch eine kurze lnkd.in-URL ersetzt. Für ihre Opfer ist der Angriff dadurch deutlich schwerer zu erkennen.
Richtlinienverstöße werden nicht über Kommentare kommuniziert
Bleeping Computer, die original von der Bedrohung berichtet hatten, rät Nutzern von LinkedIn, wachsam zu sein. Sie sollten es vermeiden, auf Kommentare, Antworten oder private Nachrichten zu reagieren, die den Anschein erwecken, von LinkedIn selbst zu stammen, und dazu auffordern, auf externe Links zu klicken. LinkedIn ist sich der Angriffe bewusst und hat mittlerweile Gegenmaßnahmen eingeleitet. Außerdem weist das Unternehmen darauf darauf hin, dass es Richtlinienverstöße nicht über Kommentare mit seinen Nutzern kommunizieren würde.
Auch Unternehmen sollten sich vor der neuen Kampagne schützen. Müssen sich doch nur einige ihrer Mitarbeiter mit den Google-, Microsoft- oder Apple-Anmeldedaten ihres Arbeitgebers bei LinkedIn registriert haben, damit die Angreifer mit der Kampagne eine reale Aussicht auf Erfolg haben. Sie müssen ihre Mitarbeiter regelmäßig zur aktuellen Sicherheitslage briefen und in Punkto aktuell im Umlauf befindliche Cyberbedrohungen auf dem Laufenden halten.
Schutz gegen Phishing: Human-Risk-Management
Am effektivsten – da umfassendsten – helfen kann ihnen hier der Einsatz eines modernen Human-Risk-Management-Systems. Seine Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter wie KI-Agenten zu stärken. Seine modernen Anti-Phishing-E-Mail-Technologienkombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, Risiken signifikant zurückzufahren und Mitarbeiter wie KI-Agenten zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen.
.jpg "Neue Risiken: KI-Einsatz verbreitet sich schneller als Kontrollmechanismen")
