Az utóbbi években látványosan eltolódtak a phishing (adathalász) kampányok az e-mailes csatornákról a közösségi média, üzenetküldő alkalmazások és keresőmotorok irányába. A Push Security kutatói legutóbb egy kifejezetten kifinomult, LinkedIn-en keresztül terjesztett adathalász kampányt azonosítottak, amely jól szemlélteti, miként használják ki a támadók az emberi bizalmat.
A támadás a LinkedIn közvetlen üzenetküldő (DM) funkcióján keresztül indult, ahol a célpont egy ártalmatlannak tűnő hivatkozást tartalmazó levelet kapott. Kattintás után a felhasználó három átirányításon haladt keresztül. A Google Kereső egy manipulált találatán, majd egy payrails-canaccord[.]icu domainen keresztül jutott el a végső, Firebase Storage-on hosztolt adathalász oldalra. A támadók így kihasználták a legitim szolgáltatók – mint a Google vagy a Firebase – hitelességét, amivel sikeresen elkerülhették a legtöbb link ellenőrző és sandbox szűrőt. A céloldal hamis dokumentummeghívót jelenített meg, amely „View with Microsoft” (Megtekintés Microsofttal) gombot kínált. Kattintás után a felhasználó egy Cloudflare Turnstile robotvédelmi kapuval találkozott. Ez a lépés gátolta meg, hogy automatikus biztonsági botok férjenek hozzá és elemezzék az oldalt. A kapun túljutva pedig egy Microsoft bejelentkezési oldal töltődött be, amely valójában Adversary-in-the-Middle (AiTM) típusú adathalász felület volt. A beírt felhasználónév, jelszó és akár a többfaktoros azonosítás után kapott tokenek is azonnal a támadókhoz kerültek, így azok teljes értékű Microsoft munkamenetet lophattak el, minden hozzáféréssel együtt.
A támadók számos kifinomult elkerülési technikát vetettek be. Egyrészt a LinkedIn-en keresztüli terjesztés önmagában megkerüli a legtöbb hagyományos e-mail-alapú szűrést. Másrészt a többlépcsős átirányítás legitim domaineken keresztül gyakorlatilag álcázza a végső URL-t, amely így nem kerül tiltólistára. A Firebase-hez, Google Forms-hoz vagy Microsoft SharePoint-hoz hasonló oldalak ritkán szerepelnek kockázatos kategóriában, ezért a böngésző vagy e-mail védelmi motorok nem blokkolják őket. A támadás további védelmi rétege a dinamikus oldal-obfuszkáció volt. Betöltéskor a rendszer véletlenszerűen generált fejléceket, faviconokat és képeket, hogy ne alakulhasson ki felismerhető „digitális ujjlenyomat”. Ez a módszer hatékonyan kijátssza a statikus mintákra építő detekciós mechanizmusokat, amelyek a hamis oldalak azonosítását HTML vagy vizuális összehasonlítással próbálják megoldani.
A LinkedIn-en keresztül indított phishing hullám jól mutatja, hogy az adathalászat ma már nem kizárólag e-mailes fenyegetés. A támadók a legváratlanabb kommunikációs felületeket is kihasználják, miközben a vállalati biztonsági ökoszisztéma még mindig az e-mail-alapú védelemre koncentrál. Az ilyen típusú támadások elleni védekezéshez elengedhetetlen a felhasználók tudatossága, a böngésző-oldali biztonsági megoldások alkalmazása és a láthatóság kiterjesztése a közösségi csatornákra is.