Thought Leadership
Eine neue Phishing-Kampagne nutzt täuschend echte LinkedIn-Benachrichtigungen, um Nutzer auf gefälschte Login-Seiten zu locken.
Sicherheitsforscher des Cofense Phishing Defense Center haben eine Phishing-Kampagne analysiert, bei der Angreifer täuschend echte LinkedIn-Benachrichtigungen verschicken, um Zugangsdaten zu stehlen. Die gefälschten E-Mails sind kaum von echten Nachrichten der Plattform zu unterscheiden.
So läuft der Angriff ab
Die Masche ist im Grunde simpel, aber effektiv: Die Opfer bekommen eine E-Mail, die exakt wie eine typische LinkedIn-Benachrichtigung über eine neue Nachricht aussieht. Logo, Schriftart, Layout, alles passt. Im Nachrichtentext gibt sich der angebliche Absender als Mitarbeiter eines renommierten Unternehmens aus und drängt auf eine schnelle Kontaktaufnahme wegen einer geschäftlichen Möglichkeit. Also das übliche Social-Engineering-Programm: Neugier wecken, Zeitdruck erzeugen, zum Klicken verleiten.
Laut Cofense-Analyst Enrico Silverio ist genau das die besondere Gefahr: „Ein Moment der Neugier oder Dringlichkeit reicht aus, damit ein Angriff erfolgreich ist.” Drei prominent platzierte Buttons in der E-Mail sollen den Eindruck erwecken, man könne direkt auf die Nachricht reagieren. Tatsächlich führen alle drei auf eine gefälschte LinkedIn-Loginseite, die dem Original zum Verwechseln ähnlich sieht. Wer dort seine Daten eingibt, überreicht sie direkt den Angreifern.
Wer genau hinschaut, erkennt die Fälschung
Ganz spurlos arbeiten die Angreifer dann aber doch nicht. Die Absenderadresse stammt von der Domain “khanieteam.com”, die mit LinkedIn nichts zu tun hat und zum Zeitpunkt der Analyse erst wenige Tage alt war. Auch die Phishing-Seite verrät sich über ihre URL: Die Domain “inedin.digital” wurde offenbar bewusst gewählt, weil sie bei flüchtigem Hinsehen an “LinkedIn” erinnert. Registriert war sie allerdings erst seit zwei Monaten, ein weiteres klares Indiz für böswillige Absichten. Wie Silverio schreibt, haben die Angreifer den Domainnamen gezielt so gewählt, dass er „bekannte Buchstabenmuster wie ‘in’ und ‘din’ wiederholt”, um Nutzer bei einem flüchtigen Blick zu täuschen.
Silverio warnt: „Bedrohungsakteure entwickeln sich sowohl in ihrer technischen Raffinesse als auch in ihrer Hartnäckigkeit weiter.” Selbst alltägliche Benachrichtigungen, über die man normalerweise kaum nachdenkt, können als Einfallstor dienen. Ein kurzer Blick auf die Absenderadresse und die URL der Zielseite bleibt nach wie vor der zuverlässigste Schutz, auch wenn die restliche Aufmachung noch so überzeugend wirkt.
