Yeni kimlik avında kullanılan ikna edici LinkedIn yorum-yanıt taktiği

Dolandırıcılar, bu hafta LinkedIn gönderilerini platformun kendisinden geliyormuş gibi görünen sahte “yanıt” yorumlarıyla dolduruyor, kullanıcıları sahte politika ihlalleri konusunda uyarıyor ve onları harici bir bağlantıyı ziyaret etmeye teşvik ediyor.

Mesajlar ikna edici bir şekilde LinkedIn markasını taklit ediyor ve hatta bazı durumlarda şirketin resmi lnkd.in URL kısaltıcısını kullanıyor, bu da kimlik avı bağlantılarının meşru olanlardan ayırt edilmesini zorlaştırıyor.

‘Hesabınıza erişim geçici olarak kısıtlanmıştır’

Geçtiğimiz birkaç gün içinde LinkedIn kullanıcıları, gönderilerine yorum yapan çeşitli LinkedIn temalı profillerden gelen bot benzeri faaliyetlerle hedef alındı.

Bu gönderiler, kullanıcının platformla “uyumsuz faaliyetlerde bulunduğunu” ve yorumda belirtilen bağlantıyı ziyaret edene kadar hesabının “geçici olarak kısıtlandığını” iddia ediyor.

Aşağıda gösterilen ve burada arşivlenen LinkedIn logosunu taşıyan uydurma yanıt, izleyicilerin yorum alanıyla ve hangi cihazla nasıl etkileşim kurduğuna bağlı olarak oldukça ikna edici görünüyor.

Ayrıca hazırlanan yanıtta oluşturulan bağlantı önizlemesi, “Potansiyel yetkisiz erişim belirtileri tespit ettiğimizde hesabınızı korumak için adımlar atıyoruz. Bu, bilinmeyen konumlardan giriş yapılmasını içerebilir veya…” ifadesini de belirtiyor.

Yukarıda paylaşılan örnek, LinkedIn ile ilişkili olmayan ve bazı kullanıcılar arasında şüphe uyandırabilecek alfasayısal bir “.app” alanını göstermektedir. Ancak diğer gönderiler, hedef bağlantıları LinkedIn’in resmi URL kısaltıcısı aracılığıyla maskeleyerek bu cazibeyi bir adım daha ileri götürüyor. lnkd.inkimlik avı alan adlarının üzerlerine tıklamadan tespit edilmesini zorlaştırır. Bu, özellikle bağlantı önizlemesinin belirli cihazlarda tam olarak görünmemesi durumunda endişe verici olabilir.

Bu tür yanıt ve yorumların örnekleri aralarında Ratko Ivekovic, Jocelyn M., Candyce Edelen ve Adama Coulibaly’nin de bulunduğu çok sayıda LinkedIn üyesi tarafından paylaşıldı.

çok1929412.netlify[.]uygulama BleepingComputer tarafından görülen kimlik avı sitesi öncelikle sahte “geçici kısıtlama”yı ayrıntılarıyla anlatıyor ve izleyiciye kısıtlamayı kaldırmak için kimliğini “doğrulaması” gerektiğini tavsiye ediyor:

“Kimliğinizi doğrulayın” butonu tıklandığında kullanıcıyı başka bir kimlik avı alanına yönlendirir. https://çok128918[.]alan kimlik bilgisi toplamanın gerçekte gerçekleştiği yer burasıdır:

LinkedIn Şirket sayfaları kötüye kullanılıyor

Bu yorumlar, LinkedIn’in resmi logosunu ve platformun adının bir varyasyonunu (örn. Linked Very) kullanan sahte şirket sayfalarından gönderilmektedir.

Edelen, geçen hafta profesyonel ağ platformunda ortaya çıkan buna benzer birkaç “Bağlantılı Çok” hesabı paylaştı.

Bu yazının yazıldığı sırada, aşağıda gösterilen sayfa LinkedIn tarafından yayından kaldırılmıştır:

LinkedIn kampanyanın farkında ve mücadele ediyor

BleepingComputer, platformun devam eden bu kampanyadan haberdar olup olmadığını sormak için LinkedIn’e ulaştı.

Bir LinkedIn sözcüsü BleepingComputer’a şunları söyledi: “Bu aktiviteden haberdar olduğumuzu ve ekiplerimizin harekete geçmek için çalıştığını doğrulayabilirim.”

“LinkedIn’in politika ihlallerini kamuya açık yorumlar aracılığıyla üyelerimize bildirmediğini ve bildirmeyeceğini belirtmek önemlidir ve üyelerimizi bu şüpheli davranışla karşılaştıklarında bunu bildirmeye teşvik ediyoruz. Bu şekilde inceleyip uygun eylemi gerçekleştirebiliriz.”

2023’te BleepingComputer ilk olarak, büyük bankaları taklit eden hesapların müşterilerin gerçek kurumlara yönelik şikayetlerine yanıt vererek onları dolandırıcıların kontrol ettiği bir telefon numarasıyla iletişime geçmeye teşvik ettiği ikna edici bir X (daha sonra Twitter) dolandırıcılığını bildirdi.

Kullanıcılar dikkatli kalmalı ve LinkedIn’in kimliğine bürünen ve alıcıları harici bağlantılara tıklamaya teşvik eden yorumlar, yanıtlar veya özel mesajlarla etkileşimde bulunmaktan kaçınmalıdır.