Soziale Medien sind natürlich darauf ausgelegt, sich zu verbinden, aber legitime Methoden können missbraucht werden. Ein solcher Missbrauchsfall, der derzeit läuft, betrifft Linktree, eine Art Meta-Medium für Social-Media-Nutzer mit vielen Konten. Wenn Sie mit Linktree nicht vertraut sind, was, wie wir betonen, ein legitimer Service ist, beschreibt das Unternehmen hier, was es Sie tun lässt. „Verbinden Sie Ihre TikTok, Instagram, Twitter, Website, Shop, Videos, Musik, Podcast, Veranstaltungen und mehr“, sagt Linktree. „Alles kommt in einem Link in einer Bio-Landingpage zusammen, die zum Konvertieren entwickelt wurde“. Und Sie können „kostenlos loslegen“.
Forscher von Avanan haben herausgefunden, dass Kriminelle Linktree als Mittel nutzen, um Menschen zu kontaktieren, die sie anschließend dazu veranlassen, ihre Anmeldeinformationen aufzugeben. Es ist ein Imitationsbetrug mit einer Phishing-E-Mail als anfänglichem Angriffsvektor. „Bei diesem Angriff“, schreibt Avanan, „er erstellen Hacker legitime Linktree-Seiten, um bösartige URLs zu hosten, um Anmeldeinformationen zu sammeln“.
Bei diesem Angriff erhalten Endbenutzer eine E-Mail mit einer gefälschten Microsoft OneDrive- oder Sharepoint-Benachrichtigung, dass eine Datei mit ihnen geteilt wurde, und weisen sie an, die Datei zu öffnen. Die URL, der der Empfänger folgen soll, ist oberflächlich plausibel, kann aber bei näherer Betrachtung als der Betrüger angesehen werden.
„Die URL in der E-Mail leitet die Opfer auf die Linktree-Seite um. Hier hat der Hacker eine einfache Schaltfläche erstellt, die sie auf die dritte und letzte Seite umleitet. Schließlich wird der Benutzer zu dieser gefälschten Office 365-Anmeldeseite weitergeleitet, auf der er aufgefordert wird, seine Anmeldeinformationen einzugeben. Natürlich werden diese Anmeldeinformationen dort umgehend gestohlen“.
Es ist ein weiterer Fall, in dem ein legitimer Dienst auf eine Weise missbraucht wird, die sich in der Regel der Erkennung durch technische Bildschirme entziehen. Es ist Linktree, oder? Was könnte schief gehen? Scheint legitim zu sein. Dies ist ein weiterer Fall, in dem das Sicherheitsbewusstseinstraining der neuen Schule die Benutzer darin schulen kann, auf die Möglichkeit von Betrügereien aufmerksam zu sein. Ein bewusster Benutzer ist die ultimative Verteidigung gegen Social Engineering.
Avanan hat die Geschichte.
Kostenloser Phishing-Sicherheitstest
Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.
Und so funktioniert’s:
- Starten Sie sofort Ihren Test für bis zu 100 Benutzer
- Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
- Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
- Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
- Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
- Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.