Phishing via LinkedIn neemt toe met geavanceerde aanvalstactieken

In dit artikel:

Beveiligingsbedrijf Push onderschepte onlangs een geavanceerde phishingcampagne die LinkedIn als vector gebruikte in plaats van e-mail. Aanvallers stuurden een kwaadaardige link via een LinkedIn-bericht; na het klikken doorliep het slachtoffer een keten van redirects (o.a. via Google Search en payrails-canaccord[.]icu) voordat een aangepaste landingspagina op firebasestorage.googleapis[.]com werd geladen. Die pagina imiteerde Microsoft en stal zowel inloggegevens als de MFA-token via een Adversary‑in‑the‑Middle (AiTM)-aanpak, waardoor aanvallers volledige Microsoft-sessies en daarmee gekoppelde single-sign-on‑services konden overnemen.

De campagne gebruikte meerdere lagen van detectie‑ontwijking: het verbergen van het schadelijke eindpunt achter vertrouwde domeinen om linkscans te omzeilen; inzet van Cloudflare Turnstile als bot‑challenge zodat geautomatiseerde scanners de pagina niet volledig zien; en dynamische randomisatie en obfuscatie van pagina-elementen die tijdens runtime worden ingeladen, waardoor statische fingerprinting faalt. Push kon de aanval realtime detecteren terwijl de pagina in de browser werd opgebouwd.

De zaak onderstreept dat organisaties een blinde vlek hebben zodra aanvallers sociale zakelijke platformen inschakelen—medewerkers gebruiken LinkedIn vaak op zakelijke apparaten en traditionele e-mailbeveiliging ziet dergelijke berichten niet. MFA alleen biedt geen volledige bescherming tegen AiTM-technieken. Aanbevelingen zijn onder meer het uitbreiden van detectie en link‑scanning naar collaboration‑platformen, inzet van phishing‑resistente authenticatiemethoden (zoals FIDO‑securitykeys), strengere conditional access‑regels en bewustwordingstraining voor werknemers over verdachte LinkedIn‑verzoeken.