Estafa de correo electrónico de colaboración de LinkedIn

Los ciberdelincuentes responsables de la estafa de colaboración en LinkedIn intentan engañar a los destinatarios con lo que parece ser una consulta comercial profesional. Los correos electrónicos afirman provenir de un comprador llamado "Jonathan Spriggs" de Storex Trading Ltd., quien supuestamente encontró al destinatario a través de LinkedIn y desea hablar sobre un pedido grande de 12.000 unidades.

Para que el mensaje parezca auténtico, los estafadores mencionan un contrato firmado e instan a los destinatarios a revisar un archivo adjunto. El correo electrónico está redactado cuidadosamente para generar una sensación de legitimidad y urgencia, aumentando así la probabilidad de que los usuarios abran el archivo adjunto sin sospechar nada.

Sin embargo, todo el mensaje es fraudulento y forma parte de una operación de phishing destinada a robar las credenciales de inicio de sesión.

El archivo adjunto malicioso oculto tras un nombre con formato PDF

En lugar de redirigir a las víctimas a un sitio web de phishing externo, los atacantes adjuntan un archivo HTML malicioso llamado 'LinkedIn_Buyer_Contract_33110.pdf.html'. El nombre del archivo es intencionadamente engañoso porque, a primera vista, se parece a un documento PDF inofensivo.

Muchos usuarios pueden pasar por alto la extensión final '.html' y asumir que el archivo es un contrato estándar. En realidad, al abrir el archivo adjunto se ejecuta una página de phishing almacenada localmente directamente en el navegador web del usuario.

Esta táctica permite a los estafadores eludir las sospechas y evitar los enlaces de phishing tradicionales que los sistemas de seguridad de correo electrónico pueden detectar con mayor facilidad.

Cómo funciona la página de inicio de sesión falsa de LinkedIn

Una vez abierto el archivo HTML adjunto, la víctima ve una página de inicio de sesión falsificada de LinkedIn. La página imita la apariencia de LinkedIn utilizando marcas, logotipos y elementos de diseño similares para crear una falsa sensación de autenticidad.

La página fraudulenta afirma que los usuarios deben verificar su identidad ingresando su correo electrónico y contraseña antes de ver el contrato. Dado que el formulario de phishing se ejecuta localmente en el dispositivo de la víctima, en lugar de en un sitio web remoto, algunos usuarios podrían creer erróneamente que es seguro.

Cualquier dato que se introduzca en el formulario se transmite directamente a los estafadores.

LinkedIn no tiene absolutamente ninguna participación en esta operación. Su marca se está utilizando indebidamente con el único fin de manipular a los destinatarios para que confíen en la interfaz de inicio de sesión falsa.

Los riesgos del robo de credenciales de LinkedIn

Las cuentas de LinkedIn comprometidas pueden ser extremadamente valiosas para los ciberdelincuentes. Una vez que los atacantes obtienen acceso, pueden usar la cuenta para múltiples propósitos maliciosos, entre ellos:

• Enviar mensajes de phishing a contactos y conexiones comerciales.

• Recopilación de información profesional o corporativa sensible

• Suplantación de identidad de la víctima en estafas relacionadas con negocios.

• Venta de cuentas comprometidas en mercados clandestinos de ciberdelincuencia.

Dado que los perfiles de LinkedIn suelen contener detalles laborales, información de contacto y relaciones comerciales, una cuenta pirateada puede convertirse en una puerta de entrada a nuevos ataques dirigidos tanto a personas como a organizaciones.

¿Por qué los archivos adjuntos HTML son peligrosos?

Muchos usuarios asocian los archivos adjuntos maliciosos únicamente con archivos ejecutables o descargas de software sospechosas. Sin embargo, los archivos adjuntos HTML se utilizan cada vez más en campañas de phishing, ya que pueden abrir páginas de inicio de sesión engañosas directamente en el navegador.

Los ciberdelincuentes suelen distribuir malware y contenido de phishing mediante archivos adjuntos como documentos de Office, archivos comprimidos, PDF, archivos ejecutables y HTML. En algunos casos, basta con abrir el archivo para que se inicie la actividad maliciosa. Otros ataques pueden requerir que los usuarios habiliten macros, descarguen archivos adicionales o envíen información confidencial manualmente.

Los correos electrónicos de phishing también pueden contener enlaces dañinos que redirigen a los usuarios a sitios web que alojan malware o a portales de inicio de sesión fraudulentos.

Cómo protegerse contra ataques de phishing similares

Los usuarios pueden reducir significativamente el riesgo de sufrir una brecha de seguridad siguiendo varias prácticas esenciales de ciberseguridad:

• Nunca abras archivos adjuntos de correo electrónico inesperados de remitentes desconocidos o sospechosos.
• Inspeccione cuidadosamente los nombres de archivo y esté atento a las extensiones dobles engañosas, como '.pdf.html'.
• Evite introducir sus credenciales de inicio de sesión en páginas que se abren desde archivos adjuntos de correo electrónico.
• Verifique las consultas comerciales a través de los canales de comunicación oficiales de la empresa.
• Utilice la autenticación multifactor para ayudar a proteger las cuentas importantes.
• Elimine inmediatamente los correos electrónicos sospechosos sin interactuar con los archivos adjuntos ni los enlaces.

Reflexiones finales

La estafa del correo electrónico de colaboración de LinkedIn es una sofisticada campaña de phishing disfrazada de propuesta comercial profesional. Al insertar una página de inicio de sesión falsa de LinkedIn dentro de un archivo adjunto HTML malicioso, los atacantes intentan robar las credenciales de los usuarios evitando los métodos tradicionales de detección de phishing.

Los destinatarios no deben confiar en estos correos electrónicos, abrir el archivo adjunto ni proporcionar información de inicio de sesión. Lo más seguro es eliminar el mensaje de inmediato y desconfiar de las ofertas de colaboración no solicitadas que parezcan demasiado urgentes o inusualmente formales.