Il messaggio fraudolento include un riferimento a un documento condiviso e un link che reindirizza a un sito di phishing per Gmail e altri provider di posta elettronica che richiedono l’accesso a potenziali vittime. Quanti procedono con quanto richiesto vedranno rubati il loro nome utente, password e numero di telefono, ma non si renderanno conto di essere stati ingannati. In modo subdolo, questa truffa di phishing è accompagnata da una nota con un documento falso.
I messaggi di phishing in questione utilizzano lo short link del servizio ow.ly e il provider di hosting gratuito gdk.mx per reindirizzare alla pagina di phishing, che è ospitata su un sito Web compromesso.
Sarebbero stati individuati anche gli aggressori che abusano del servizio InMail di LinkedIn per inviare lo stesso link. E, tra le altre cose, ospita un piè di pagina di sicurezza personalizzato per aggiungere autenticità alla truffa. Sebbene il meccanismo di consegna possa essere considerato attendibile in questo caso, il contenuto assolutamente non lo è e deve essere evitato.
Lo stesso si può dire per le pagine di phishing che utilizzano HTTPS, rendendo la consegna dei contenuti sicura ma il contenuto stesso fraudolento. InMail può essere inviato solo dagli account Premium, il che significa che i phisher hanno compromesso uno di questi per aiutare la loro campagna di attacco fraudolento.
Tuttavia, dicono gli esperti, non è noto quanti malware o altri attacchi di phishing o, ancora, quanti account di LinkedIn siano stati compromessi. Non è nemmeno chiaro se gli URL abbreviati siano unici per account compromesso o no.
E’ consigliabile, dunque, verificare se il proprio account è stato compromesso per rivedere e modificare immediatamente i propri accessi e attivare l’autenticazione a due fattori, oltre a pubblicare un aggiornamento esplicativo per consentire ai contatti di sapere cosa è successo.