Falsche GoogleDoc-Einladung macht bei LinkedIn die Phishing-Runde

Noch unbekannte Betrüger nutzen derzeit kompromittierte LinkedIn-Konten, um von dort aus Phishing-Links zu versenden. Entdeckt hatte das Phänomen das US-Sicherheitsunternehmen Malwarebytes, die nun Tipps gegen die Datenangler verbreiten. Phishing-Attacken über verwaiste LinkedIn-Konten treten derzeit massiv auf. So berichtet das US-Unternehmen Malwarebytes in seinem Security-Blog über die Auswüchse, die diese Phishing-Welle derzeit angenommen hat. Die Gauner haben es dabei auf die Login-Daten von Google-, AOL- und Yahoo-Mail-Accounts abgesehen und fragen zudem nach den Telefonnummern ihrer Opfer. Auf den ersten Blick erkennbar sind die Betrugsabsichten dabei nicht. Laut Malwarebytes nutzen die Unbekannten dafür Konten von LinkedIn-Nutzern, die kompromittiert wurden.
Die Links kommen als GoogleDoc-Einladung mit einem 'Security-Hinweis'... ... und führen zu einer nachgebauten Google-Login-Seite.

InMail-Funktion genutzt

Woher die Betrüger den Zugriff zu diesen Konten erhielten ist noch unklar - das Karrierenetzwerk hatte aber in den letzten Monaten immer wieder Schlagzeilen aufgrund gehackter Datenbanken gemacht. Nun wird über diese Konten, darunter auch bezahlte Premium-Accounts, sowohl an Kontakte als auch an andere Mitglieder des Netzwerks über die InMail-Funktion eine Phishing-Falle gestellt.

Falsche Login-Seite

In der Mail wird vorgegaukelt, dass es sich dabei um eine Einladung zu einem geteilten Dokument bei Google Docs handelt. Der mitgesendete Link ist jedoch ein über den Linkverkürzer-Dienst Ow.ly versteckter Link zu einem nachgebauten Anmeldefenster von Google. Meldet sich der Nutzer dann dort an, haben die Phisher ihr Ziel erreicht und die Login-Daten eines weiteren unbedarften Opfers abgegriffen. Alternativ fragt die falsche Anmeldeseite nach einem AOL- oder Yahoo-Login und bittet den Nutzer aus "Sicherheitsgründen" seine Telefonnummer zu hinterlassen.

Diese Taktik ist natürlich nicht neu. Ähnliche Phishing-Wellen gibt oder gab es auch schon bei Facebook oder anderen Diensten. Erkennbar sind solche Attacken am einfachsten mit einem Blick auf die Ziel-URL. In dem Fall der LinkedIn-Konten wie folgt verknüpft:

Dabei ist die Phishingseite selbst auch in eine gehackte Domain eingebunden. Im Browser wird die URL als vertrauenswürdig eingestuft. Ein Blick auf die URL lässt aber deutlich erkennen, das man nicht bei Google gelandet ist. Solang man nun nicht seine Daten eingibt, ist noch nichts schlimmes passiert.

Viele Nutzer klicken den Link

Wie erfolgreich ein solcher Versuch sein kann, zeigt die eingebundene Statistik von ow.ly. Malwarebytes hatte sich den von einem gehackten LinkedIn-Konto versendeten Link angeschaut und schon nach kurzer Zeit 256 Klicks auf den falschen GoogleDoc-Link gezählt.