LinkedIn: nowa kampania phishingowa na celowniku finansów — fałszywe zaproszenia do „rady nadzorczej” kradną sesje Microsoft 365 - Security Bez Tabu

LinkedIn: nowa kampania phishingowa na celowniku finansów — fałszywe zaproszenia do „rady nadzorczej” kradną sesje Microsoft 365

Wprowadzenie do problemu / definicja luki

30 października 2025 r. opisano kampanię phishingową wykorzystującą wiadomości bezpośrednie na LinkedIn, w której napastnicy podszywają się pod rekruterów/partnerów inwestycyjnych i „zapraszają” dyrektorów finansowych do dołączenia do zarządu nowo powstałego funduszu. Kliknięcie w link prowadzi do łańcucha przekierowań kończącego się stroną typu Adversary-in-the-Middle (AiTM) kradnącą zarówno dane logowania, jak i tokeny sesyjne Microsoft 365 — skutecznie omijając MFA. Kampanię zidentyfikował i zablokował zespół Push Security; szczegóły opisał BleepingComputer.

W skrócie

  • Wektor dostarczenia: DM na LinkedIn, poza kontrolą bramki e-mail.
  • Przynęta: ekskluzywne zaproszenie do „Executive Board” funduszu „Common Wealth” (w partnerstwie z „AMCO”).
  • Łańcuch: Google open redirect → domeny .icu/.com kontrolowane przez atakujących → landing na Firebase Storage → „View with Microsoft” → Cloudflare Turnstile → fałszywa strona logowania Microsoft (AiTM).
  • Cel: kradzież poświadczeń i tokenów sesyjnych (SSO), przejęcie skrzynki i aplikacji zależnych.

Kontekst / historia / powiązania

To druga w ciągu ~6 tygodni kampania LinkedIn-owa opisana przez Push Security, po wrześniowych spear-phishingach na kadrę kierowniczą firm technologicznych, gdzie użyto podobnych technik: legalnych usług (Google Sites, Microsoft Dynamics), wielowarstwowych przekierowań i mechanizmów antybotowych. Trend wpisuje się w szersze nadużycia „zaufanych” usług (link wrapping, hostingi chmurowe) do maskowania ładunków phishingowych.

Analiza techniczna / szczegóły luki

1) Przynęta socjotechniczna
Wiadomość na LinkedIn obiecuje prestiżową funkcję w radzie nowego funduszu inwestycyjnego, ukierunkowaną na CFO/VP Finance. Tego typu narracja mocno rezonuje z profilami finansowymi, minimalizując czujność i zwiększając CTR.

2) Łańcuch przekierowań i hosting na legalnych domenach
Atak wykorzystuje otwarte przekierowania Google, a następnie domeny jednorazowe (m.in. payrails-canaccord[.]icu, boardproposalmeet[.]com, sqexclusiveboarddirect[.]icu) i finalnie Firebase Storage stylizowany na „LinkedIn Cloud Share”. Taki miks utrudnia analizę URL i reputacji domen.

3) Anty-sandbox / anty-bot
Przed załadowaniem treści ofierze prezentowana jest bramka Cloudflare Turnstile. Rozwiązania tego typu blokują crawlery i automatyczną analizę proxy/SWG, wydłużając żywotność infrastruktur phishingowych.

4) AitM i kradzież sesji
Po przejściu Turnstile serwowana jest strona logowania Microsoft obsługiwana przez zestaw AiTM. Wprowadzenie hasła i przejście MFA skutkuje przechwyceniem cookies / tokenów i możliwością natychmiastowego przejęcia konta oraz downstream SSO (SharePoint, OneDrive, Teams, aplikacje SaaS).

5) TTP: nadużycia „zaufanych” łańcuchów linków
Badania Cloudflare z 2025 r. pokazują, że przestępcy coraz częściej kaskadują przekierowania przez rozpoznawalne usługi (nawet bezpieczeństwa/marketingu), aby zmylić filtry i analitykę. Obserwacja ta dobrze koreluje z bieżącą kampanią. (wniosek na podstawie zewnętrznego raportu)

Praktyczne konsekwencje / ryzyko

  • Zasięg w organizacji: chóć DM trafiają na „konto osobiste” LinkedIn, skutki to kompromitacja tożsamości korporacyjnej (M365/Entra ID) i dostęp do systemów finansowych zintegrowanych przez SSO.
  • Ryzyko wtórne: BEC, zmianę numerów rachunków (vendor fraud), eskalację do działów skarbu i controllingu, a następnie oszustwa płatnicze. FINRA ostrzegała już w 2025 r. o phishingu wymierzonym w sektor finansowy pod parasolem „komunikacji od władz/egzekutywy”.
  • Detekcja utrudniona: brak artefaktów e-mail (SPF/DKIM/DMARC), rotacja domen, legalny hosting i bramki antybot komplikują IOC-based blocking.

Rekomendacje operacyjne / co zrobić teraz

Dla SecOps/Blue Team

  1. Hunting w logach proxy/EDR za wzorcami: Google open-redirect → domeny .icu/.xyz/.top*.firebasestorage.googleapis.com → bramki Turnstile → nietypowe logowania do Microsoft po „MFA success”.
  2. Monitorowanie i unieważnianie tokenów: po incydencie wymuś sign-out of all sessions, rotację refresh tokenów i rejestrację urządzeń zgodnych.
  3. Policy na poziomie przeglądarki: egzekwuj isolation/containment dla niezarządzanych domen chmurowych, włącz blokowanie znanych toolkitów AiTM, inspekcję w przeglądarce (where feasible). Warto rozważyć rozwiązania z detekcją w kontekście renderowanego DOM, a nie tylko reputacji.
  4. SSO app review: przegląd nadanych uprawnień OAuth i „ghost logins”; blokowanie podejrzanych enterprise apps.
  5. DLP & mailroom: reguły prewencyjne dla zmian rachunków dostawców + tryb potwierdzeń „out-of-band” przy przelewach wysokokwotowych (zwłaszcza >50k EUR).

Dla IT/Entra ID/M365

  • Number matching + geofencing w MFA, Conditional Access z wymuszeniem Compliant/Hybrid-joined device dla aplikacji krytycznych, Continuous Access Evaluation i sign-in risk policies.
  • Session controls: krótsze lifetimes dla tokenów, wymuszenie reauth dla akcji wrażliwych, blokada „legacy auth”.
  • Defender for Cloud Apps: polityki anomalii (impossible travel, atypical OAuth consent), z alertem eskalacyjnym dla kont VIP.

Dla użytkowników VIP (CFO, VP Finance)

  • Nie klikaj żadnych linków w DM na LinkedIn w sprawach „stanowisk/rad nadzorczych”. Zawsze weryfikuj out-of-band (telefon do znanej osoby/firmy).
  • Jeśli zobaczysz „View with Microsoft” po nietypowym łańcuchu przekierowań lub captcha przed logowaniem — zgłoś do SOC i przerwij proces.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Klasyczny BEC (CEO fraud) zwykle przychodzi e-mailem i żeruje na zaufaniu do „CEO/CFO”; obecna kampania omija e-mail, atakuje przez LinkedIn i kradnie sesję (AiTM), co daje natychmiastowy dostęp do całego ekosystemu M365 — to istotnie wyższa blast radius.
  • Wcześniejsze kampanie na LinkedIn (wrzesień 2025) również stosowały legalne hostingi i warstwowe przekierowania; obecnie dodatkowo widać nacisk na Turnstile oraz motyw „rady nadzorczej” celujący w finanse.

Podsumowanie / kluczowe wnioski

  • Phishing „poza e-mailem” rośnie — LinkedIn staje się realnym wektorem dla ataków na kadrę finansową.
  • Kombinacja legalnych usług (Google/Firebase), anty-bot i AiTM skutecznie omija tradycyjne kontrole.
  • Obrona wymaga detekcji w przeglądarce/na kliencie, skrócenia lifetime tokenów, twardych Conditional Access, a operacyjnie — huntingu po wzorcach przekierowań oraz higienie tożsamości.

Źródła / bibliografia

  1. BleepingComputer: LinkedIn phishing targets finance execs with fake board invites (30.10.2025). (BleepingComputer)
  2. Push Security: New phishing campaign targeting LinkedIn users (30.10.2025). (Push Security)
  3. Push Security: How Push stopped a high-risk LinkedIn spear-phishing attack (08.09.2025). (Push Security)
  4. Cloudflare: Attackers abusing link wrapping to deliver phishing payloads (30.07.2025). (cloudflare.com)
  5. FINRA Cybersecurity Alert: Ongoing phishing impersonating FINRA executives (20.05.2025). (FINRA)