今週、詐欺師たちはLinkedInの投稿に、プラットフォーム自身からのものに見える偽の「返信」コメントを大量に投稿しており、架空のポリシー違反を警告し、外部リンクへ誘導しています。
これらのメッセージはLinkedInのブランドを巧妙に装い、場合によっては同社公式のlnkd.in URL短縮サービスまで使用しているため、フィッシングリンクを正規のものと見分けにくくしています。
「アカウントへのアクセスは一時的に制限されています」
ここ数日、LinkedInユーザーは、複数のLinkedIn風プロフィールからのボットのような活動により、自分の投稿にコメントされる形で標的にされています。
これらの投稿は、ユーザーがプラットフォームの規定に「準拠しない活動を行った」と虚偽の主張をし、コメント内の指定リンクにアクセスするまでアカウントが「一時的に制限された」としています。
下に示す(そしてこちらにアーカイブされた)LinkedInロゴ付きの捏造返信は、閲覧者がコメント欄をどのように操作しているか、またどのデバイスを使っているかによっては、かなり本物らしく見えます。
作り込まれた返信で生成されるリンクプレビューには、「不正アクセスの可能性の兆候を検知した場合、アカウントを保護するための措置を講じます。これには見慣れない場所からのログインや…」とも記載されています。
上で共有した例では、LinkedInとは無関係な英数字の「.app」ドメインが表示されており、一部のユーザーには不審に映る可能性があります。しかし、別の投稿ではこの誘い文句をさらに一歩進め、LinkedIn公式のURL短縮サービスであるlnkd.inを使ってリンク先を隠し、クリックしない限りフィッシングドメインを見つけにくくしています。特定のデバイスではリンクプレビューが完全に表示されない場合があり、これは特に懸念されます。
このような返信やコメントの例は、Ratko Ivekovic、Jocelyn M.、Candyce Edelen、Adama Coulibalyなど、複数のLinkedInメンバーによって共有されました。
BleepingComputerが確認したvery1929412.netlify[.]appというフィッシングサイトは、まず虚偽の「一時的な制限」について詳述し、制限を解除するには本人確認(「verify」)が必要だと閲覧者に促します。
「Verify your identity(本人確認)」ボタンをクリックすると、さらに別のフィッシングドメインであるhttps://very128918[.]site へ誘導され、実際の認証情報の窃取はそこで行われます。
(BleepingComputer)
LinkedInの企業ページが悪用されている
これらのコメントは、LinkedInの公式ロゴと、プラットフォーム名のバリエーション(例:Linked Very)を用いた偽の企業ページから投稿されています。
Edelenは、過去1週間にプロフェッショナル向けネットワーキングプラットフォーム上に出現した複数の「Linked Very」アカウントを共有しました。
執筆時点では、下に示すページはLinkedInによって削除されています。
LinkedInはこのキャンペーンを把握し、対処中
BleepingComputerは、この継続中のキャンペーンをプラットフォーム側が把握しているかどうかを確認するため、LinkedInに問い合わせました。
LinkedInの広報担当者はBleepingComputerに対し、「この活動を把握しており、当社チームが対応に取り組んでいることを確認できます」と述べました。
「重要な点として、LinkedInはポリシー違反について公開コメントを通じてメンバーに連絡することはなく、今後もありません。また、このような不審な行為に遭遇した場合は、報告することを推奨します。そうすることで、当社が確認し、適切な措置を講じることができます。」
2023年、BleepingComputerは、主要銀行になりすましたアカウントが実在の金融機関に向けられた顧客の苦情に返信し、詐欺師が管理する電話番号へ連絡するよう促すという、説得力のあるX(当時Twitter)の詐欺について最初に報じました。
ユーザーは警戒を怠らず、LinkedInになりすましているように見え、外部リンクのクリックを促すコメント、返信、またはプライベートメッセージには反応しないようにしてください。
