Onbekende inlog linkedin

Deze heb ik ook inmiddels 2x gehad. Dit is een poging, zo lijkt het inderdaad. Na de eerste keer mijn wachtwoord gewijzigd, na de tweede geen actie en de mail direct verwijderd.

Hier ook 2x, om 18:00 ook uit Bardstown. Lijkt een massale actie dus

Ik krijg hem ook niet. Maar volgens mij klopt de informatie in die email helemaal niet. Om te proberen in te loggen met een eenmalige link heb je uitsluitend een emailadres nodig.

Net zelf geprobeerd. Je gaat naar https://www.linkedin.com/ en klikt rechtsboven op Sign in. Je komt dan op https://www.linkedin.com/...e-basic_nav-header-signin waar je alleen het emailadres invult en het wachtwoord veld leeg laat. Vervolgens druk je de knop Sign in with a one-time link. En de mail komt in je mailbox.

Waarom zou LinkedIn je dan oproepen om je wachtwoord te wijzigen?

Gokje: de mail komt helemaal niet van LinkedIn, maar scammers willen dat je dit gaat geloven.

Ik vermoed dat in een van de volgende, identiek lijkende mails, de link onder de knop naar een nepsite verwijst die als twee druppels water op de inlogpagina van LinkedIn lijkt.

Check altijd grondig de domeinnaam op een inlogpagina en op pagina's waar je wat van downoadt!

Ter vergelijking, momenteel loopt er ook een scam waarbij beheerders van wordpress sites "door wordpress" zouden worden opgeroepen om een plugin op hun site te updaten vanaf sites met lijkt-op domeinnamen (de [ en ] om te voorkómen dat jouw browser er klikbare links van maakt):

echt: us-en.wordpress[.]org/plugins
fake: us.en-wordpress[.]org/plugins
fake: en.us-wordpress[.]org/plugins

Er zijn meer variaties op die fake domeinnamen, zie de vanaf eind 2023 geregistreerde domeinnamen momenteel door Virustotal gelogd op IP-adres 193.32.162.181: https://www.virustotal.com/gui/ip-address/193.32.162.181/relations (de scammers kunnen dit elk moment naar een ander IP-adres verhuizen) dus dat adres blokkeren heeft mogelijk geen zin.

Zie ook deze eerdere reactie van mij.

Anoniem: 1576590 schreef op donderdag 11 januari 2024 @ 01:44:
Gokje: de mail komt helemaal niet van LinkedIn, maar scammers willen dat je dit gaat geloven.

Ik vermoed dat in een van de volgende, identiek lijkende mails, de link onder de knop naar een nepsite verwijst die als twee druppels water op de inlogpagina van LinkedIn lijkt.

Check altijd grondig de domeinnaam op een inlogpagina en op pagina's waar je wat van downoadt!

Ter vergelijking, momenteel loopt er ook een scam waarbij beheerders van wordpress sites "door wordpress" zouden worden opgeroepen om een plugin op hun site te updaten vanaf sites met lijkt-op domeinnamen (de [ en ] om te voorkómen dat jouw browser er klikbare links van maakt):

echt: us-en.wordpress[.]org/plugins
fake: us.en-wordpress[.]org/plugins
fake: en.us-wordpress[.]org/plugins

Er zijn meer variaties op die fake domeinnamen, zie de vanaf eind 2023 geregistreerde domeinnamen momenteel door Virustotal gelogd op IP-adres 193.32.162.181: https://www.virustotal.com/gui/ip-address/193.32.162.181/relations (de scammers kunnen dit elk moment naar een ander IP-adres verhuizen) dus dat adres blokkeren heeft mogelijk geen zin.

Zie ook deze eerdere reactie van mij.

Domeinnaam en andere URLs in de mail verwijzen wel degelijk naar linkedin.com URLs in dit geval, mijn aanname is dat het wel een valide passwordreset aanvraag is geweest, maar dan via een massale actie op basis van uitgelekte e-mail/password combinaties uit het verleden.

Het beste is natuurlijk wel altijd om niet via een link naar een passwordreset te gaan, maar zelf in te loggen op de website en dan je password te resetten als je dat van plan bent (heb ik ook zo gedaan).

Yo-L schreef op donderdag 11 januari 2024 @ 08:42:
Domeinnaam en andere URLs in de mail verwijzen wel degelijk naar linkedin.com URLs in dit geval, [...]

Iedereen die jouw e-mailadres kent kan jou ook mails sturen met daarin (nu nog) links naar de echte LinkedIn.

Hoe luidt de exacte afzender in de mails die jij ontving?

Check ook even je mail provider, kill alle sessies en verander ook daar je wachtwoord. Volgens mij is er een redelijk kritieke session hijack bug actief in gmail.

Heb deze mails de afgelopen 2 dagen ook paar keer gehad. De mail is legitiem en komt van linkedin af. Alles erin klopt incl. de mailheader, spf etc.

Weet ook niet precies wat de aanvaller er mee probeert te bereiken. Al zou ik op de link klikken, dan komen ze er nog niet in omdat dan mijn browser inlogt en niet die van hen.

Heb nog niet gevonden hoe je die sign-in optie kan uitzetten, want het slaat natuurlijk nergens op. Je zet 2FA aan bij ze en dan bieden ze nog steeds zo'n optie, waarbij de inhoud van de mail ook niet helpt om je account beter te beveiligen.

Ik heb deze ook al een aantal keer mogen ontvangen. Op een email adres wat ik helemaal niet gebruik voor linkedin. Heb inderdaad ook nog niet gevonden hoe je deze manier van inloggen uit kan zetten.

Gokje van mijn kant:
Er is ergens een lijst met mailadressen/wachtwoorden gevonden of aangekocht en ze proberen nu random of ze er mee kunnen inloggen. Een wachtwoord dat niet direct werkt voor Linkedin (reeds al gewijzigd, 2fa) proberen ze ook uit op de webmail bij het account (gmail, outlook etc). Door eerst een verzoek met die directe link naar het mailadres te laten verzenden, heb je na inloggen op de mail (wanneeer dat wèl werkt) een seconde nodig om tóch naar Linkedin te komen en daar te gaan harvesten/spammen/trollen/etc. Gelijk de mail weggooien en de eigenaar heeft mogelijk niet eens iets door.

Het is een valide poging om via meerdere pogingen op meerdere manieren in te loggen op jouw accounts. Houd ook andere accounts op social media maar in de gaten

Ik heb zelf ook gewoon MFA ingesteld voor LinkedIn, wellicht kun je dat ook doen.

PageFault schreef op donderdag 11 januari 2024 @ 10:53:
Ik heb zelf ook gewoon MFA ingesteld voor LinkedIn, wellicht kun je dat ook doen.

Verstandig, vooral als je geen sterk wachtwoord hebt.

Maar wat ik lees, o.a. op Reddit, is dat mensen, ook met MFA, nog steeds dit soort mails blijven ontvangen.

Maar let op: mocht mijn theorie kloppen, en je op een gegeven moment een mail met link(s) naar een fake LinkedIn pagina ontvangt, helpt standaard MFA niet (de aanvallers loggen dan met de door jou op die nepsites ingevoerde gegevens onmiddelijk in op jouw LinkedIn account, en "nemen dat over" door wachtwoord etc. te wijzigen).

Ik heb deze aanmeldpoging ook gekregen vanuit dezelfde locatie. Ik vermoed dat er inderdaad een lijst gelekt is of zo en ze proberen mensen te verleiden om de aanmelden als X knop in te drukken. Ik heb nu voor de zekerheid maar MFA aangezet. Ik gebruikte al een willekeurig wachtwoord.

In deze LinkedIn pagina: NL en EN zie ik dat, als de aanvallers een e-mailadres van jou kennen en dat invullen, LinkedIn jou kennelijk zo'n password-reset mail stuurt.

N.a.v. de reactie van @McBurger heb ik geprobeerd om, met een test-e-mailaccount (zonder dat ik überhaupt een LinkedIn account heb), daar een reset-mail op te ontvangen, maar wellicht hebben de aanvallers daar iets op gevonden - bijv. door te proberen een LI account (evt. niet afgerond) aan te maken op een daar nog onbekend account.

Als je een sterk wachtwoord en/of MFA gebruikt zou ik dit soort mails voorlopig negeren. Als je dat niet wilt, dubbelcheck dan altijd de domeinnaam van de pagina waarop je inlogt of jouw wachtwoord wijzigt!

Inderdaad hier gisteravond ook hetzelfde probleem, ook uit de US. Lijkt dus een massale poging te zijn tot het verkrijgen van accounts o.i.d. Hierdoor heb ik echter wel mijn email nagekeken en blijkbaar had ik nooit 2FA aangezet, nu dus maar gedaan en het wachtwoord alsnog gewijzigd naar een ander random ww

Better safe than sorry ( en in mijn geval verbetert het de beveiliging alleen maar )

Anoniem: 1576590 schreef op donderdag 11 januari 2024 @ 01:44:
Gokje: de mail komt helemaal niet van LinkedIn, maar scammers willen dat je dit gaat geloven.

Lees mijn bericht hierboven en je hebt deze mail 30 seconden later in je eigen mailbox.

Jazzy schreef op donderdag 11 januari 2024 @ 13:27:Lees mijn bericht hierboven en je hebt deze mail 30 seconden later in je eigen mailbox.

Zojuist exact wat je schreef twee keer geprobeerd met mijn "publieke" xs4all.nl e-mail alias (te zien onderaan mijn foto op security.nl), maar ik ontvang niks (ook niet in de spam folder, maar ik kan niet uitsluiten dat KPN dit soort mails helemaal blokkeert). Na mijn eerdere pogingen zou er ook geen sprake meer van delays door "graylisting" moeten zijn.

Aanvulling 14:07: nog even via een andere route geprobeerd, weer niks. Mogelijk was het een bug die LI ondertussen heeft gedicht.

Wellicht moet het een gmail of outlook e-mailaccount zijn, wat heb jij gebruikt?

[ Voor 8% gewijzigd door Anoniem: 1576590 op 11-01-2024 14:07 ]

McBurger schreef op donderdag 11 januari 2024 @ 10:02:
Ik heb deze ook al een aantal keer mogen ontvangen. Op een email adres wat ik helemaal niet gebruik voor linkedin. Heb inderdaad ook nog niet gevonden hoe je deze manier van inloggen uit kan zetten.

Bij nader inzicht stond het email adres als secondary adres bij linkedin vermeld; Dus dat verklaart het misschien wel.

McBurger schreef op donderdag 11 januari 2024 @ 15:04:
Bij nader inzicht stond het email adres als secondary adres bij linkedin vermeld; Dus dat verklaart het misschien wel.

Ah, dank je voor de update! Wellicht verklaart dat waarom de test bij mij niet werkte. Ik ben benieuwd of @Jazzy ook met een bij LinkedIn bekend (alternatief) e-mailadres heeft getest...

Anoniem: 1576590 schreef op donderdag 11 januari 2024 @ 15:11:
[...]

Ah, dank je voor de update! Wellicht verklaart dat waarom de test bij mij niet werkte. Ik ben benieuwd of @Jazzy ook met een bij LinkedIn bekend (alternatief) e-mailadres heeft getest...

Nee, ik heb het alleen getest met mijn primaire emailadres. Hetzelfde adres als degene heeft ingevuld waarna ik bovenstaande mail in mijn mailbox kreeg. Overigens had ik op dat moment geen MFA aanstaan op mijn account, misschien dat de inlogoptie met een eenmalige link alleen zonder MFA werkt.

Jazzy schreef op donderdag 11 januari 2024 @ 15:21:
Nee, ik heb het alleen getest met mijn primaire emailadres. Hetzelfde adres als degene heeft ingevuld waarna ik bovenstaande mail in mijn mailbox kreeg.

Heb je ook daadwerkelijk een LinkedIn-account gekoppeld aan dat e-mailadres?

Ja natuurlijk, anders stuurt LinkedIn me toch niet die mail? Ze gaan geen mails met een link om in te loggen op een account sturen als er geen account is.

Met primaire e-mailadres bedoelde ik dus primaire e-mailadres dat bij mijn LinkedIn account hoort, in tegenstelling tot extra e-mailadressen die je zou kunnen koppelen.

Jazzy schreef op donderdag 11 januari 2024 @ 15:36:
Ja natuurlijk, anders stuurt LinkedIn me toch niet die mail?

Okay, ik zie nu dat je in deze post reageerde op mijn 1e reactie, ik was ondertussen wat verder en werd door @McBurger op een onjuist spoor gezet
Maar dat is daarna gecorrigeerd door McBurger.

De aanvallers kennen dus een aan een bestaand LinkedIn account gekoppeld e-mailadres. Mijn theorie van "password-reset-fatigue" blijft staan: op een gegeven moment krijg je een schijnbaar identieke mail, doch niet van LinkedIn, en in die mail een link naar een nepsite - die als twee druppels water op de echte LinkedIn pagina lijkt.

Als het daarbij om een "evil proxy" gaat, helpt zwakke MFA (SMS, TOTP) niet.

Hier gaan weer veel mensen intrappen vrees ik.

Mijn geheugen is behoorlijk slecht, maar wil toch even melden dat ik een hele poos (jaren?) geleden iets soortgelijks meemaakte bij een andere dienst, ik denk Gmail. Ik gelijk alert natuurlijk, maar na enige tijd bleek toen (misschien wel uit een bericht hier op Tweakers) dat de eigen systemen van de dienst meerdere van zulke waarschuwingen triggerden door een verkeerde serverinstelling oid.

Ik meen me te herinneren dat destijds in de waarschuwingen een veelzeggende Californische plaatsnaam werd genoemd, maar in dit geval kan ik niet zo snel iets vinden over LinkedIn-servers in Bardstown...

Gisteren een gehad en 1/2 min geleden weer een. Exact zelfde locatie...

Ik kreeg een halfuur geleden ook zo'n mail, ook met locatie Bardstown, Kentucky. Toevallig, omdat ik eerder in deze draad reageerde zonder dat ik zelf zo'n mail had ontvangen. Nu dus wel.

Ik vond deze link na snel googlen, niet heel behulpzaam maar wel een teken dat het breder speelt:

https://coolmomtech.com/2...mails-bardstown-kentucky/

My educated guess is that this is either 1) a late result of a number of massive data breaches that took place in 2021, with millions of names aggregated with publicly available LinkedIn data for sale on the dark web. Or 2) An intrepid hacker with a database of emails trying to log in to all of them — which triggers those helpful confirmation emails from LinkedIn asking whether or not you asked for a password reset.

Ik heb nog gewoon toegang en heb sowieso een vrij recent wachtwoord, dus ik denk dat ik goed zit.

Update 25 januari: Een poging tot inloggen vanuit Miami. Zou ik nu best willen zitten, is 24 graden daar

[ Voor 7% gewijzigd door Randfiguur op 25-01-2024 11:57 ]

Heb hier inmiddels ook nog eentje binnen gekregen. Via Twitter wat vragen aan LinkedIn proberen te stellen maar loop tegen standaard supportreacties aan. Maakt ook niet uit, maar was wel benieuwd naar een reactie.

Ik krijg deze bijna dagelijks...
Na meerdere malen mijn WW veranderd te hebben, toch maar eens wezen Googlen en direct hier uit gekomen. Dank allen! Gelukkig gebruik ik ook MFA

Jago2 schreef op woensdag 10 januari 2024 @ 19:54:
Hoi, ik ben benieuwd hoe jullie hierover denken;

Een onbekende inlogpoging op linkedin, vandaag om 17:45 vanuit US

Ik gebruik overal random voorgestelde wachtwoorden van google, net zoals dit wachtwoord was.

Op google, werk, en andere mail gebruik ik 2fa, deels authenticator (ms en google)

Op 3 plekken gebruik ik mijn google account:
Werk - vrij streng beveiligingsbeleid en cylance
Thuis - frisse windows instalatie met vrij weinig extra applicaties, wel android studio, eset antivirus
Android telefoon - geen antivirus oid, vooral bekende apps uit play store, de enige onbekende apps zijn die ik zelf in android studio maak.

Linkedin gebruik ik vrijwel nooit, als ik al eens inlog is dat vanuit mijn eigen devices.

Nu, rara, hoe kan dit?

Screenshot is van de mail, deze lijkt legit en links verwijzen naar linkedin.com (ik heb het w8woord uiteraard aangepast, zelf naar linkedin.com gegaan)

[Afbeelding]

Hier nu ook...

dragon2 schreef op woensdag 27 maart 2024 @ 16:09:
[...]


Hier nu ook...

[Afbeelding]

Euhm, ja net als bij tientallen anderen in dit topic, heb je dat überhaupt gelezen? Dit voegt verder niets toe toch?

Jago2 schreef op woensdag 27 maart 2024 @ 14:39:
Ja, het blijft doorgaan lijkt het. Zou LinkedIn toch eens wat aan moeten doen.
Bij mij gaat alle linkedin nu direct de spam in (dat is sowieso lekker rustig)

Als ik jou was, zou ik de meldingsinstellingen van LinkedIn gewoon aanpassen. Netste oplossing.

Edit: Nu krijg ik een mail waarin de "approximate location" Moskou is. Ik ga LinkedIn binnenkort ook maar eens contacten..

[ Voor 14% gewijzigd door Randfiguur op 28-03-2024 08:50 . Reden: aanvulling ]