Privacy, Arnaques, Informations sur les menaces

LinkedIn faux LinkedIn exploitent une faille d'Adobe pour suivre leurs victimes

par Pieter Arntz | 27 mai 2026
LinkedIn

Des cybercriminels exploitent l'infrastructure d'Adobe dans le cadre d'une campagne LinkedIn visant à voler des mots de passe, avant de rediriger les victimes vers le LinkedIn officiel LinkedIn .

L'e-mail de hameçonnage se présente sous la forme d'une demande commerciale censée provenir de LinkedIn contient en pièce jointe un faux « contrat ». Il comporte toutefois plusieurs éléments suspects :

  • Le nom de l'expéditeur, son adresse e-mail et sa signature ne correspondent pas
  • L'entreprise expéditrice existe, mais pas aux États-Unis
  • Le nom de l'expéditeur existe, mais pas au sein de cette entreprise
  • La pièce jointe porte une double extension de fichier : pdf.html
Capture d'écran d'un e-mail

« Je souhaiterais faire affaire avec vous via LinkedIn. Je suis acheteur.

Vous trouverez ci-joint le contrat signé n° 33110 : 12 000 pièces.

J'attends avec impatience de vos nouvelles. »

Arnaque ou site fiable ? Scam Guard le sait.

Les doubles extensions de fichier sont souvent utilisées pour faire croire aux destinataires que le fichier est autre chose que ce qu’il est réellement. Le fichier HTML joint est fortement obscurci. En substance, il s’agit d’un code JavaScript d’une seule ligne.

Première partie

Le script utilise deux méthodes courantes d'obfuscation : l'encodage d'URL et le codage Base64. Le script est divisé en deux sections encodées en Base64.

première partie

deuxième partie

Lorsque vous ouvrirez la pièce jointe, vous verrez apparaître un simple formulaire de connexion.

Faux formulaire LinkedIn

L'adresse e-mail de la cible est codée en dur, et il est impossible de la modifier ou de la supprimer. Cela s'explique peut-être par le fait que certains chercheurs n'hésitent pas à inonder le canal de réception de fausses identités.

Mais c'est en identifiant le canal de réception que les choses deviennent intéressantes. L'analyse du réseau révèle cette URL :

https://lnkd.tt.omtrdc.net/rest/v1/delivery

Ce domaine appartient à Adobe et est associé à la plateforme de tests A/B Adobe Target. Cependant, la campagne n'utilise pas Adobe Target pour récupérer les identifiants obtenus par hameçonnage. Les pirates exploitent plutôt Adobe Target comme point de redirection ou de détournement dans le processus d'hameçonnage. Probablement pour suivre les victimes qui ont mordu à l'hameçon de l'e-mail d'hameçonnage.

Au final, cela redirige la cible vers le site légitime business.linkedin.com pour dissiper tout soupçon que la cible pourrait encore avoir.

Après avoir désobfusqué les scripts, nous avons découvert la destination des identifiants transmis :

Site web en PHP en russe

Dans l'ensemble, malgré le niveau de dissimulation, la méthode reste très rudimentaire et simple :

Envoyer à : http://a1263367.xsph.ru/taam/Ln.php

Avec les données :

  • AA = adresse e-mail fixe
  • BB = le mot de passe saisi par l'utilisateur

Le fichier PHP hébergé sur un .ru Le domaine gère la redirection vers LinkedIn, ce qui fait croire à la victime qu'elle vient de se connecter avec succès.

Comment rester en sécurité

La bonne nouvelle : une fois que l'on sait ce qu'il faut rechercher, ces attaques sont beaucoup plus faciles à repérer et à bloquer. La mauvaise nouvelle : elles sont peu coûteuses, facilement adaptables et risquent de continuer à se multiplier.

Alors, la prochaine fois qu'un « PDF » vous demandera votre mot de passe dans un navigateur, prenez le temps de réfléchir à ce qui pourrait se cacher derrière.

Au-delà du fait d'éviter les pièces jointes non sollicitées, voici quelques conseils pour rester en sécurité :

  • Accédez à vos comptes uniquement via les applications officielles ou en saisissant directement l'adresse du site officiel dans votre navigateur.
  • Vérifiez attentivement les extensions de fichiers. Même si un fichier ressemble à un PDF, il peut ne pas en être un.
  • Activezl'authentification multifactoriellepour vos comptes critiques.
  • Utilisez unesolution anti-malwareà jour et en temps réel, dotée d'un module de protection Web.

Conseil de pro :Malwarebytes Guarda identifié cet e-mail comme étant une arnaque.

Les escrocs n'ont pas besoin de pirater votre ordinateur. Il leur suffit que vous cliquiez une seule fois. 

Theft Identity Malwarebytes détecte les activités suspectes avant qu'elles ne posent problème.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Actualités
Le téléphone sur la table

L'entreprise se vantait que les micros des téléphones pouvaient capter les conversations. Ce n'était pas le cas.

Mai 27, 2026

Cox Media a déclaré qu'elle pouvait espionner les utilisateurs via leurs appareils et utiliser ces informations à des fins de publicité ciblée, mais ce n'était pas vrai.

Confidentialité
LinkedIn

LinkedIn faux LinkedIn exploitent une faille d'Adobe pour suivre leurs victimes

Mai 27, 2026

Les hameçonneurs dérobent LinkedIn tout en exploitant Adobe Target pour suivre leurs victimes et les rediriger vers LinkedIn véritables LinkedIn .

Insectes
ClickFix imite Windows

Plus de 700 sites web consacrés à l'éducation et aux technologies ont été piratés dans le cadre d'une vaste campagne de malware ClickFix

Mai 26, 2026

Hackers une faille du CMS Ghost pour afficher de fausses pages de vérification Cloudflare qui poussent les utilisateurs à infecter leur propre ordinateur.

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries