求職者在心理上是很脆弱的，他們?cè)敢馓峁┤魏文軌颢@得工作的個(gè)人信息，他們是社會(huì)工程學(xué)攻擊的主要目標(biāo)。隨著最近員工大面積的辭職，網(wǎng)絡(luò)犯罪分子很容易針對(duì)他們進(jìn)行攻擊。

僅僅從2月1日開始，安全研究專家就發(fā)現(xiàn)冒充LinkedIn的釣魚郵件攻擊次數(shù)激增了232%，攻擊者試圖欺瞞求職者交出他們的證書。

Egress的一份新報(bào)告說："目前的就業(yè)趨勢(shì)非常有助于攻擊者開展這種攻擊。2021年有創(chuàng)紀(jì)錄數(shù)量的美國(guó)人離開了他們的工作崗位，尋找新的工作崗位。這些網(wǎng)絡(luò)釣魚攻擊的手段就是利用了求職者的迫切求職心理。”

Egress團(tuán)隊(duì)說，這些郵件的主題對(duì)于一個(gè)希望得到關(guān)注的求職者來說很有誘惑力，比如 "誰在網(wǎng)上搜索你"，"你本周出現(xiàn)在4個(gè)搜索中"，甚至是 "你有一條新消息"。

報(bào)告補(bǔ)充說，這些釣魚郵件本身看起來就非常令人信服，攻擊者在HTML模板中內(nèi)置了LinkedIn的標(biāo)志、顏色和圖標(biāo)。分析師說，騙子還在釣魚郵件的正文中提到了知名公司，包括美國(guó)運(yùn)通和CVS Carepoint，這樣可以使得郵件看起來更加合法。

有分析師指出，甚至電子郵件的頁腳也引用了該公司的總部地址，還包括了 "退訂 "鏈接，增加了電子郵件的真實(shí)性。

報(bào)告說："你還可以看到在LinkedIn中偽造的顯示名，這樣可以隱藏發(fā)動(dòng)攻擊的網(wǎng)絡(luò)郵件賬戶?！?/p>

一旦受害者點(diǎn)擊了電子郵件中的惡意鏈接，他們就會(huì)被引導(dǎo)到一個(gè)網(wǎng)站，在這里可以獲取他們的LinkedIn賬號(hào)和密碼。

安全分析師補(bǔ)充說："雖然郵件顯示的名字是LinkedIn，而且釣魚郵件都遵循類似的模式，但這些釣魚攻擊是從不同的網(wǎng)絡(luò)郵件地址發(fā)出的，彼此之間沒有任何的關(guān)聯(lián)性。目前，還不知道這些攻擊是由一個(gè)網(wǎng)絡(luò)犯罪分子在進(jìn)行，還是由一個(gè)團(tuán)伙共同運(yùn)作。"

LinkedIn通過媒體表示，我們的內(nèi)部團(tuán)隊(duì)正在對(duì)那些試圖通過網(wǎng)絡(luò)釣魚來攻擊LinkedIn用戶的犯罪分子采取行動(dòng)。我們鼓勵(lì)用戶報(bào)告可疑的信息，并幫助他們了解更多保護(hù)自己的措施，比如啟用兩步驗(yàn)證措施等。

對(duì)求職者的數(shù)據(jù)進(jìn)行搜集

Imperva在一份報(bào)告中詳細(xì)介紹了它是如何阻止一場(chǎng)迄今為止針對(duì)一個(gè)招聘網(wǎng)站的最大僵尸攻擊的。

Imperva沒有具體指出該公司的名字，但該公司表示，它在四天內(nèi)被40萬個(gè)獨(dú)立的IP地址發(fā)出的4億個(gè)僵尸請(qǐng)求輪番轟炸，這些請(qǐng)求試圖搜集其所有求職者的數(shù)據(jù)。

Imperva團(tuán)隊(duì)補(bǔ)充說，這些類型的網(wǎng)絡(luò)攻擊很常見，可能會(huì)導(dǎo)致網(wǎng)站轉(zhuǎn)換率降低，營(yíng)銷分析出現(xiàn)偏差，SEO排名下降，網(wǎng)站延遲，甚至停機(jī)(通常由攻擊性訪問造成的)。

但正如Imperva在其報(bào)告中指出的那樣，數(shù)據(jù)搜集是目前網(wǎng)絡(luò)安全的灰色地帶之一。收集公開可用的信息本身并不是數(shù)據(jù)泄露，但大量被收集的信息可以成為社會(huì)工程學(xué)中針對(duì)用戶進(jìn)行攻擊的有力武器。

去年夏天，在針對(duì)LinkedIn的大規(guī)模數(shù)據(jù)搜集攻擊中發(fā)現(xiàn)至少收集了12億條用戶記錄，這些記錄后來被賣到了地下論壇。當(dāng)時(shí)，LinkedIn重申，被竊取的數(shù)據(jù)是公共信息，而不是私人信息，因此不屬于違規(guī)行為。

nVisium的高級(jí)軟件工程師認(rèn)為，LinkedIn在這里并沒有什么過錯(cuò)。

nVisium解釋說："這與LinkedIn沒有什么關(guān)系，他們?cè)谶@里并沒有做錯(cuò)什么。我們可以看到，LinkedIn目前有數(shù)億會(huì)員。其中許多人都經(jīng)?？吹絹碜訪inkedIn的合法電子郵件，并且很可能不可避免地在沒有仔細(xì)檢查每封電子郵件是否是真實(shí)的情況下進(jìn)行點(diǎn)擊。"

這就要使個(gè)人用戶注意他們公開暴露的信息，以及這些信息是如何用來欺騙他們點(diǎn)擊惡意鏈接的。

網(wǎng)絡(luò)安全專家認(rèn)為，雖然我不相信這將會(huì)損害LinkedIn的形象，但這確實(shí)讓人們看到了電子郵件釣魚的危害性，由于這些電子郵件都來自合法的LinkedIn電子郵件地址，因此特別難以識(shí)別危險(xiǎn)性。我的原則是，永遠(yuǎn)不要點(diǎn)擊電子郵件中的任何鏈接。

本文翻譯自：https://threatpost.com/massive-linkedin-phishing-bot-attacks-hungry-job-seekers/178476/