职业社交招聘平台LinkedIn依然是网络钓鱼的最爱

网络安全公司Check Point最新公布的统计数据显示,面向专业人士的社交平台LinkedIn(领英)连续第二个季度位居网络钓鱼活动榜首,微软、DHL、亚马逊和苹果在最常被网络钓鱼利用的品牌榜跻身前五(下图):

与今年第一季度相比,LinkedIn假冒率从52%下降到45%。然而,依然遥遥领先第二名微软的13%。

网络钓鱼对微软品牌的利用主要是欺骗用户验证Outlook帐户以窃取用户名和密码。

电商和物流依然是网络钓鱼的重灾区,DHL以12%的假冒比例位居榜单第三位,亚马逊升至第四位,从2022年第一季度的2%跃升至本季度的9%。

苹果以3%位居第五,与上一季度的0.8%相比也有显着增长。

研究人员说,就亚马逊而言,网络钓鱼电子邮件试图窃取目标的账单信息,包括完整的信用卡数据。

亚马逊钓鱼页面 来源:checkpoint

LinkedIn是网络钓鱼的最爱

报告指出,使用虚假LinkedIn电子邮件的网络钓鱼活动试图模仿从平台向其用户发送的常见消息,例如“您本周出现在8位搜索者中”或“您有一条新消息”。

发件人地址被假冒,看起来好像邮件是自动发送的,或者来自技术支持部门甚至安全部门。

这些活动中使用的一些诱饵包括针对LinkedIn Pro专业会员服务的虚假促销、虚假政策更新,甚至威胁“未经验证的客户”终止帐户。它们都指向一个网络钓鱼网页,要求受害者输入他们的LinkedIn凭据,从而使攻击者能够接管这些帐户(下图):

通过访问LinkedIn帐户,攻击者可以部署有针对性的网络钓鱼活动,以接触受害者的同事或他们连接网络中的有价值的个人。

定位LinkedIn帐户的另一个原因是它们可用于设置虚假的工作机会活动。在最近的一个例子中,朝鲜黑客以高薪岗位招聘作为诱惑,欺骗某著名区块链游戏开发商的员工下载恶意PDF,并进而窃取了价值6.2亿美元的加密货币。

报告地址:

https://blog.checkpoint.com/2022/07/19/linkedin-still-number-one-brand-to-be-faked-in-phishing-attempts-while-microsoft-surges-up-the-rankings-to-number-two-spot-in-q2-report/

前一篇网络安全的下一个焦点:横向创新网络安全的下一个焦点:横向创新
后一篇防守队:为什么我们什么都做了,攻防演习还是输了?