职业社交招聘平台LinkedIn依然是网络钓鱼的最爱
网络安全公司Check Point最新公布的统计数据显示,面向专业人士的社交平台LinkedIn(领英)连续第二个季度位居网络钓鱼活动榜首,微软、DHL、亚马逊和苹果在最常被网络钓鱼利用的品牌榜跻身前五(下图):
与今年第一季度相比,LinkedIn假冒率从52%下降到45%。然而,依然遥遥领先第二名微软的13%。
网络钓鱼对微软品牌的利用主要是欺骗用户验证Outlook帐户以窃取用户名和密码。
电商和物流依然是网络钓鱼的重灾区,DHL以12%的假冒比例位居榜单第三位,亚马逊升至第四位,从2022年第一季度的2%跃升至本季度的9%。
苹果以3%位居第五,与上一季度的0.8%相比也有显着增长。
研究人员说,就亚马逊而言,网络钓鱼电子邮件试图窃取目标的账单信息,包括完整的信用卡数据。
亚马逊钓鱼页面 来源:checkpoint
LinkedIn是网络钓鱼的最爱
报告指出,使用虚假LinkedIn电子邮件的网络钓鱼活动试图模仿从平台向其用户发送的常见消息,例如“您本周出现在8位搜索者中”或“您有一条新消息”。
发件人地址被假冒,看起来好像邮件是自动发送的,或者来自技术支持部门甚至安全部门。
这些活动中使用的一些诱饵包括针对LinkedIn Pro专业会员服务的虚假促销、虚假政策更新,甚至威胁“未经验证的客户”终止帐户。它们都指向一个网络钓鱼网页,要求受害者输入他们的LinkedIn凭据,从而使攻击者能够接管这些帐户(下图):
通过访问LinkedIn帐户,攻击者可以部署有针对性的网络钓鱼活动,以接触受害者的同事或他们连接网络中的有价值的个人。
定位LinkedIn帐户的另一个原因是它们可用于设置虚假的工作机会活动。在最近的一个例子中,朝鲜黑客以高薪岗位招聘作为诱惑,欺骗某著名区块链游戏开发商的员工下载恶意PDF,并进而窃取了价值6.2亿美元的加密货币。
报告地址:
