行业新闻与博客

LinkedIn 网络钓鱼:这就是为什么我们不能拥有好东西

LinkedIn 已成为网络钓鱼最大的资源之一。

 随着社交媒体在过去十五年中不断发展,LinkedIn 已成为商业社区不可或缺的一部分。它是“专业人士”的平台,促进营销,招聘和其他一系列业务。这非常方便。但是这种便利与风险有关。

其中一个特别是 LinkedIn 网络钓鱼。 

在过去,我们已经讨论过 LinkedIn 如何成为鱼叉式网络钓鱼的重要资源,为犯罪分子提供有关目标和公司的有用信息。但这只是关于 LinkedIn 网络钓鱼的冰山一角。 

那么,今天我们将讨论一些更受欢迎的 LinkedIn 网络钓鱼排列,为什么 LinkedIn 对于网络钓鱼者(钓鱼者?phisherpersons?Bueller?)是如此有吸引力的选择,以及如何确保不被它陷入困境。


为什么要通过 LinkedIn 进行网络钓鱼


想要弄清楚为什么 LinkedIn 有助于追求网络钓鱼,并不是所有的精神上都在征税。LinkedIn 为网络钓鱼者提供了丰富的信息。人们也更倾向于信任 LinkedIn,而不是信任其他社交媒体网站。


 具体来说,我们将其提炼为三个主要因素: 


人们相信 LinkedIn - 正如我们刚刚所说,人们倾向于将一定程度的专业性和信任与其他网站不喜欢的 LinkedIn 联系起来。据 Business Insider 称,LinkedIn 是最值得信赖的社交媒体网站。当你信任某事时,这种自然倾向就是让你的警惕,这正是罪犯所依赖的。 


缺乏经过验证的状态 - 虽然 LinkedIn 提供的高级帐户在人们的个人资料页面上显示一些“IN”徽标,但这与提供经过验证的身份不同。任何人都可以支付高级会员资格。虽然 Twitter 和 Facebook 等其他网站在验证人员的名字旁边进行了一些检查,但 LinkedIn 却没有。这让犯罪分子的水变得混乱。 

企业数据很有价值 - LinkedIn 上提供的信息非常有用。您不仅要了解个人,还要了解他们所从事的公司,甚至是他们正在进行的对话。 


如果你想进行鱼叉式钓鱼,让我们来看看你能从 LinkedIn 收集到什么。鱼叉式网页钓鱼是网络钓鱼的某种变体,您可以根据特定的个人定制攻击,通常冒充同事,招募人员或目标可能合理信任的人。

显然,这包括以下内容:

  • 名称 
  • 就业地点 
  • 位置 
  • 其他连接 

但即使像公司电子邮件地址这样简单的事情也可以被利用。怎么样?电子邮件地址的风险是否相当低?通常,但如果您的公司与我们的公司一样,则在分配电子邮件地址时会使用某些语法约定。许多组织都这样做 我们使用员工的名字和姓氏,用句点分隔。对于其他组织,它可能是第一个姓名或姓氏或其他变体。 


犯罪分子可以看到他们看到您的电子邮件地址,然后用它来计算公司内的其他地址。您可能会看到它可能有多大用处。 


甚至像人们共享的内容和更新之类的东西也可以用来对付它们。比如说目标已经发布了很多关于新软件推出的更新。现在,犯罪分子知道一个可以用来吸引目标注意力的话题 - 他们正在谈论的事情 - 进一步提高他们成功的几率。 


但正如我们在本文开头所述,事情已经发展得很好,只是使用某人的 LinkedIn 个人资料和连接来收集鱼叉式钓鱼操作的数据。


 让我们从声称来自 LinkedIn 的网络钓鱼开始,然后转向在 LinkedIn 上完成的网络钓鱼。


 LinkedIn 网络钓鱼:发现虚假的 LinkedIn 电子邮件 


好的,现在我们已经涵盖了可以从 LinkedIn 收集的所有信息,让我们来谈谈人们如何使用该平台进行网络钓鱼 - 从声称来自 LinkedIn 的电子邮件开始。 


让我们使用 KnowBe4 的一个例子,它位于 Clearwater 的路上(向 Tampa Bay 地区大喊):


 今年早些时候,1月3日发送了大量的 LinkedIn 垃圾邮件,很多人在当天的某个时刻发送了所有恶意电子邮件的 25%,这些都是这些 LinkedIn 网络钓鱼诈骗。 


根据思科发送有关电子邮件的通知:


 从今天早上 10 点开始,网络犯罪分子发送针对 LinkedIn 社交媒体社区的垃圾邮件。 


受害者通过电子邮件发送警报链接,其中包含虚构的社交媒体联系请求。这些邮件占 15 分钟内发送的所有垃圾邮件的 24%。点击该链接,受害者将被带到一个网页,上面写着“请等待......”。4 SECONDS“并将它们重定向到 Google。在这四秒钟内,受害者的 PC 通过偷渡式下载感染了 ZeuS 数据窃取恶意软件。ZeuS 将自己嵌入受害者的网络浏览器中并捕获个人信息,例如网上银行凭证,并被犯罪分子广泛用于盗窃商业银行账户。


 组织应鼓励个人删除此类请求,尤其是在他们不知道联系人姓名的情况下。这是本月发生的第二次垃圾邮件攻击,几周之前是“Here You Have”电子邮件蠕虫。思科希望看到更多垃圾邮件包含发送给组织的恶意软件以收集个人信息。


 这只是许多使用电子邮件误导人们的尝试之一,这些电子邮件看起来像是来自 LinkedIn。这种品牌网络钓鱼并不是什么新鲜事,但它非常有效。


 我们使用 KnowBe4 示例(超出整个 Bay Area 连接)的原因是 KnowBe4 为组织提供网络钓鱼模拟,它提供了关于这些活动效果的精彩数据点。


 在 KnowBe4 的模拟中,LinkedIn 被用于 56%的顶级钓鱼邮件中。


 如何发现假的 LinkedIn 电子邮件 


有一些可靠的提示,试图辨别一封电子邮件是否真的来自 LinkedIn,但我们推荐的只有一个简单的建议。以下是一些提示,首先: 

  • 检查发件人的域名,而不仅仅是它所说的是谁,而是源自它的实际地址。如果域名没有说 LinkedIn,垃圾邮件。 
  • 语法和拼写问题。LinkedIn 是一家价值数十亿美元的公司,它不会发送措辞不好或语法错误的电子邮件。期。 
  • 检查徽标和品牌,LinkedIn 非常注重美学。过时的徽标和格式问题是一个死的赠品。
  •  将鼠标悬停在光标的任何链接上,并确保它们解析为 LinkedIn 网址。这应该是另一个死的赠品。 

另外,相信您的垃圾邮件过滤器 如果您的垃圾文件夹中有电子邮件,则可能是有原因的。制定规则以信任源自适当域的 LinkedIn 通知,并信任您的过滤器以完成其工作。 


根据 LinkedIn 的说法,它发送给你的任何合法电子邮件都会包含一个独特的告诉标志:

 在我们给您的消息中,我们在您的姓名和专业标题中添加了一条安全页脚消息,以帮助您区分真正的 LinkedIn 电子邮件和“网络钓鱼”电子邮件。“网络钓鱼”电子邮件通常看起来与合法电子邮件非常相似,但它们可能没有这种个性化信息,也可能包含指向恶意网站而不是 LinkedIn 的链接。


LinkedIn 还使用 DMARC 并在电子邮件中签名。 


现在这里是关于发现假 LinkedIn 电子邮件的傻瓜式建议:忽略来自 LinkedIn 的所有电子邮件。


 当 LinkedIn 向您发送通知 - 真实通知时 - 它还会将该信息放入您帐户的“通知”部分。来自 LinkedIn 的任何合法电子邮件也将在该网站上提供匹配的通知。如果您认为某些事情需要您关注 LinkedIn,请直接导航到 LinkedIn。输入网址。登录。您将立即看到通知是否合法。LinkedIn 网络钓鱼是一个非常有害的问题,您应该怀疑并查看所有 LinkedIn 电子邮件并使用该网站进行验证。


 在 LinkedIn 上进行网络钓鱼 


现在让我们谈谈在 LinkedIn 上进行的网络钓鱼。这通常采用虚假配置文件,虚假连接请求和恶意链接的形式。


 我们想要相信 LinkedIn 上的每个人都是真诚地行事。但事实并非如此。不幸的是,有大量虚假的 LinkedIn 个人资料完全存在,以欺骗人们并感染设备。


 那么,我们来谈谈审核您的 LinkedIn 连接请求。


 如何发现一个假的 LinkedIn 个人资料


 首先要做的事情。永远不要盲目地接受你至少不知道的人的 LinkedIn 连接请求。我的意思是,如果您在某个时候没有遇到过这个人,或者至少熟悉他们在您所在行业中的工作 / 角色 - 请在连接之前进行一些尽职调查。


 批判性地思考,“为什么这个人想要与我联系?”并不坏,我并不是说那种“自我是我”的自我厌恶的方式 - 我的意思是在生活中每个人正在寻找某种东西,如果你不知道那是什么东西,你应该持怀疑态度。那么,应该检查什么?


 好吧,我们先说一下,并非所有这些都是不合格的。但它们应该发出危险信号,特别是如果配置文件检查其中几个例子。 


  • 注意常见的名字 - 像约翰史密斯这样的名字的问题在于,很难用谷歌搜索来确定。有大量的约翰史密斯,让假的约翰史密斯更容易隐藏。如果有人有一个共同的名字,这并不意味着你应该立即不信任他们 - 这只是意味着你需要更近一点。 
  • 图片搜索他们的个人资料图片 - 假的个人资料通常使用假图像。使用你的真实情况进行欺诈是没有多大意义的 - 大多数犯罪分子比这更聪明。因此,他们要么从真人那里扯下图像,要么使用照片。使用 Google 图片搜索可以轻松嗅出这个。如果搜索没有提出任何结果,或者它以相同的名称启动与某个人相关的结果 - 这是一个好兆头。如果它在股票照片网站或其他人的社交网页上推出一个列表 - 运行。 
  • 检查他们的公司 - 这可能是有限的价值,因为您不必验证就业在 LinkedIn 上列出它,但如果该公司似乎不存在,它可以作为立即取消资格。公司,真实公司在当地和国家政府注册,拥有广泛的数字足迹。假公司没有。 
  • 看看他们的其他联系 - 这也有助于确定个人资料的合法性。不要只看连接的数量,看看他们是谁以及他们在哪里工作。通常情况下,他们自己的公司,他们自己的社区,无论他们去哪里以及他们自己的行业,都会有很多联系。如果你没有看到,你应该持怀疑态度。 
  • 看看他们的个人资料 - 我们最后列出了这个,因为一个好的 LinkedIn 网络钓鱼帐户可能会带来一个非常令人信服的个人资料。这是罪犯直接影响的一个领域。不过,值得仔细检查配置文件是否完整并通过气味测试。这意味着寻找关键指标,如他们的就业历史,其他人对他们提出的任何建议,更新和分享 - 该概况需要看起来活跃和合法。同样,您需要的不仅仅是配置文件的外观。但如果看起来很假,那可能就是假的。

 如果您认为自己找到了虚假的个人资料,可以在此处进行举报。 


LinkedIn 网络钓鱼使用邮件和 InMail 


只使用虚假配置文件连接并不能确保您获得网络钓鱼。它只是给犯罪分子一个攻击媒介。这就是我们开始发现虚假个人资料的原因。那将是你的第一道防线。


 有两种消息可用于平台本身的 LinkedIn 网络钓鱼。常规消息通常在连接之间发送,或者可以附加到连接请求。InMail 是一种营销工具。使用 InMail 进行网络攻击要困难得多,因为 LinkedIn 在管理它方面做得非常好,而且需要花钱。犯罪分子不喜欢花钱。


 无论如何,正如我们刚才所说,可以在没有连接的情况下向某人发送消息。所以,让我们首先介绍一下。我不会说它应该被认为是最佳做法,但是如果它们不是从连接发送的,我不会点击链接或从 LinkedIn 消息中下载任何内容。斩钉截铁。如果我认为这可能是合法的,那么在我考虑采取他们要求我采取的任何行动之前,我都会指出与该人联系并与之联系。


 我这样看,我知道前戏是一种迷失的艺术,但如果你让我为你做点什么,我们第一次接触时,我会怀疑,直到我更好地掌握你的动机。 


你不必像我一样愤世嫉俗,但你应该持怀疑态度。


 现在,除了来自陌生人的随机消息之外,让我们说只是为了这个练习,一些非常聪明的罪犯确实设法欺骗你接受他们的连接请求,现在他们正在给你发消息。 


然后怎样呢? 


再次,持怀疑态度。在一般情况下,利他主义不是一个在商业世界或资本主义中看到很多的概念。因此,如果有人通过意外的报价或免费的承诺向您伸出援手 - 这至少应该让您停下来。


 再问自己,发送给我的重点是什么?这会带来某种风险吗?我相信这个人吗? 


对此没有单一的试金石,而是需要同时考虑的一系列因素。最好不要点击合法的东西并通过其他渠道进行跟进,而不是点击可能合法的可能性的恶意内容。


 LinkedIn 提供以下有关保持安全的建议: 


  • 不要通过邮件或 InMail 共享个人信息 
  • 不要通过单击链接输入信息,而是直接导航到该站点 
  • 申请工作时,要警惕将个人信息发送到与公司无关的地址的请求 点
  • 击链接时要小心(可能不需要说,但有些人需要拼写) 
  • 确保来自 LinkedIn 的任何消息都包含安全页脚。 

LinkedIn 做什么关于 LinkedIn 网络钓鱼?


 显然,LinkedIn 正在解决在其自身平台上发生或声称来自其自身平台的网络钓鱼问题。但是,就像所有网络犯罪一样,这是一场永久性的猫捉老鼠游戏。


 除了创建人们可用于报告虚假配置文件和网络钓鱼尝试的报告机制外,LinkedIn 还建立了一个致力于保护其用户免受此类渎职的整个网站。

非常感谢您对亚洲注册的支持与信任!

禁止转载




需要帮助吗?联系我们的支持团队 在线客服