职业社交招聘平台LinkedIn依然是网络钓鱼的最爱

网络安全公司Check Point最新公布的统计数据显示，面向专业人士的社交平台LinkedIn（领英）连续第二个季度位居网络钓鱼活动榜首，微软、DHL、亚马逊和苹果在最常被网络钓鱼利用的品牌榜跻身前五（下图）：

与今年第一季度相比，LinkedIn假冒率从52%下降到45%。然而，依然遥遥领先第二名微软的13%。

网络钓鱼对微软品牌的利用主要是欺骗用户验证Outlook帐户以窃取用户名和密码。

电商和物流依然是网络钓鱼的重灾区，DHL以12%的假冒比例位居榜单第三位，亚马逊升至第四位，从2022年第一季度的2%跃升至本季度的9%。

苹果以3%位居第五，与上一季度的0.8%相比也有显着增长。

研究人员说，就亚马逊而言，网络钓鱼电子邮件试图窃取目标的账单信息，包括完整的信用卡数据。

亚马逊钓鱼页面 来源：checkpoint

LinkedIn是网络钓鱼的最爱

报告指出，使用虚假LinkedIn电子邮件的网络钓鱼活动试图模仿从平台向其用户发送的常见消息，例如“您本周出现在8位搜索者中”或“您有一条新消息”。

发件人地址被假冒，看起来好像邮件是自动发送的，或者来自技术支持部门甚至安全部门。

这些活动中使用的一些诱饵包括针对LinkedIn Pro专业会员服务的虚假促销、虚假政策更新，甚至威胁“未经验证的客户”终止帐户。它们都指向一个网络钓鱼网页，要求受害者输入他们的LinkedIn凭据，从而使攻击者能够接管这些帐户（下图）：

通过访问LinkedIn帐户，攻击者可以部署有针对性的网络钓鱼活动，以接触受害者的同事或他们连接网络中的有价值的个人。

定位LinkedIn帐户的另一个原因是它们可用于设置虚假的工作机会活动。在最近的一个例子中，朝鲜黑客以高薪岗位招聘作为诱惑，欺骗某著名区块链游戏开发商的员工下载恶意PDF，并进而窃取了价值6.2亿美元的加密货币。

报告地址：

https://blog.checkpoint.com/2022/07/19/linkedin-still-number-one-brand-to-be-faked-in-phishing-attempts-while-microsoft-surges-up-the-rankings-to-number-two-spot-in-q2-report/

来源：@GoUpSec