商业社交网站是一个庞大且公开可访问的企业信息数据库。不要相信网站上的每个人都是他们自称的那个人。
11月,英国安全局开始通知议员(MP)及其工作人员一项大胆的外国情报收集计划。报道称,LinkedIn上的两个个人资料正在接触英国政治工作者,以获取“内部见解”。军情五处的揭露促使政府启动了一项价值1.7亿英镑(2.3亿美元)的计划,以应对对议会的间谍威胁。
这可能是最近一起高调的威胁行为者滥用LinkedIn以实现其恶意目的。但这绝不是第一次。该网站还可能是企业数据的宝库,可用于支持欺诈或威胁活动。是时候让专业人士意识到数字网络的风险了。
为什么LinkedIn会成为目标?
自2003年成立以来,LinkedIn在全球积累了超过十亿“会员”。这对国家支持和经济动机的威胁行为者来说,是许多潜在目标。但为什么这个平台如此受欢迎?有几个原因特别突出:
- 这是一个极好的信息资源: 通过深入网站,威胁行为者可以了解目标公司中关键人员的角色和职责,包括新加入者。他们还能拼凑出个体之间关系的相当准确的图景,以及他们可能参与的项目类型。这些都是极其宝贵的情报,进而可能助长鱼叉式钓鱼和BEC诈骗行动。
- 它提供了可信度和掩护: 由于LinkedIn是一个专业社交平台,高价值高管和基层员工都常访问。这两者都可能对威胁行为者有其用处。受害者更可能收到网站上某人的私信或InMail,而不是未经请求的邮件。事实上,对于高管来说,这可能是直接针对他们的唯一途径,因为邮件通常只有下属会检查。
- 它绕过了“传统”安全: 由于消息通过LinkedIn的服务器传输,而非企业邮箱系统,企业IT部门对发生的事情视而不见。虽然LinkedIn内置了一些安全措施,但不能保证钓鱼、恶意软件和垃圾邮件不会被通过。而且由于网站的可信度,目标更可能点击恶意内容。
- 启动和运行非常简单: 对于威胁行为者来说,利用LinkedIn进行攻击的潜在投资回报非常巨大。任何人都可以注册个人资料,开始在网站上搜寻资料以获取情报,或用钓鱼和BEC式消息进行目标攻击。攻击相对容易自动化以实现规模化。为了增加钓鱼行为的合法性,威胁者可能想劫持现有账户或设置假身份,然后冒充求职者或招聘人员。网络犯罪论坛上流传的大量被泄露的凭证信息(部分归功于信息窃取者)使得这一切变得比以往任何时候都更容易。
相关阅读:招聘红旗:你能识别出冒充求职者的间谍吗?
哪些攻击最常见?
如前所述,威胁行为者可以通过LinkedIn实现其恶意活动的多种方式。这些包括:
- 钓鱼与鱼叉式钓鱼:利用LinkedIn用户在个人资料中分享的信息,他们可以定制钓鱼活动以提高成功率。
- 直接攻击:攻击者可能直接通过恶意链接联系,目的是部署恶意软件如信息窃取者,或推广旨在获取凭证的职位。或者,正如军情五处警告的那样,国家支持的特工可能会利用LinkedIn招募“内部人士”。
- BEC:以钓鱼为例,LinkedIn提供了丰富的情报,可以用来让BEC攻击更具说服力。这可能帮助诈骗者识别谁向谁汇报、正在参与哪些项目,以及任何合作伙伴或供应商的姓名。
- 深度伪造:LinkedIn 还可能托管目标视频,用于制作深度伪造,用于后续钓鱼、BEC 或社交媒体诈骗。
- 账户劫持:虚假的LinkedIn(钓鱼)页面、信息窃取者、凭证填充等技术可以帮助威胁行为者接管用户账户。这些攻击可用于后续攻击,针对其接触点。
- 供应商攻击:LinkedIn 还可以被搜索目标公司的合作伙伴详情,随后通过“跳板”攻击进行钓鱼攻击。
使用上述部分的威胁组织示例包括:
- 据ESET研究发现,朝鲜拉撒路集团在LinkedIn上冒充招聘人员,在一家航空航天公司员工的机器上安装恶意软件。事实上,研究人员最近还描述了“Wagemole”IT工人运动,这些活动中朝鲜支持者试图在海外公司就业。
- ScatteredSpider冒充LinkedIn上找到的一名员工,打电话给MGM的帮助台,以获取该组织的访问权限。随后的勒索软件攻击导致公司损失1亿美元。
- 一场名为“鸭尾”的鱼叉式网络钓鱼活动针对LinkedIn上的营销和人力资源专业人士,通过私信链接发送信息窃取恶意软件。恶意软件本身托管在云端。
在LinkedIn上保持安全
如前所述,LinkedIn威胁的挑战在于IT部门很难真正了解员工面临的风险有多大,以及针对他们的策略。不过,将上述LinkedIn威胁情景纳入安全意识课程是合理的。员工还应被警告不要在网站上过度分享,并获得识别假账号和典型钓鱼诱饵的帮助。
为了避免自己的账户被劫持,他们还应遵守定期补丁政策,在所有设备上安装安全软件(当然是可信赖的供应商),并启用多因素认证。为高管开设专门培训课程可能值得,因为他们往往更容易被针对。最重要的是,确保员工明白,即使在像LinkedIn这样值得信赖的网络上,也不是每个人都为自己的利益着想。