求职者在心理上是很脆弱的,他们愿意提供任何能够获得工作的个人信息,他们是社会工程学攻击的主要目标。随着最近员工大面积的辞职,网络犯罪分子很容易针对他们进行攻击。
仅仅从2月1日开始,安全研究专家就发现冒充LinkedIn的钓鱼邮件攻击次数激增了232%,攻击者试图欺瞒求职者交出他们的证书。
Egress的一份新报告说:"目前的就业趋势非常有助于攻击者开展这种攻击。2021年有创纪录数量的美国人离开了他们的工作岗位,寻找新的工作岗位。这些网络钓鱼攻击的手段就是利用了求职者的迫切求职心理。”
Egress团队说,这些邮件的主题对于一个希望得到关注的求职者来说很有诱惑力,比如"谁在网上搜索你","你本周出现在4个搜索中",甚至是"你有一条新消息"。
报告补充说,这些钓鱼邮件本身看起来就非常令人信服,攻击者在HTML模板中内置了LinkedIn的标志、颜色和图标。分析师说,骗子还在钓鱼邮件的正文中提到了知名公司,包括美国运通和CVS Carepoint,这样可以使得邮件看起来更加合法。
有分析师指出,甚至电子邮件的页脚也引用了该公司的总部地址,还包括了"退订"链接,增加了电子邮件的真实性。
报告说:"你还可以看到在LinkedIn中伪造的显示名,这样可以隐藏发动攻击的网络邮件账户。”
一旦受害者点击了电子邮件中的恶意链接,他们就会被引导到一个网站,在这里可以获取他们的LinkedIn账号和密码。
安全分析师补充说:"虽然邮件显示的名字是LinkedIn,而且钓鱼邮件都遵循类似的模式,但这些钓鱼攻击是从不同的网络邮件地址发出的,彼此之间没有任何的关联性。目前,还不知道这些攻击是由一个网络犯罪分子在进行,还是由一个团伙共同运作。"
LinkedIn通过媒体表示,我们的内部团队正在对那些试图通过网络钓鱼来攻击LinkedIn用户的犯罪分子采取行动。我们鼓励用户报告可疑的信息,并帮助他们了解更多保护自己的措施,比如启用两步验证措施等。
对求职者的数据进行搜集
Imperva在一份报告中详细介绍了它是如何阻止一场迄今为止针对一个招聘网站的最大僵尸攻击的。
Imperva没有具体指出该公司的名字,但该公司表示,它在四天内被40万个独立的IP地址发出的4亿个僵尸请求轮番轰炸,这些请求试图搜集其所有求职者的数据。
Imperva团队补充说,这些类型的网络攻击很常见,可能会导致网站转换率降低,营销分析出现偏差,SEO排名下降,网站延迟,甚至停机(通常由攻击性访问造成的)。
但正如Imperva在其报告中指出的那样,数据搜集是目前网络安全的灰色地带之一。收集公开可用的信息本身并不是数据泄露,但大量被收集的信息可以成为社会工程学中针对用户进行攻击的有力武器。
去年夏天,在针对LinkedIn的大规模数据搜集攻击中发现至少收集了12亿条用户记录,这些记录后来被卖到了地下论坛。当时,LinkedIn重申,被窃取的数据是公共信息,而不是私人信息,因此不属于违规行为。
nVisium的高级软件工程师认为,LinkedIn在这里并没有什么过错。
nVisium解释说:"这与LinkedIn没有什么关系,他们在这里并没有做错什么。我们可以看到,LinkedIn目前有数亿会员。其中许多人都经常看到来自LinkedIn的合法电子邮件,并且很可能不可避免地在没有仔细检查每封电子邮件是否是真实的情况下进行点击。"
这就要使个人用户注意他们公开暴露的信息,以及这些信息是如何用来欺骗他们点击恶意链接的。
网络安全专家认为,虽然我不相信这将会损害LinkedIn的形象,但这确实让人们看到了电子邮件钓鱼的危害性,由于这些电子邮件都来自合法的LinkedIn电子邮件地址,因此特别难以识别危险性。我的原则是,永远不要点击电子邮件中的任何链接。
本文翻译自:https://threatpost.com/massive-linkedin-phishing-bot-attacks-hungry-job-seekers/178476/