小心找工作時被挖坑,有人利用 LinkedIn 發送釣魚鏈接
對於找工作的人來說,有幾個網站是必關注的,比如LinkedIn。所以當他們發現自己的賬號里有新消息時,總會迫不及待地點開關注一下。而這一點,恰好被網路釣魚的犯罪分子所里用。近日,研究人員發現黑客利用 被黑的 LinkedIn 賬戶的私信和 InMail 功能發送釣魚鏈接。
黑客利用了LinkedIn 賬戶中聯繫人彼此都非常信任的特點,因為這些聯繫人不是同學就是同事或者是彼此有某種關聯的人。黑客發送的欺詐性信息包括對共享文檔的引用,重定向到用於Gmail的釣魚站點以及其他需要潛在受害者登錄的電子郵件的鏈接。
對於黑客來說,通過釣魚方式獲得用戶的憑據仍是目前屢試不爽的手段,所以,如果受害者沒有意識到他們被騙,就會點開這些鏈接,繼續輸入他們的用戶名、密碼和電話號碼。經過調查,這個網路釣魚的騙局以一份關於富國銀行財富管理的誘騙文件結尾的。
私信騙局
以下這條消息來自於與該賬戶關係很好的一個聯繫人,儘管時間戳顯示的是上午12:17,但這可能是值得注意的欺騙標識之一。該消息是一個共享的谷歌文檔,使用的是http://Ow.ly短網址。
一個聯繫人發送過來的一個釣魚詐騙的即時信息
重定向短網址
短網址服務是傳播惡意軟體和釣魚詐騙的知名工具,但它們也被用於合法目的,特別是在社交媒體上,長URL往往過於繁瑣。在這次網路釣魚攻擊中,黑客利用的就是http://ow.ly 和一個免費的主機提供商(gdk.mx)來把受害者重定向到網路釣魚頁面。
被釣魚攻擊後的重定向流
電子郵件騙局
這個特殊的頁面被構建為Gmail 釣魚攻擊,但也會要求Yahoo或AOL用戶名和密碼。主頁的後面是一個額外的電話號碼或輔助電子郵件地址的請求,最終用戶看到的是在谷歌文檔上託管的一個富國銀行的文檔。
獲取證書並顯示釣魚內容的釣魚模板
InMail騙局
攻擊者也在濫用LinkedIn的受信任的郵件功能,發送同樣的釣魚鏈接。在LinkedIn上, InMail消息可以直接發送給任何LinkedIn成員,即使他們不是被黑賬戶的聯繫人。利用InMail騙局,黑客不但擴大了攻擊的範圍,而且還對其他用戶造成損害。
以下這封郵件就是通過LinkedIn發送的,並有一個定製的「安全頁腳(Security Footer)」。LinkedIn將發送「包含你的姓名和專業標題的安全頁信息」的信息,以幫助你區分真實的LinkedIn郵件和「釣魚」郵件信息,儘管這並不能百分百保證電子郵件是合法的。換句話說,發送方法是可信的,但內容可能不可信。對於使用HTTPS的釣魚頁面來說也是一樣的,即使內容發送方式是安全的,但內容本身是欺詐的。
通過LinkedIn接收的釣魚郵件,包括「安全頁腳」
然而,要注意的是。要使用InMail,前提是你需要一個每月為此支付一定的費用以成為高級用戶。你可以點此,詳細了解如何通過InMail進行釣魚攻擊。
總結
目前,我還不清楚這次的網路釣魚對多少LinkedIn賬戶造成了影響,但根據我的調查,目前在LinkedIn上已經發現了超過500個類似的釣魚鏈接,基於Hootsuite的統計數據,我可以確定有256人點擊了釣魚鏈接。
一個有500 +連接的高級會員帳戶發送釣魚鏈接
通過社交媒體實施釣魚攻擊並不是什麼新鮮事,比如近期Skype或Facebook都發生過這種惡意行為,即通過被黑的賬戶向熟人發送鏈接,然後使他們成為受害者,這最終可能會導致雪球效應。
如何防範
修改你的密碼,並採用雙因素驗證。如果你的賬戶已經被黑,就趕緊發信息提醒他們,告訴他們別隨意點擊你發的鏈接。
IOC
網路釣魚信息:
I have just shared a document with you using GoogleDoc Drive, nView shared document http://ow.ly/[]n
重定向和釣魚的頁面:
ow[.]ly/qmxf30eWLyNndgocs[.]gdk.mx/new/index.phpndgocs[.]gdk.mx/new/index.php?i=1ncakrabuanacsbali[.]com/wp-rxz/index.phpn
解碼谷歌文件:
docs.google.com/document/d/13qUEngtHuKjtvGoPaMl3x6cEnT2oO6lSWOccM-PkXKk/editn
本文翻譯自:https://blog.malwarebytes.com/threat-analysis/2017/09/compromised-linkedin-accounts-used-to-send-phishing-links-via-private-message-and-inmail/ ,如若轉載,請註明原文地址: http://www.4hou.com/technology/7667.html
推薦閱讀:
※反取證、密碼學、逆向工程軟體…… 10大最好的網路安全Reddit都在這兒
※如何與人工智慧和睦相處?它已經掌控了你的一切
※Popcorn Time(爆米花時刻):第一個不收贖金的勒索軟體
※中国政府禁思科后,华为订单是否变多了?
※Android最新的VMP加固技術一般是怎麼實現的?
TAG:信息安全 |