求职者在心理上是脆弱的,他们愿意提供任何可以让他们找到工作的个人信息。他们是社会工程攻击的主要目标。随着最近员工的大规模辞职,网络犯罪分子很容易将他们作为目标。仅自2月1日以来,安全研究专家就发现冒充LinkedIn的网络钓鱼电子邮件激增了232%,攻击者试图诱骗求职者交出他们的凭据。Egress的一份新报告称:“当前的就业趋势非常有利于攻击者进行此类攻击。2021年,将有创纪录的美国人离职去寻找新工作。这些网络钓鱼攻击的伎俩是利用求职者的渴望。”Egress团队表示,这些邮件的主题对于想要获得关注的求职者来说非常有诱惑力,比如“谁在网上搜索你”、“你出现在本周搜索中4次以内”,甚至“你有一个新消息”。报告补充说,网络钓鱼电子邮件本身看起来非常有说服力,攻击者将LinkedIn的徽标、颜色和图标嵌入到HTML模板中。分析师表示,骗子还在网络钓鱼电子邮件的文本中提到了知名公司,包括美国运通和CVSCarepoint,以使它们看起来更合法。分析人士指出,即使是电子邮件的页脚也提到了该公司的总部地址,并包含一个“取消订阅”链接,增加了电子邮件的真实性。“你还可以在LinkedIn中看到虚假的显示名称,这可以隐藏发起攻击的网络邮件帐户,”报告称。一旦受害者点击电子邮件中的恶意链接,他们就会被定向到一个网站,在此处获取他们的LinkedInID和密码。这位安全分析师补充说:“虽然这些电子邮件似乎被命名为LinkedIn,并且网络钓鱼电子邮件遵循类似的模式,但这些网络钓鱼攻击是从不同的网络邮件地址发送的,彼此之间没有任何关联。目前,还没有不知道这些攻击是由单个网络犯罪分子还是一群犯罪分子实施的。”LinkedIn通过媒体表示,我们的内部团队正在对试图通过网络钓鱼攻击LinkedIn用户的犯罪分子采取行动。我们鼓励用户报告可疑信息并帮助他们了解更多有关如何保护自己的信息,例如启用两步验证措施。收集有关求职者的数据Imperva在一份报告中详细说明了它如何阻止迄今为止在求职网站上发生的最大的机器人攻击之一。Imperva没有具体说出该公司的名字,但表示它在四天内遭到来自400,000个唯一IP地址的4亿个机器人请求的轰炸,试图收集其所有求职者的数据。Imperva团队补充说,这些类型的网络攻击很常见,可能导致网站转换率降低、营销分析倾斜、SEO排名降低、网站延迟甚至停机(通常由攻击性访问引起)。但正如Imperva在其报告中指出的那样,数据收集是目前网络安全的灰色地带之一。收集公开可用的信息本身并不是数据泄露,但收集到的大量信息可以成为针对用户的社会工程学攻击的有力武器。去年夏天,对LinkedIn的大规模数据收集攻击发现收集了至少12亿条用户记录,这些记录后来在地下论坛上出售。当时,LinkedIn重申被盗数据是公开的,而不是私人的,因此不构成违规。nVisium的高级软件工程师认为LinkedIn没有错。nVisium解释说:“这与LinkedIn无关,他们在这里没有做错任何事。我们可以看到LinkedIn目前拥有数亿会员。他们中的许多人经常看到来自LinkedIn的合法电子邮件,并且很可能不可避免地在没有点击的情况下进行点击。仔细检查每封电子邮件,看看它是否真实。”这是关于提醒个人用户注意他们公开披露的信息,以及如何使用这些信息来诱使他们点击恶意链接。虽然我认为这不会损害LinkedIn的形象,但它确实让人们看到了电子邮件网络钓鱼的危险,根据网络安全专家的说法,由于它们来自合法的LinkedIn电子邮件地址,因此识别起来特别困难。我的经验是,永远不要点击电子邮件中的任何链接。本文翻译自:https://threatpost.com/massive-linkedin-phishing-bot-attacks-hungry-job-seekers/178476/
