LinkedIn 的智慧連結,遭濫用於釣魚郵件攻擊
- 發布單位:TWCERT/CC
- 更新日期:2022-09-22
- 點閱次數:304
資安廠商 Cofense 近日發布研究報告,指出該公司發現有駭侵者大規模在釣魚郵件攻擊中濫用 LinkedIn 的智慧連結(Smart Link),跳過 Email 軟體中的資安防護功能,將用戶導至釣魚網頁,以竊取金融相關機敏資訊。
Smart Link 是 LinkedIn 專為 LinkedIn Sales Navigator 與企業用戶提供的功能,可以透過單一連結,一次傳送 15 個檔案,也提供網路行銷人員各種數據分析資訊。
Cofense 發現的釣魚駭侵行動,主要針對斯洛伐克用戶進行;駭侵者假冒斯洛伐克國營郵局發送通知信件給目標用戶,要求用戶支付包裹遞送費用。駭侵者除了使用假冒的信件標頭,讓發信者看起來像是真正的國營郵局外,在信件中的確認按鈕中,也埋設了 LinkedIn 的 Smart Link。
由於該連結是由 LinkedIn 製作發出,因此不會觸發 Email 軟體中的資安防護警訊機制,用戶一旦點按,就會被導到駭侵者設立的釣魚網站,要求支付 2.99 歐元的包裹運費;不過駭侵者真正的目標,是用戶在頁面中輸入的各項信用卡資訊,包括卡號、持卡人姓名、卡片到期日、背面 CVV 驗證碼等。
用戶一旦送出這些資訊,甚至還會透過手機收到確認繳費的假簡訊,以讓用戶更加不疑有他。
資安專家指出,這類利用 LinkedIn Smart Link 的駭侵攻擊手法,目前雖然只針對斯洛伐克用戶,但受害者範圍的擴大也只是時間問題,很快就會有其他國家用戶遭到類似手法的攻擊。
資安專業媒體 BleepingComputer 就此向 LinkedIn 採訪,LinkedIn 表示內部團隊積極防制任何釣魚攻擊行動,並鼓勵用戶開啟二階段驗證功能,並在遇到疑似釣魚網頁時提出檢舉。
由於釣魚郵件的攻擊手法日新月益,且愈來愈難偵測,建議用戶在任何網頁輸入機敏資訊時,務必提高警覺,在確認後才予以輸入,以求自保。