• 發布單位:TWCERT/CC
• 更新日期:2022-07-25
• 點閱次數:5371

資安廠商 Check Point 日前公布 2022 年第 2 季釣魚攻擊統計，在常被駭侵者冒名用於釣魚攻擊的全球各大品牌中，求職社群網站 LinkedIn 仍然如先前的統計一樣高居首位，且冒名比例遠高於其他品牌。

Check Point 的報告指出，和上一季的數字相比，雖然 LinkedIn 的冒名釣魚比例自 52% 下降到 45%，但仍然高居所有常遭冒名品牌的第一名。

其他在這次冒名榜上的大品牌，及其遭冒名的比例，分別為 Microsoft（13%）、DHL（12%）、Amazon（9%）、Apple（3%）、Adidas（2%）、Google（1%）、Netflix（1%）、Adobe（1%）、HSBC（1%）。

報告說，駭侵者最常冒名 LinkedIn 寄送給用戶的釣魚郵件，通常是假冒「你的檔案本周已有 100 人瀏覽」，或是「你有一封新的未讀訊息」之類的通知信件；而寄件者的 email address 通常看起來會很像 LinkedIn 官方的支援服務或資安團隊所發。

有些其他冒名 LinkedIn 的釣魚信，則會詐稱用戶獲得免費升級至 LinkedIn Pro 專業版，或是詐稱進行系統升級，甚至指稱用戶因違反使用條款而將遭停權，以誘使用戶點按信中的惡意連結。

用戶點按惡意連結後，即會被導入到釣魚網頁，誘使用戶輸入其 LinkedIn 的登入資訊；駭侵者再利用該登入資訊，來對受害者在 LinkedIn 上的同事或有價值的目標，發動進一步的駭侵攻擊。

建議收到疑似釣魚攻擊的不明郵件時，切勿點按信中的惡意連結或開啟不明檔案，應先確認寄件人 Email Address 的正確性，或是直接忽略該信件。