釣魚新戰場｜LinkedIn成黑客溫床　鎖定高層發動精準攻擊

釣魚攻擊又再進化，以往黑客主要透過電郵去引誘目標人物中招，但最近有調查報告便發現，不少黑客轉而經職場社交平台 LinkedIn 尋找目標攻擊，將這個專業人士建立人脈的平台，轉化為發動精密攻擊的溫床。

釣魚防禦工具未涵蓋個人社交平台

報告指出，現時已有高達 34% 的釣魚攻擊發生在電郵以外的渠道，如社交媒體、搜尋引擎及即時通訊應用程式，當中 LinkedIn 更成為黑客發動魚叉式釣魚攻擊（spear-phishing）的首選，對企業高層及敏感行業構成前所未有的威脅。

根據最新的網絡安全報告，針對企業高層特別是金融服務業和科技業主管的 LinkedIn 釣魚活動正變得日益猖獗。原因之一是由於業界大多數的釣魚防禦都是應用於電郵安全工具，而且許多企業管理層亦會質疑為何要顧及屬於個人應用的社交平台如 LinkedIn 等，但實際上這些平台已被員工廣泛應用，而且他們會在帳戶內透露大量個人訊息及與其在企業內的崗位，為黑客提供大量釣魚詐騙的資訊及素材。

透過詐騙員工及入侵其設備，黑客更有可能竊取如 Microsoft 或 Google Workspace 等企業核心系統的帳戶憑證。因此來自 LinkedIn 的釣魚攻擊，已成為企業必須正視的關鍵威脅。

用家對陌生訊息警惕性低

黑客將攻擊目標轉移至 LinkedIn 還有很多好處，首先是因它屬於傳統安全防線以外的領域，於 LinkedIn 進行的私人訊息不受電郵安全工具保護，使黑客可直接接觸目標而不被偵測；其次是單純封鎖惡意網址的做法已失效，因為黑客能快速更換域名。同時黑客可輕易騎劫合法 LinkedIn 帳戶，利用受害者的帳戶向其人脈發動攻擊，提高可信度。由於社交媒體帳戶多缺乏多重身份驗證（MFA），這些帳戶成為黑客的理想攻擊踏腳石，發動高度針對性的魚叉式攻擊。

專家特別提到 LinkedIn 用家由使用開始，已預設會通過這個平台與其他業界或未來僱主聯繫，因而先天已對陌生訊息的警惕性低，只要攻擊內容有足夠的可信性，成功率將大幅提升。

要製造可信的訊息，現時黑客已經有效率地利用人工智能（AI），進一步助長了這些攻擊。要防範這類攻擊，其中一種做法是企業應將防禦核心擴充至瀏覽器偵測，因為黑客一般會利用虛假連結引誘受害者上釣，只要能夠即時分析頁面代碼，便可提升攔截惡意頁面的機率。此外，企業亦要主動修補所有電腦系統及應用程式的漏洞、加強 MFA 啟用率及弱密碼管理，提升員工的安全意識，避免個人帳戶風險波及企業環境。

資料來源：https://www.bleepingcomputer.com/news/security/5-reasons-why-attackers-are-phishing-over-linkedin/