回归最本质的信息安全

小心找工作时被挖坑,有人利用 LinkedIn 发送钓鱼链接

2017年9月18日发布

31,821
0
1

导语:对于找工作的人来说,有几个网站是必关注的,比如LinkedIn。所以当他们发现自己的账号里有新消息时,总会迫不及待地点开关注一下。而这一点,恰好被网络钓鱼的犯罪分子所里用。

privacy-phishing-900x506.jpg

对于找工作的人来说,有几个网站是必关注的,比如LinkedIn。所以当他们发现自己的账号里有新消息时,总会迫不及待地点开关注一下。而这一点,恰好被网络钓鱼的犯罪分子所里用。近日,研究人员发现黑客利用 被黑的 LinkedIn 账户的私信和 InMail 功能发送钓鱼链接。

黑客利用了LinkedIn 账户中联系人彼此都非常信任的特点,因为这些联系人不是同学就是同事或者是彼此有某种关联的人。黑客发送的欺诈性信息包括对共享文档的引用,重定向到用于Gmail的钓鱼站点以及其他需要潜在受害者登录的电子邮件的链接。

对于黑客来说,通过钓鱼方式获得用户的凭据仍是目前屡试不爽的手段,所以,如果受害者没有意识到他们被骗,就会点开这些链接,继续输入他们的用户名、密码和电话号码。经过调查,这个网络钓鱼的骗局以一份关于富国银行财富管理的诱骗文件结尾的。

私信骗局

以下这条消息来自于与该账户关系很好的一个联系人,尽管时间戳显示的是上午12:17,但这可能是值得注意的欺骗标识之一。该消息是一个共享的谷歌文档,使用的是Ow.ly短网址。

1.png

一个联系人发送过来的一个钓鱼诈骗的即时信息

重定向短网址

短网址服务是传播恶意软件和钓鱼诈骗的知名工具,但它们也被用于合法目的,特别是在社交媒体上,长URL往往过于繁琐。在这次网络钓鱼攻击中,黑客利用的就是ow.ly 和一个免费的主机提供商(gdk.mx)来把受害者重定向到网络钓鱼页面。

2.png

被钓鱼攻击后的重定向流

电子邮件骗局

这个特殊的页面被构建为Gmail 钓鱼攻击,但也会要求Yahoo或AOL用户名和密码。主页的后面是一个额外的电话号码或辅助电子邮件地址的请求,最终用户看到的是在谷歌文档上托管的一个富国银行的文档。

3.gif

获取证书并显示钓鱼内容的钓鱼模板

InMail骗局

攻击者也在滥用LinkedIn的受信任的邮件功能,发送同样的钓鱼链接。在LinkedIn上, InMail消息可以直接发送给任何LinkedIn成员,即使他们不是被黑账户的联系人。利用InMail骗局,黑客不但扩大了攻击的范围,而且还对其他用户造成损害。

以下这封邮件就是通过LinkedIn发送的,并有一个定制的“安全页脚(Security Footer)”。LinkedIn将发送“包含你的姓名和专业标题的安全页信息”的信息,以帮助你区分真实的LinkedIn邮件和“钓鱼”邮件信息,尽管这并不能百分百保证电子邮件是合法的。换句话说,发送方法是可信的,但内容可能不可信。对于使用HTTPS的钓鱼页面来说也是一样的,即使内容发送方式是安全的,但内容本身是欺诈的。

4.png

通过LinkedIn接收的钓鱼邮件,包括“安全页脚”

然而,要注意的是。要使用InMail,前提是你需要一个每月为此支付一定的费用以成为高级用户。你可以点此,详细了解如何通过InMail进行钓鱼攻击。

总结

目前,我还不清楚这次的网络钓鱼对多少LinkedIn账户造成了影响,但根据我的调查,目前在LinkedIn上已经发现了超过500个类似的钓鱼链接,基于Hootsuite的统计数据,我可以确定有256人点击了钓鱼链接。

5.png

一个有500 +连接的高级会员帐户发送钓鱼链接

通过社交媒体实施钓鱼攻击并不是什么新鲜事,比如近期Skype或Facebook都发生过这种恶意行为,即通过被黑的账户向熟人发送链接,然后使他们成为受害者,这最终可能会导致雪球效应。

如何防范

修改你的密码,并采用双因素验证。如果你的账户已经被黑,就赶紧发信息提醒他们,告诉他们别随意点击你发的链接。

IOC

网络钓鱼信息:

I have just shared a document with you using GoogleDoc Drive, 
View shared document http://ow.ly/[]

重定向和钓鱼的页面:

ow[.]ly/qmxf30eWLyN
dgocs[.]gdk.mx/new/index.php
dgocs[.]gdk.mx/new/index.php?i=1
cakrabuanacsbali[.]com/wp-rxz/index.php

解码谷歌文件:

docs.google.com/document/d/13qUEngtHuKjtvGoPaMl3x6cEnT2oO6lSWOccM-PkXKk/edit
本文翻译自:https://blog.malwarebytes.com/threat-analysis/2017/09/compromised-linkedin-accounts-used-to-send-phishing-links-via-private-message-and-inmail/ ,如若转载,请注明原文地址: http://www.4hou.com/technology/7667.html

点赞 1
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

xiaohui

xiaohui

嘶吼编辑

发私信

发表评论