求职者在心理上非常脆弱。他们愿意提供任何能够获得工作的个人信息。他们是社会工程攻击的主要目标。随着最近员工的大规模辞职,网络犯罪分子很容易攻击他们。
仅仅从2月1日开始,安全研究专家就发现冒充LinkedIn钓鱼邮件攻击次数激增232%,攻击者试图欺骗求职者交出证书。
Egress一份新报告说:"目前的就业趋势对攻击者进行这种攻击非常有帮助。2021年,创纪录的美国人离开了工作岗位,找到了新的工作岗位。这些在线钓鱼攻击的手段是利用求职者迫切的求职心理。
Egress该团队表示,这些子邮件的主题对一个想要关注的求职者很有吸引力,比如 "谁在网上搜索你?","本周你出现在四个搜索中",甚至是 "你有新消息"。
报告补充说,这些钓鱼邮件本身看起来非常令人信服HTML内置模板LinkedIn标志、颜色和图标。分析师说,骗子还在钓鱼邮件的文本中提到了著名的公司,包括美国运输和CVS Carepoint,这使得邮件看起来更合法。
一些分析师指出,甚至电子邮件的页脚也引用了公司的总部地址,包括 "退订 "链接增加了电子邮件的真实性。
报告说:"你还能看到LinkedIn伪造的显示名可以隐藏发动攻击的网络邮件账户。
一旦受害者点击电子邮件中的恶意链接,他们将被引导到一个可以在这里获得他们的网站LinkedIn帐号和密码。
安全分析师补充说:"虽然邮件显示的名称是LinkedIn,此外,钓鱼邮件也遵循类似的模式,但这些钓鱼攻击是从不同的网络邮件地址发出的,它们之间没有相关性。目前,我们还不知道这些攻击是由网络犯罪分子还是团伙共同进行的。"
LinkedIn据媒体报道,我们的内部团队正在攻击那些试图通过网络钓鱼进行攻击的人LinkedIn用户罪犯采取行动。我们鼓励用户报告可疑信息,并帮助他们了解更多保护自己的措施,如使用两步验证措施。
收集求职者的数据
Imperva本报告详细介绍了它是如何阻止一个招聘网站上最大的僵尸攻击的。
Imperva该公司的名称没有具体指出,但该公司表示,它在四天内独立了40万人IP地址发出的4亿僵尸请求轮流轰炸,试图收集所有求职者的数据。
Imperva该团队补充说,这类网络攻击很常见,可能会导致网站转换率下降,营销分析偏差,SEO排名下降,网站延迟,甚至停机(通常是攻击性访问造成的)。
但正如Imperva报告中指出,数据收集是当前网络安全的灰色区域之一。收集公共信息本身并不是数据泄露,但大量收集到的信息可以成为社会工程中攻击用户的有力武器。
针对去年夏天LinkedIn在大规模数据收集攻击中发现,至少收集了12亿个用户记录,后来卖给了地下论坛。LinkedIn重申被盗数据是公共信息,而不是私人信息,所以不是违法行为。
nVisium高级软件工程师认为,LinkedIn这里没有错。
nVisium解释说:"这与LinkedIn没关系,他们在这里没有做错什么。我们可以看到,LinkedIn目前有数亿会员。他们中的许多人经常看到来自他们。LinkedIn在没有仔细检查每封电子邮件是否真实的情况下,合法的电子邮件很可能会不可避免地点击。"
这需要个人用户关注他们公开暴露的信息,以及如何欺骗他们点击恶意链接。
网络安全专家认为,虽然我不相信这会损害它LinkedIn但这确实让人们看到了电子邮件钓鱼的危害,因为这些电子邮件都是合法的LinkedIn电子邮件地址,所以很难识别危险。我的原则是永远不要点击电子邮件中的任何链接。
本文翻译自:https://threatpost.com/massive-linkedin-phishing-bot-attacks-hungry-job-seekers/178476/