保贝狗是一款个人信息保护产品。
2022 年,Cofense 网络钓鱼防御中心 (PDC) 检测到网络钓鱼活动,这些活动使用名为“智能链接”或“slink”的 LinkedIn 链接绕过安全电子邮件网关或 SEG 来传递凭据网络钓鱼,这在之前的智能链接 LinkedIn 博客中已介绍过 。智能链接是连接到 LinkedIn Sales Navigator 服务的 LinkedIn 团队或企业帐户使用的链接,这些服务提供内容并跟踪参与度指标。一年后,从 7 月下旬到 8 月,在一次大规模的凭据网络钓鱼活动中发现了智能链接的死灰复燃,该活动的目标是再次潜入收件箱的 Microsoft Office 凭据。虽然网络钓鱼活动中的智能链接并不是什么新鲜事,但 Cofense 发现了 800 多封不同主题的电子邮件的异常情况,例如财务、文档、安全和一般通知诱饵,这些电子邮件到达多个行业的用户收件箱,其中包含 80 多个独特的 LinkedIn 智能链接。这些链接可能来自新创建的或之前被盗用的 LinkedIn 企业帐户。
关键点:
- LinkedIn 智能链接连接到 LinkedIn 的 Sales Navigator 服务,用于团队和企业帐户的营销和跟踪解决方案。这可能表明这些帐户要么是新创建的,要么是之前被盗用的 LinkedIn 商业帐户,从而使威胁行为者能够利用其跟踪功能深入了解网络钓鱼活动。
- LinkedIn 是一个值得信赖的品牌,拥有值得信赖的域名,恶意行为者可以在发送嵌入智能链接的电子邮件时利用该域名。这将使电子邮件能够绕过 SEG 和其他安全套件。
- Cofense 早在 2021 年就发现了使用 LinkedIn Smart Links 的大规模网络钓鱼攻击。
- 2023 年,Cofense Intelligence 在 7 月下旬至 8 月期间收到并识别出一场网络钓鱼活动,其中包含 800 多封电子邮件和 80 个独特的智能链接,针对各个行业。
什么是 LinkedIn 智能链接?
LinkedIn 商业帐户使用 LinkedIn 智能链接通过 LinkedIn 的 Sales Navigator 服务提供内容并跟踪用户内容参与情况。智能链接使用 LinkedIn 域,后跟“代码”参数,该参数具有八个字母数字字符 ID,可能包含下划线和破折号。然而,恶意智能链接可能包含信息的其他部分,例如混淆的受害者电子邮件,如图 1 所示。
图 1:恶意智能链接结构。
指定的网络钓鱼工具包将读取智能链接中附加的受害者电子邮件,以自动填充恶意表单,从而增加受害者已登陆合法 Microsoft 登录的合法假象。但是,智能链接仍会导致凭据网络钓鱼页面的 URL 中没有受害者的电子邮件。
LinkedIn 智能链接活动
使用 LinkedIn 智能链接并不是一种新策略。然而,Cofense 并没有始终看到许多使用智能链接的电子邮件。尽管恶意电子邮件很少,但由于链接使用受信任的域,智能链接已证明可以绕过 SEG 和其他电子邮件安全套件。这些电子邮件使用适合财务、人力资源、文档、安全和一般通知主题的通用主题行。图 2 是恶意电子邮件的示例。
图 2:使用 HR 和薪资主题的电子邮件示例
单击电子邮件中的链接后,用户将被直接或通过一系列重定向发送到网络钓鱼。一旦出现网络钓鱼,系统将指示用户使用其 Microsoft Office 凭据登录。网络钓鱼页面尽可能显得通用且合法,如图 3 所示,以涵盖大型行业目标传播。请注意,图 3 中的 URL 地址栏中使用了示例电子邮件地址,该地址会在登录网络钓鱼登录页面时自动填写表单。
图 3:网络钓鱼页面示例
谁是目标?
通过更深入地研究数据,Cofense 发现该活动针对多个行业。然而,如图 4 所示,金融和制造业是最有针对性的。尽管金融和制造业的交易量较高,但可以得出结论,该活动不是针对任何一个企业或部门的直接攻击,而是一次全面攻击,旨在收集使用 LinkedIn 企业帐户和智能链接尽可能多的凭据来执行攻击。
图 4:LinkedIn 智能链接瞄准的十大行业
结论
虽然 LinkedIn 智能链接多年来一直被用于网络钓鱼攻击,但此次活动是一个反常现象,有 800 多封电子邮件使用未知数量的已创建或之前被入侵的 LinkedIn 企业帐户发送了 80 多个独特的智能链接。该活动覆盖各个行业,其中金融行业是第一目标,主要获取 Microsoft Office 凭证。由于链接域 LinkedIn.com 的固有信任,恶意行为者滥用智能链接绕过 SEG 到达目标受害者的收件箱。虽然使用电子邮件安全套件很重要,但员工不断接受最新的培训以打击任何网络钓鱼活动也很重要。必须教导员工不要点击看似可疑或意外的电子邮件中的链接。
