網路安全公司Okta的負責人警告稱,在Optus和Medibank數據泄露事件後,全球領先的職業社交平台LinkedIn也已成為黑客的獵場,頻頻被仿冒向辦理入職流程的新員工發送網路釣魚鏈接。
據《澳洲人報》報導,LinkedIn亞太區董事總經理古德曼 (Ben Goodman) 表示,網路犯罪分子會在新員工入職的頭幾個月內實施欺騙行為。
他表示,工作調動者是最容易受到此類犯罪行為影響的人群。而「LinkedIn在某些情況下成為了解人員流動的極好工具。」
對此,Okta首席執行官麥金農 (Todd McKinnon) 強調說,員工在努力快速適應新公司的過程中很容易上當受騙。
他說:「(新員工)想要加倍努力,如果(他們)從公司總裁那裡收到一條簡訊,當然會嘗試回復。結果那是一條假簡訊。」
當被問及如何打擊其平台上的不良行為時,LinkedIn發言人表示,該公司的技術和專家團隊在用戶看到詐騙信息之前,就刪除了96%的虛假賬戶和99.1%的垃圾郵件和詐騙賬戶。
「我們還鼓勵會員在看到任何可疑消息或疑似虛假個人資料時進行舉報。」
獲取LinkedIn上的聯繫方式對科技公司來說是一項大生意,許多開發瀏覽器的擴展程序可以顯示用戶在LinkedIn上註冊的電子郵件和手機號碼,例如Lusha Extension。
該擴展程序在應用商店摘要中寫道:「Lusha Extension可讓您在工作地點即時顯示正確的潛在客戶聯繫人及公司數據:LinkedIn、Gmail、Salesforce或任何公司網站。」
安全設置較低的LinkedIn用戶允許個人資料「可搜索」並且未登錄該平台的用戶可見,這類用戶通常在開始新職位時,會在個人動態中註明聯繫方式。
當被問及哪些人最容易遭受黑客攻擊時,麥金農先生說黑客通常採取大面積覆蓋法。
「他們基本上會嘗試攻擊所有用戶,直到有一個成功為止。其中一些網路釣魚活動會面向能觸及到的每個用戶,如果這批人沒有受到攻擊,他們就會轉向下一批。」
古德曼說,LinkedIn要求用戶在其平台上發布的很多內容都會吸引網路犯罪者。
「毫無疑問,與任何社交平台一樣,用戶在LinkedIn上的活動可能會對一個公司的網路安全防禦構成潛在威脅。由於LinkedIn專註於商業社區,黑客可以使用LinkedIn個人資料對公司進行更有針對性的網路釣魚攻擊。」
「隨著對用戶的教育、工作經歷、技能和成就進行分析,黑客可以輕鬆獲取創建個性化消息所需的信息,然後定製攻擊行為,滲透公司系統。」
「一個常見的策略是向目標用戶發送一封網路釣魚電子郵件,說服他們點擊下載含有惡意軟體的鏈接。或者引導用戶登陸一個虛假網站,以獲取該用戶的登錄信息。」