钓鱼攻击的战场正在迅速转移。根据最新数据，34%的钓鱼攻击已不再局限于传统的电子邮件收件箱，而是通过社交媒体、搜索引擎和即时消息应用等非邮件渠道发起。在这场演变中，职场社交软件，例如LinkedIn（领英），正迅速成为网络钓鱼的热点区域。

攻击者正在利用这个专业的职场社交平台，对企业高管（特别是金融服务和科技行业）发起高度复杂的鱼叉式钓鱼攻击。然而，一个严峻的现实是，电子邮件之外的钓鱼攻击普遍未被充分报道，这毫不奇怪，因为业界绝大多数的钓鱼指标都来自电子邮件安全工具。

您可能会想：“员工在领英上被钓鱼，这和公司有什么关系？”

答案是：关系重大。尽管领英是个人应用，但它被常规性地用于工作目的，在企业设备上访问，并且攻击者正明确地以Microsoft Entra（原Azure AD）和Google Workspace等企业账户为目标。

领英钓鱼已成为企业今天必须准备应对的关键威胁。以下将剖析攻击者偏爱领英的五个核心原因，以及为何这些攻击如此有效。

1. 绕过传统安全边界，制造“安全盲区”

领英的私信（DM）功能使攻击者能够完全绕过大多数组织赖以防护钓鱼的电子邮件安全工具（如邮件网关、沙箱）。

在实际操作中，员工在公司电脑和手机上访问领英，但安全团队对这些通信几乎没有可见性。这意味着，外部攻击者可以在员工的工作设备上向其发送消息，而无需担心任何电子邮件拦截。

更糟糕的是，现代钓鱼工具包使用一系列混淆、反分析和检测规避技术，以绕过基于网页检查（如网络爬虫安全机器人）或网络流量分析（如Web代理）的反钓鱼控制。

这使得大多数企业只能依赖员工安全意识培训和报告作为主要防线，但在职场社交软件平台面临几个挑战：

• 响应困境：即使用户发现并报告了领英钓鱼，安全团队又能做什么？

• 无法评估范围：您无法看到还有哪些其他账户被锁定或已遭到入侵。

• 无法召回：与电子邮件不同，无法撤回或隔离正在发给多名用户的相同消息。

• 无法有效封堵：无法修改规则或阻止发件人。

唯一的常规操作是“报告该账户”并“阻止恶意URL”。但当攻击者快速轮换其钓鱼域名时，这无异于一场“打地鼠”游戏——当你阻止一个站点时，另外几个早已取而代之。

2. 成本低廉、易于扩展，且信任度高

与基于电子邮件的钓鱼相比，通过领英发动攻击的门槛更低，扩展性更强。

• 传统邮件钓鱼：攻击者通常需要提前创建电子邮件域名，并经历一个“预热期”来建立域名声誉，以通过邮件过滤器。

• 领英钓鱼：攻击者甚至不需要“预热”。他们选择了一条捷径：直接接管合法的领英账户。

统计显示，信息窃取器（Infostealer）日志中60%的凭证与社交媒体账户相关。这些账户往往缺乏MFA（多因素认证）保护，因为在名义上的“个人”应用上，用户很少被雇主强制要求开启MFA。

这为攻击者提供了一个极具可信度的发射台。他们可以无缝地切入一个账户的现有网络，并利用该网络固有的信任关系。当“账户劫持”与“人工智能驱动的私信”相结合时，攻击者便能轻松地将其领英钓鱼活动规模化。

3. 精准锁定高价值目标

正如销售人员们所熟知的，在领英上进行“侦察”易如反掌。攻击者可以轻松绘制出目标组织的人员结构图，并筛选出合适的攻击目标。

事实上，领英早已成为红队和攻击者在评估潜在社会工程目标时的首选工具。他们通过审查工作角色和职位描述，来估算哪些账户拥有发动成功攻击所需的访问级别和特权。

更重要的是，领英的私信没有任何筛选或过滤机制——没有垃圾邮件保护，也没有助理为您监控收件箱。这使其成为触达目标联系人（尤其是高管）最直接的途径，因此也是发起高度针对性鱼叉式钓鱼攻击的最佳场所之一。

4. 用户心理防线更易被突破

领英这类专业社交应用的本质，决定了用户预期会与组织外部的人建立联系和互动。

一位高管打开并回复领英私信的可能性，远高于他回复另一封垃圾邮件的可能性。

当攻击与“账户劫持”相结合时，来自已知联系人（甚至是同事）的消息，获得回应的可能性会急剧增加。这相当于攻击者接管了您现有业务联系人的电子邮件账户，这种情况在过去已导致了无数次数据泄露。

配合上恰当的借口（例如：寻求紧急批准、审查一份文件），攻击的成功率将显著提高。

5. 潜在回报极其丰厚：从个人账户到企业核心

不要因为攻击发生在“个人”应用上，就低估了其潜在影响。我们必须着眼于更大的图景。

大多数钓鱼攻击的最终目标是核心企业云平台，如Microsoft、Google，或Okta等专业身份提供商。

接管其中一个账户，不仅意味着攻击者可以访问该应用中的核心应用和数据，更使他们能够利用SSO（单点登录）登录到该员工可以访问的任何关联应用中。

这使攻击者几乎可以访问您组织中的每一个核心业务功能和数据集。从这一点出发，他们可以更容易地通过内部业务消息应用（如钉钉、Slack或Teams）针对其他用户，或使用SAMLjacking等技术，将内部应用变成一个针对其他登录用户的“水坑”。

案例警示：2023年Okta泄露事件

这起重大泄露事件充分暴露了个人账户与企业安全之间的模糊界限。

一名Okta员工在工作设备上登录了个人Google账户。这导致他保存在浏览器中的所有凭证（包括134个客户租户的凭证）都同步到了他的个人设备上。当他的个人设备被黑客入侵时，他的工作账户也随之失陷。

领英钓鱼正是利用了这种个人与工作身份的模糊地带。通过鱼叉式钓鱼攻击高管员工，一次单独的账户入侵就可能迅速演变成一场波及整个企业、损失高达数百万美元的“雪球式”泄露事件。

总结：网络钓鱼战场转至浏览器

职业社交网站钓鱼的兴起并非孤立事件，它标志着一个更广泛的趋势：随着工作在分散的互联网应用和多样化的通信渠道中进行，攻击向量早已超出了电子邮件的范畴。

攻击者现在可以通过即时消息、社交媒体、短信、恶意广告甚至SaaS服务本身来传递恶意链接，轻松绕过传统的邮件检查。

钓鱼攻击的主战场已经从收件箱转移到了浏览器。安全防护也必须随之进化。为了应对现代钓鱼攻击，企业需要加强安全意识培训，同时部署能够在所有应用和交付载体上实时检测和阻止钓鱼的解决方案。

文章来源：GoUpSec