研究人员发现,黑客在LinkedIn上创建虚假的个人账号,并通过这些账号来盗窃用户信息,从而进行商业间谍活动以及社会工程学攻击。
在LinkedIn中,个人档案包含几个重要的部分。首先是头像的展示。一张清晰大方的头像将立即为档案增加可见度与真实度。第二为职业概述。综合展示职业背景、领域、目标与兴趣。第三就是工作经历。展示工作经历,无论全职还是兼职,提供与职位有关的细节,以便档案访客能够快速了解工作信息。
戴尔公司反威胁安全部门的安全研究专家已经在针对中东,北非以及南亚的个人用户的社会工程学攻击活动中发现了一个虚假网络,并在这个虚假网络中发现了至少25个经过精心设计的LinkedIn账号。据了解,这些虚假的账号与另外的204个合法的个人账号有联系,这些合法的个人账号来源于安全防御,电信通讯,政府,以及公共事业等领域。其中,有四分之一的目标用户来源于中东和北非的电信部门。幸运的是,LinkedIn已经将这些虚假的账号从数据库中删除了。
这一虚假网络的创建可以帮助攻击者通过社会工程学的方法来对目标用户实施攻击。在用户的私人网络中,用户会很轻易地信任网络组中的其他用户,而在这样的情况下,用户会更加容易受到网络钓鱼邮件的攻击。除此之外,目标用户还很有可能去访问一个由同一网络中其他用户所推荐的某一网站。
在这个网络中存在有八个负责人的账号,这些账号的个人信息带有完整的教育经历以及非常详细的工作经历(当然了,这些信息肯定是假的)。剩下的简介信息是关于网络服务的一些相关数据,而这些信息可以让这个网络看起来更加像正常的合法网络。这些账号自称属于主要行业领域的某些公司,这些公司包括国防承包商Northrop Grumman公司,TeleDyne科技公司,马来西亚的RHB兴业银行,以及韩国Doosan控股公司。其中有五位网络负责人自称是TeleDyne科技公司,Doosan控股以及空客公司的招聘人员,其余三名负责人则自称是Doosan控股公司以及石油化工行业的工作人员。
研究人员表示,长久以来,攻击者都会利用社交网络来进行他们的侦查工作。他们会有针对性地挑选出需要发布到网站上的个人信息,因为这样做的攻击成功率才是最高的。近期,虚假的LinkedIn简介信息正在不断增加,很有可能是因为这样的社会工程学攻击能够给黑客们带来可观的回报。
这些虚假的账号会自称是某些公司的招聘者,所以只要目标用户动心了,那么他们就有可能成为攻击者的“盘中餐”。正因为如此,所以SecureWorks的研究人员建议大家直接联系公司的HR,这样就可以直接鉴别这一招聘信息是否合法了。
攻击者可以通过虚假网络来向用户发送链接请求来与用户直接建立关系。他们同样也可以尝试与目标用户进行连接。研究人员说到:“如果其中一个虚假账户已经与目标的LinkedIn网络相连接了,那么与用户建立直接的关系将变得更加的简单。”
当某一用户声称自己与某人有相互联系的时候,用户应当站在一个“明智且谨慎”的立场来看待这一信息。因为这个人在你同事或者朋友的网络中,并不意味着这个人就是可以信任的。用户应当在LinkedIn之外的地方来鉴别这个人。
有些虚假的账号甚至会有五百多个有关系的网络,这也就意味着,这个账号已经与一些目标用户有着根深蒂固的网络关系了,而且这个账号也可以访问到很多的共享信息。当目标用户接受了LinkedIn的请求,当网站询问到时,他们很有可能会共享他们的个人信息,因为这个人不再是一个陌生人了,而是一个与自己有着某种联系的人。
研究人员说到:“从这些账号的个人简介中,我们可以看到,这些不法分子在创建和维护这些账号的时候,投入了大量的时间和精力。”
目前,社交网络情报收集是攻击者一种常见的做法,特别是针对类似LinkedIn的专业社会媒体。因此,下一次在你点击“接受”按钮之前,请你再三确认这个人的真实身份。
……