钓鱼攻击已不再局限于电子邮件收件箱，如今三分之一的钓鱼攻击通过社交媒体、搜索引擎和即时通讯应用等非邮件渠道实施。LinkedIn 尤其成为钓鱼攻击的温床，这背后存在充分理由。攻击者正针对企业高管开展精密的鱼叉式钓鱼攻击，近期活动主要瞄准金融服务和科技行业的企业。

但邮件渠道外的钓鱼攻击仍存在严重漏报现象——考虑到行业多数钓鱼指标来自邮件安全工具，这并不令人意外。您可能认为"员工在 LinkedIn 遭钓鱼与我何干？"但需注意，虽然 LinkedIn 是个人应用，却常被用于工作目的，通过企业设备访问，且攻击者专门瞄准 Microsoft Entra 和 Google Workspace 等企业账户。

因此，LinkedIn 钓鱼已成为企业当前必须防范的关键威胁。以下是攻击者选择 LinkedIn 实施钓鱼的五大原因及其高效性的深层解析。

一、规避传统安全工具

LinkedIn 私信完全绕过了企业依赖的邮件安全防护体系。实践中，员工通过工作电脑和手机访问 LinkedIn，但安全团队对这些通信毫无可见性。这意味着外部人员可通过工作设备直接联系员工，完全规避邮件拦截风险。

更严峻的是，现代钓鱼工具包采用混淆、反分析和检测规避等技术，可绕过基于网页检查（如网络爬虫安全机器人）或流量分析（如网络代理）的反钓鱼控制。这迫使多数企业仅能依赖用户培训和举报作为主要防线——显然并非理想状态。

即便用户发现并举报 LinkedIn 钓鱼，企业能采取的措施也极为有限：无法查看其他受影响账户，无法像邮件那样召回或隔离已发送的恶意信息，也无法修改规则或屏蔽发件人。虽然可以举报账户，但当恶意账户被冻结时，攻击者往往已达成目标。

多数企业仅能封禁相关网址。但在攻击者快速轮换钓鱼域名的情况下，这种防御形同虚设——当您封禁一个站点时，更多替代站点早已就位。这就像一场注定失败的打地鼠游戏。

二、攻击成本低且易规模化

相比邮件钓鱼，LinkedIn 钓鱼具有显著优势：

• 邮件攻击需预先创建域名，经历信誉培养期以通过邮件过滤器

• 社交媒体仅需创建账户、建立联系、发布内容进行伪装

但更简单的方式是直接劫持合法账户。信息窃取器日志中 60% 的凭证关联社交媒体账户，且多数未启用 MFA（因"个人"应用通常不强制要求多因素认证）。这为攻击者提供了可信的跳板，使其能利用账户现有关系网实施攻击。

结合 AI 驱动的私信功能，攻击者可轻松扩大 LinkedIn 钓鱼的覆盖范围。

三、轻松锁定高价值目标

如同销售专业人士所知，LinkedIn 情报收集轻而易举。攻击者能轻松绘制企业人员图谱，筛选合适目标。事实上，LinkedIn 已成为红队和攻击者寻找社会工程学目标的首选工具——通过分析职位描述评估账户权限等级，为成功攻击铺路。

LinkedIn 消息既无垃圾邮件过滤，也无助理监控，堪称接触目标最直接的渠道，也因此成为精准鱼叉式钓鱼的理想平台。

四、用户更容易上当

职业社交应用的本质决定了用户需要与外部人员互动。实际上，企业高管更可能查看并回复 LinkedIn 私信，而非垃圾邮件。当攻击结合账户劫持时，来自"已知联系人"的消息回应率更高——这类似于过去导致多起数据泄露事件的商业邮箱劫持。

近期案例显示，这些"联系人"甚至可能是同事。攻击者劫持公司邮箱后，可轻易针对高管发起鱼叉式钓鱼。配合紧急审批、文件审阅等恰当话术，成功率将大幅提升。

五、潜在收益巨大

虽然攻击通过"个人"应用实施，影响却可能波及整个企业。多数钓鱼攻击瞄准 Microsoft、Google 等核心云平台或 Okta 等专业身份提供商。控制这些账户不仅能访问应用内数据，还能通过单点登录（SSO）进入员工使用的所有关联应用。

这意味着攻击者可触及企业几乎所有核心业务功能和数据集。从此处出发，攻击者能轻松瞄准其他内部应用用户——利用 Slack 或 Teams 等商务通讯工具，或通过 SAMLjacking 等技术将应用变为攻击其他用户的"水坑"。

结合针对高管的鱼叉式钓鱼，单账户沦陷可能引发波及全企业、损失数百万美元的重大泄露事件。即使攻击仅影响员工个人设备，仍可能演变为企业账户入侵。例如 2023 年 Okta 数据泄露事件：攻击者利用员工在工作设备登录个人 Google 账户的漏洞，使浏览器保存的 134 个客户租户凭证同步至个人设备，最终导致工作账户失陷。

不仅是 LinkedIn 的问题

现代工作场景分散于各类互联网应用，沟通渠道日益多元化，阻止用户接触恶意内容变得前所未有的困难。攻击者可通过即时通讯、社交媒体、短信、恶意广告等渠道投递链接，或直接通过 SaaS 服务发送邮件绕过检测。同时，企业使用的数百款应用存在不同程度的安全配置差异。

在浏览器层面阻断钓鱼攻击

钓鱼已超越邮箱范畴，安全防护亦需同步升级。应对现代钓鱼攻击需要能检测和阻断所有应用及投递渠道的解决方案。Push Security 可实时分析网页代码、行为和用户交互，在用户加载恶意页面时立即阻断攻击，无论攻击采用何种投递渠道或规避技术。

该方案还能阻止基于浏览器的攻击，如 AiTM 钓鱼、凭据填充、恶意扩展、OAuth 授权劫持等。企业可通过 Push 主动发现并修复员工使用应用中的漏洞，包括幽灵账户、SSO 覆盖缺口、MFA 缺失和弱密码等问题，甚至能监测工作浏览器中的个人账户登录行为（预防类似 2023 年 Okta 的事件）。

文章转载自“51CTO”官方网站。