攻擊者為何會(huì)選擇LinkedIn?
社交網(wǎng)絡(luò)的搜索功能為攻擊者還有合法LinkedIn用戶提供了快速查找目標(biāo)受眾的方法。無(wú)論是尋找潛在員工的招聘人員���、尋找“成功人士”的感情騙子或是尋找特定行業(yè)知名人士的高級(jí)攻擊者���,只要是LinkedIn用戶����,就都可以利用這些工具進(jìn)行搜索優(yōu)化��。LinkedIn數(shù)據(jù)報(bào)告顯示����,在2012年,社交網(wǎng)絡(luò)中的搜索量達(dá)到了57億�。
需要注意的是,攻擊者訂購(gòu)了LinkedIn付費(fèi)賬戶服務(wù)��,與基本賬戶服務(wù)相比���,這一功能讓攻擊者有了更多的優(yōu)勢(shì)��?����;举~戶的搜索過濾內(nèi)容包括地理位置���、行業(yè)以及語(yǔ)言�����。升級(jí)為付費(fèi)用戶后,搜索過濾條件將會(huì)增加職業(yè)���、資歷水平以及企業(yè)規(guī)模���。攻擊者可以利用所有這些條件來選擇符合其目的的特定攻擊目標(biāo)。此外�����,付費(fèi)賬戶的功能還會(huì)促進(jìn)該賬戶與攻擊目標(biāo)之間的交互程度���。一旦目標(biāo)用戶瀏覽了攻擊者的資料�,攻擊者就可以看到該用戶的所有瀏覽者�����。攻擊者可以在海量資料中搜索任意LinkedIn用戶并與之進(jìn)行聯(lián)系�����。
攻擊詳情
攻擊者建立了一個(gè)名為“Jessica Reinsch”的虛假用戶。Websense安全專家經(jīng)過研究發(fā)現(xiàn)��,該用戶鏈接至一個(gè)位于瑞士的IP為82.220.34.47的社交網(wǎng)站�����。此外�,值得注意的是,盡管位置信息很容易偽造���,但Websense安全專家仍檢測(cè)到��,攻擊者來自于瑞士���。
Websense安全專家表示,在這種情況下���,所謂的社交網(wǎng)站僅僅是一個(gè)誘餌�����。下圖就是被攻擊者作為誘餌的社交網(wǎng)站:
在最初的時(shí)候����,該社交網(wǎng)絡(luò)中并不包含惡意代碼,但是隨著時(shí)間的推移����,該網(wǎng)絡(luò)就逐漸變?yōu)榉欠ňW(wǎng)站,Websense安全專家檢測(cè)到在相同的IP上注冊(cè)了其它托管blackhat SEO等惡意代碼的域名��。此外�,專家還發(fā)現(xiàn)����,用于托管社交網(wǎng)站的IP也托管了ASN(目前已知的托管漏洞利用工具包和非法網(wǎng)站的站點(diǎn))和大量的漏洞利用命令和控制URL,如RedKit和Neutrino漏洞利用工具包�����。
總結(jié)
目前����,盡管這一特殊的用戶資料并沒有將LinkedIn用戶引至惡意代碼,但它極有可能已經(jīng)跟用戶建立了聯(lián)系并收集到了相關(guān)資料�����。諸如當(dāng)前雇主�����、職務(wù)、社交網(wǎng)絡(luò)聯(lián)系人以及技術(shù)技能等信息都可能為攻擊者所利用����,以提高其在LinkedIn網(wǎng)絡(luò)之外發(fā)起的針對(duì)性更強(qiáng)的攻擊的成功率。
Websense可以全方位保護(hù)用戶安全���。通過Websense ACE(高級(jí)分類引擎)���,Websense為用戶提供了針對(duì)社交網(wǎng)絡(luò)與相關(guān)漏洞利用工具包的防御措施。此外�����,Websense安全實(shí)驗(yàn)室專家也已經(jīng)將攻擊賬戶信息提交給LinkedIn���,以便其快速采取相應(yīng)措施�����,保護(hù)其他用戶的安全�。
