2025年11月,上海某跨国制造企业的CFO李薇(化名)收到一条来自LinkedIn的私信。发信人头像专业、履历光鲜——“Michael Chen,亚太区合伙人,Horizon Capital”。消息写道:“我们正在评估贵司作为潜在投资标的,附件为初步尽调清单,请查收并确认联系人信息。”随附一个看似无害的链接:docs.horizon-invest[.]com/view?id=FIN-2025-Q4。
李薇点开后,页面跳转至一个与微软Office 365登录界面几乎一模一样的页面,仅域名略有差异。她输入公司邮箱和密码,点击“登录”,页面随即显示“文档加载中……”。几秒后,系统提示“文件已发送至您的邮箱”。
她以为一切正常。殊不知,她的账户凭证已被实时捕获,并在三小时内被用于发起一笔87万元的虚假供应商付款申请。
这不是孤例。据网络安全公司Push Security最新披露,2025年下半年以来,针对LinkedIn用户的定向钓鱼攻击激增,目标高度集中于企业财务、采购及高管人群。攻击者精心伪造投资机构、战略合作伙伴甚至猎头身份,利用平台私信通道绕过传统邮件安全网关,在企业内部形成“看不见的突破口”。
更令人担忧的是,由于LinkedIn等社交平台通常不在企业DLP(数据防泄漏)或EDR(终端检测响应)系统的监控范围内,这类攻击长期处于“可见性盲区”——直到资金损失发生,企业才后知后觉。
一、从“垃圾邮件”到“精准社交工程”:钓鱼的平台迁移
过去十年,企业邮箱安全体系日趋严密:SPF、DKIM、DMARC协议普及,AI驱动的邮件网关能识别99%以上的恶意附件和链接。然而,攻击者早已将战场转向“防守薄弱区”——职业社交平台。
LinkedIn因其用户高度专业化、信任度高、且支持富媒体私信,成为理想跳板。根据Proofpoint 2025年《商业电子邮件威胁报告》,超过63%的BEC(商业电子邮件欺诈)攻击前期,都伴随LinkedIn社工侦察行为。
“攻击者不再群发‘尼日利亚王子’式邮件,而是花数周研究目标背景,”公共互联网反网络钓鱼工作组技术专家芦笛指出,“他们知道CFO关注什么——投资、并购、税务优化。于是,一封‘私募基金尽调邀请’比一百封钓鱼邮件更有效。”
典型攻击链路如下:
情报收集:通过LinkedIn公开资料、公司官网、新闻稿,锁定目标姓名、职位、近期动态;
身份伪装:注册高仿账号(如“Horizon Capital APAC”),使用真实机构Logo、完善履历;
诱饵投放:发送“合作邀约”“职位推荐”“行业白皮书”等高相关性私信,附带短链接;
凭证窃取:链接指向仿冒Microsoft 365、Google Workspace或企业内部门户的登录页;
横向渗透:利用获取的凭证访问邮箱、财务系统,发起BEC转账或窃取供应商数据。
Push Security拦截的一起案例中,攻击者甚至伪造了DocuSign签名请求页面,要求“确认NDA条款”,诱导用户二次输入凭证。
二、技术升级:多层规避与动态基础设施
与早期静态钓鱼页不同,当前LinkedIn钓鱼攻击采用高度动态化、对抗分析的技术栈。
(1)可信重定向链(Trusted Redirect Chains)
攻击者不再直接使用恶意域名,而是嵌入合法第三方服务作为跳板。例如:
linkedin.com → bit.ly/xxx → onedrive.live.com/redirect?url=malicious-site.com
由于中间环节使用微软、Google或Cloudflare等可信域名,传统URL过滤器难以拦截。
(2)动态子域与一次性域名
部分团伙使用自动化脚本批量注册子域,每个受害者分配唯一入口。例如:
user123.docs-secure[.]xyz
fin-cfo.preview-docs[.]top
这些域名存活时间极短(<24小时),且通过Let's Encrypt自动部署HTTPS证书,规避SSL异常告警。
(3)浏览器指纹识别与反沙箱机制
为逃避安全研究人员分析,钓鱼页面常嵌入JavaScript指纹检测代码,识别是否运行在虚拟机、无头浏览器(Headless Browser)或自动化工具中。若检测到可疑环境,则返回空白页或正常内容。
以下是一段简化版的反分析脚本示例:
// 检测是否为无头浏览器(Puppeteer/Playwright)
if (navigator.webdriver || !window.chrome) {
window.location = "https://legit-site.com"; // 重定向至正常页面
return;
}
// 检测屏幕分辨率、插件数量等异常
if (screen.width < 1024 || navigator.plugins.length === 0) {
document.body.innerHTML = "<h1>Access Denied</h1>";
throw new Error("Bot detected");
}
// 正常加载钓鱼表单
document.getElementById("phish-form").style.display = "block";
此类技术大幅提升了自动化检测的难度。
(4)云服务预览伪装
更狡猾的是,攻击者开始滥用合法云服务的“预览”功能。例如,上传一个名为Investment_Proposal.pdf.lnk的快捷方式文件至OneDrive或Google Drive共享链接。当用户点击“在线预览”时,系统提示“需下载查看”,一旦执行,即触发PowerShell下载恶意载荷。
“这种手法利用了用户对云平台的信任,”芦笛解释,“他们以为是PDF,其实是Windows快捷方式,背后藏着Cobalt Strike Beacon。”
三、国际案例警示:从硅谷到新加坡的连锁反应
2025年9月,美国加州一家生物科技公司遭遇典型LinkedIn钓鱼攻击。攻击者冒充知名风投Sequoia Capital合伙人,向CFO发送“领投B轮融资”意向书。CFO点击链接后凭证泄露,攻击者随后以CEO名义向财务团队发送邮件,要求“紧急支付专利授权费”至新账户,造成210万美元损失。
同年12月,新加坡金融管理局(MAS)通报一起针对本地银行高管的攻击。诈骗者创建高仿账号“BlackRock Asia Strategy”,私信多位VP级员工,附带“ESG投资框架草案”链接。其中两人中招,导致内部通讯录和客户KYC资料外泄,为后续精准BEC铺路。
而在欧洲,德国联邦信息安全办公室(BSI)警告称,制造业供应链已成为重灾区。攻击者通过LinkedIn接触采购经理,声称“优化供应商流程”,诱导其更新银行账户信息至伪造的ERP门户。
“这些案例的共同点是:利用职业身份的天然信任,绕过技术防线,直击人性弱点,”芦笛说,“而企业往往只监控邮件,却放任社交平台私信畅通无阻。”
四、国内风险:社交平台未被纳入零信任体系
尽管上述事件集中于海外,但中国企业的风险同样不容忽视。随着LinkedIn(领英)在中国保留“领英职场”服务,以及脉脉、猎聘等本土平台兴起,类似攻击已有苗头。
2025年第三季度,某头部券商风控部门发现,多名投行MD收到“中东主权基金”合作邀约私信,附带“项目保密协议”链接。经内部排查,确认为钓鱼尝试。所幸公司已部署浏览器隔离策略,未造成实际损失。
然而,多数中小企业仍将社交平台视为“非生产系统”,未纳入安全管控范围。“员工用个人设备登录LinkedIn,接收外部消息,再切换到公司邮箱操作——这条路径完全裸奔,”芦笛指出。
更严峻的是,国内部分企业仍在推广“单点登录”(SSO)至第三方应用,若主账户(如Microsoft 365)被窃,攻击者可一键访问CRM、ERP、财务系统,后果不堪设想。
五、技术反制:从隔离到无密码认证
面对新型社交钓鱼,工作组提出“纵深防御+身份重构”双轨策略。
(1)浏览器隔离(Browser Isolation)
核心思想是:将高风险浏览行为与终端设备物理隔离。用户点击LinkedIn链接后,实际在远程沙箱中渲染页面,本地仅接收像素流,无法执行恶意代码。
主流方案包括:
远程浏览器隔离(RBI):如Cloudflare Browser Isolation、Menlo Security;
本地容器化:使用Fireglass或Citrix Secure Browser。
企业可配置策略:所有来自社交媒体的外部链接强制通过隔离环境打开。
(2)安全代理与DLP扩展
传统DLP聚焦邮件和USB,但应扩展至浏览器流量。通过部署CASB(云访问安全代理)或ZTNA(零信任网络访问)网关,可对LinkedIn等平台的出站流量进行深度检测:
URL信誉检查;
表单提交内容分析(如是否包含公司域名、凭证关键词);
异常会话行为告警(如短时间内多次跳转登录页)。
(3)FIDO2无密码认证:釜底抽薪
最根本的解决方案,是让凭证失去价值。FIDO2标准(WebAuthn + CTAP)支持使用硬件密钥(YubiKey)、生物识别或手机推送实现无密码登录。
即使攻击者诱导用户在钓鱼页输入“密码”,由于FIDO2依赖公私钥加密且绑定具体域名,伪造站点无法完成认证握手。
以下为WebAuthn注册流程的简化代码逻辑:
// 前端:发起注册
const createCredentialOptions = await fetch('/webauthn/register/options', {
method: 'POST',
body: JSON.stringify({ username: 'cfo@company.com' })
}).then(r => r.json());
// 调用浏览器原生API
const credential = await navigator.credentials.create({
publicKey: createCredentialOptions
});
// 发送公钥至服务器
await fetch('/webauthn/register', {
method: 'POST',
body: JSON.stringify(credential)
});
关键在于:私钥永不离开用户设备,且认证仅对注册域名有效。即便钓鱼站克隆了登录UI,也无法通过navigator.credentials.get()获取有效断言。
“FIDO2不是万能的,但它是目前对抗凭证钓鱼最有效的武器,”芦笛强调,“尤其对财务、IT管理员等高权限角色,应强制启用。”
(4)情景化演练与事前核验
技术之外,流程设计同样关键。工作组建议企业建立“高风险指令三原则”:
视频回呼:任何涉及资金、账户变更的外部请求,必须通过已知号码视频确认;
域名验证:员工需养成检查URL完整性的习惯,警惕microsoft-support[.]com类仿冒;
延迟执行:非紧急付款设置2小时冷静期,自动通知风控团队。
此外,定期开展“LinkedIn钓鱼模拟演练”——由安全部门伪装投资人发送测试私信,评估员工识别能力。
六、未来展望:社交平台需承担更多安全责任
长远来看,LinkedIn等平台不能仅扮演“信息中介”。工作组呼吁其:
对高频发送外部链接的账号实施速率限制;
在私信中嵌入安全提示(如“此链接非LinkedIn官方内容”);
开放API供企业集成安全代理,实现消息内容扫描。
“信任不应是默认选项,”芦笛总结道,“在数字职场,每一次点击都可能是陷阱。而真正的安全,始于对‘熟人’的合理怀疑。”
编辑:芦笛(公共互联网反网络钓鱼工作组)
