一、“您好,我们有个高管职位想和您聊聊”
2025年秋,欧洲一家中型金融科技公司的CFO收到一条来自LinkedIn的私信:“您好,我是某国际风投的合伙人,看到您的履历非常出色,我们正在为一家快速成长的支付平台物色CFO人选,薪资范围150万–200万欧元,有兴趣进一步沟通吗?”
消息附带一个链接:“点击此处查看职位详情与公司介绍”。出于职业敏感性和对机会的期待,这位CFO没有多想,直接在公司配发的Windows笔记本上点击了链接。
几秒后,页面跳转至一个看似标准的Microsoft 365登录界面。他输入账号密码,完成Microsoft Authenticator推送确认——一切如常。然而,就在他以为这只是招聘方要求验证身份时,他的邮箱、OneDrive和Teams会话已被远程克隆。三天后,攻击者利用其权限发起一笔“供应商付款”,将87万欧元转入境外账户。
这并非虚构情节,而是安全公司Push在2025年10月真实拦截的一起高级LinkedIn钓鱼攻击。据荷兰科技媒体Techzine报道,此类攻击正以惊人速度增长,且技术手段日益成熟:利用社交信任、多重重定向、动态内容生成与Adversary-in-the-Middle(AitM)代理,成功绕过多因素认证(MFA),直取企业核心身份凭证。
更令人担忧的是,由于传统反钓鱼体系聚焦于电子邮件,而LinkedIn等商务社交平台未被纳入同等监控范畴,大量企业在这一“看不见的角落”暴露无遗。
二、攻击链拆解:从一条私信到会话劫持
根据Push Security发布的技术分析,这起攻击展现了典型的“社交工程+技术规避”融合策略,其链条可分为五个关键阶段:
阶段1:高可信身份伪装
攻击者创建高度仿真的LinkedIn账号:使用AI生成的专业头像、伪造的工作经历(如“前麦肯锡顾问”“某基金合伙人”)、甚至盗用真实高管的照片与姓名。账号活跃度通过自动化脚本维持,发布行业评论、点赞同行内容,以提升可信度。
“他们不再用‘尼日利亚王子’套路,而是扮演你愿意主动加好友的人。”公共互联网反网络钓鱼工作组技术专家芦笛指出,“在职场社交语境下,用户对‘合作’‘机会’的警惕性天然低于垃圾邮件。”
阶段2:诱导点击“站内链接”
私信内容通常包含以下几种话术:
“我们对您的背景很感兴趣,请查看职位详情”;
“有笔潜在投资想和您探讨,附件是项目简报”;
“您是否考虑加入我们的顾问委员会?点击确认意向”。
链接表面指向 linkedin.com 子域或看似合法的第三方域名(如 careers.vc-partner[.]com),实则由攻击者控制。
阶段3:多重可信重定向规避检测
用户点击后,并非直接跳转至钓鱼页,而是经历三重甚至四重跳转:
先重定向至Google搜索结果页(如 google.com/url?q=...);
再跳转至一个近期注册的域名(如 payrails-canaccord[.]icu);
最终加载托管在 Google Firebase Storage(firebasestorage.googleapis[.]com)上的HTML页面。
由于Google、Firebase均为高信誉服务,多数企业安全网关(Secure Web Gateway)和CASB(云访问安全代理)默认放行,导致恶意载荷顺利抵达终端。
阶段4:动态生成钓鱼页面,对抗指纹识别
最终呈现的登录页面并非静态HTML,而是通过JavaScript动态构建。Push发现,同一钓鱼套件(phishing kit)每次加载都会随机生成:
页面标题(如“Microsoft Login” / “Office 365 Portal”);
背景图片(从CDN随机拉取);
Favicon图标;
表单字段ID与CSS类名。
部分元素甚至以Base64编码嵌入HTML,在运行时解码渲染。这种“多态性”设计有效规避了基于DOM结构或视觉指纹的静态检测。
以下为简化版的动态生成逻辑(教学演示):
<script>
// 动态构造登录表单
const titles = ["Sign in to your account", "Microsoft 365 Access", "Verify Your Identity"];
const favicons = ["favicon1.ico", "microsoft_fav.ico", "office365.ico"];
document.title = titles[Math.floor(Math.random() * titles.length)];
document.querySelector("link[rel='icon']").href = favicons[Math.floor(Math.random() * favicons.length)];
// 表单字段随机命名
const usernameField = document.createElement('input');
usernameField.type = 'text';
usernameField.name = 'user_' + Math.random().toString(36).substr(2, 9);
usernameField.id = 'id_' + Date.now();
const passwordField = document.createElement('input');
passwordField.type = 'password';
passwordField.name = 'pass_' + Math.random().toString(36).substr(2, 9);
document.getElementById('loginForm').appendChild(usernameField);
document.getElementById('loginForm').appendChild(passwordField);
</script>
注:真实攻击中,表单提交通过Fetch API异步发送至AitM代理,而非传统form action。
阶段5:AitM实时代理,绕过MFA
最关键的一步在于:用户输入凭据并完成MFA后,数据并非直接发送给攻击者,而是由钓鱼页面背后的反向代理服务器实时转发至真实的Microsoft登录端点。
整个流程如下:
用户在钓鱼页输入 user@company.com 和密码;
凭据被发送至攻击者的AitM服务器(如 proxy.m365-login[.]xyz);
AitM服务器向 login.microsoftonline.com 发起真实登录请求;
Microsoft返回MFA挑战(如Authenticator推送);
用户在手机上批准;
Microsoft返回有效会话Cookie(如 .AspNet.Cookies, ESTSAUTHPERSISTENT);
AitM截获这些Cookie,并将其注入攻击者的浏览器;
攻击者获得完整会话,可访问邮箱、SharePoint、Azure AD等所有SSO应用。
整个过程,用户确实完成了MFA,系统也未记录异常登录——但会话已被“镜像”。
三、为何传统安防“看不见”?
Techzine的报道尖锐指出:LinkedIn已成为企业安全架构中的“盲区”。原因有三:
监控重心错位
90%以上的反钓鱼投入集中在邮件层(如DMARC、沙箱、URL过滤)。而LinkedIn消息属于“站内通信”,既不经过邮件网关,也不触发传统DLP策略。
终端使用场景模糊
员工普遍在办公设备上使用LinkedIn处理“半公务”事务(如招聘、BD、行业交流),企业难以一刀切禁止,又缺乏细粒度管控。
SaaS流量可见性不足
即便部署了CASB,若未对LinkedIn的API调用和嵌入式链接进行深度解析,仍无法识别其中隐藏的重定向链。
“这就像在门口装了最先进的门禁,却忘了后院的狗洞。”芦笛比喻道,“攻击者早就知道,防线最弱的地方,往往不是技术漏洞,而是管理盲区。”
四、国内启示:中国职场社交同样面临风险
尽管LinkedIn在中国大陆受限,但脉脉、BOSS直聘、猎聘、甚至微信职场群,正成为类似攻击的温床。
2025年已有案例显示:
有攻击者冒充“红杉资本HR”,通过脉脉私信发送“融资尽调文档.docm”,诱导启用宏;
某上市公司法务收到“律所合作邀请”,点击链接后进入伪造的钉钉登录页,被盗取企业邮箱;
微信群内流传“某大厂内推绿色通道”,实则为OAuth钓鱼,窃取简历库访问权限。
芦笛强调:“中国企业的协作文化更依赖即时通讯和社交平台,反而更容易被‘熟人语气’‘机会诱惑’攻破心理防线。”
尤其值得注意的是,国内大量中小企业未部署EDR或CASB,员工在个人微信、钉钉上处理公务已成常态。“一旦攻击者混入行业群或校友圈,钓鱼成功率将指数级上升。”
五、防御升级:从“堵链接”到“建免疫”
面对社交平台钓鱼的新常态,专家建议采取以下措施:
1. 将社交平台纳入安全代理与CASB覆盖范围
对LinkedIn、脉脉等平台的出站流量实施SSL解密与URL重写;
配置策略:禁止从社交平台直接跳转至身份提供商(IdP)登录页;
使用CASB的“应用行为分析”功能,识别异常OAuth授权或文件下载。
2. 高价值岗位实施“双通道验证”
对财务、HR、法务、IT等角色,建立额外核验机制:
所有外部合作请求必须通过官方邮箱或电话二次确认;
禁止通过社交私信接收可执行文件或带宏文档;
推行“零附件”原则:所有文件通过企业网盘共享,自动剥离宏。
3. 全面推广抗钓鱼MFA(Phish-Resistant MFA)
强制使用FIDO2/WebAuthn硬件密钥(如YubiKey)或生物识别认证;
禁用短信和TOTP作为高权限账户的唯一2FA方式;
启用条件访问(Conditional Access):限制登录地域、设备合规性、应用类型。
微软数据显示,启用FIDO2可将账户接管风险降低99.9%。
4. 部署浏览器隔离(Browser Isolation)
对所有来自社交平台、邮件、聊天工具的外部链接,强制在远程沙箱中打开。本地设备仅接收渲染后的图像流,无法执行JavaScript或下载文件。Citrix、Cloudflare、Menlo Security等厂商均提供此类方案。
5. 开展“社交工程红队演练”
定期模拟“猎头私信”“投资邀约”“行业峰会邀请”等场景,测试员工响应。重点训练:
不点击私信中的链接;
不在非官方域名输入企业账号;
对“紧急”“高薪”“独家”等话术保持警惕。
六、结语:信任不能外包,安全必须延伸至每一个交互点
LinkedIn钓鱼的兴起,标志着网络攻击正式进入“社交原生”时代。攻击者不再需要精心伪造一封邮件,只需扮演一个“值得信赖的角色”,就能撬动整个企业身份体系。
这不仅是技术挑战,更是组织文化的考验。当“机会”与“风险”仅一线之隔,唯有将安全意识内化为职场本能,才能避免在一次轻率的点击中,交出数字世界的钥匙。
正如芦笛所言:“未来的安全边界,不在防火墙,而在每个人的指尖。每一次点击,都是一次安全决策。”
编辑:芦笛(公共互联网反网络钓鱼工作组)
