【IT168资讯】知名的专业人士社群网站LinkedIn近来变成鱼叉式网络钓鱼的新目标,黑客们取得LinkedIn网站上的用户数据,发送夹带木马程序的电子邮件,窃取计算机中的账号与密码,传送至黑客的计算机。鱼叉式网络钓鱼(Spear Phishing),指的是针对特定的对象进行攻击,利用社交工程的方式取信于收件人,以趁机植入木马到受害者的计算机中,窃取个人银行账号、公司商业机密或是将之变成殭尸计算机等等。
Cellopoint Global Anti-spam Center (CGAC)指出,这些钓鱼信件的标题为:”We managed to export the list of business contacts you have asked for.”、发信来源来自合法的网域且收件人是正确的社群用户的姓名跟电子邮件,不免让人怀疑LinkedIn网站发生了资料外泄的情况。黑客将正确的收件人的姓名跟电子邮件标明出来,以增加邮件的可信度,而且大部分的使用者,已习惯接收来自社群网站电子报跟通知,造成在处理这些邮件时,无法判断真伪。
Cellopoint 邮件分析专家指出,鱼叉式网络钓鱼成功机率远高于传统的钓鱼垃圾信,大部分的收件人可以轻易的判断出一般的垃圾信,但对于鱼叉式攻击却毫无防备。由于黑客躲在暗处防不胜防,目前除了消极的预防及保护的措施,更重要的是,要对公司及组织的网络进行监控,尤以邮件内容的稽核最为重要,不论寄内或寄外的电子邮件,都必须经过邮件稽核产品的扫描,确认内容无敏感的数据后才予以放行,即使员工的计算机不慎被植入木马,也可以减低发生数据外泄的机会。