Check Point：领英网成为第一季度网络钓鱼攻击最常被模仿的品牌

2022 年 4 月 19 日 ，网络安全解决方案提供商 Check Point ® 软件技术有限公司（纳斯达克股票代码：CHKP）的威胁情报部门 Check Point Research (CPR) 发布了其《2022 年第一季度网络钓鱼报告》。该报告重点介绍了2022年一季度网络犯罪分子在企图窃取个人信息或支付凭证时最常恶意模仿的品牌。 

职场社交媒体领英网（ LinkedIn） 首次高居榜首，在本季度所有网络钓鱼攻击中占比超过一半 (52%)，较之上一季度大幅增长了 44%。在上一季度，这家专业社交网站仅占网络钓鱼攻击的 8%，位居第五。LinkedIn 取代 DHL 成为了最常被攻击的品牌。DHL 目前排名第二，占本季度所有网络钓鱼攻击的 14%。

最新报告突显了攻击者转向社交网络的新兴趋势。该行业现在是首要攻击类别，超过了航运公司和技术巨头，例如 Google、Microsoft 及 Apple。除了 LinkedIn 压倒性地成为最常被恶意模仿的品牌以外，WhatsApp 也稳居前十排行榜，在全球网络钓鱼相关攻击中占比近 5%。该报告描述了一个具体示例，即攻击者通过虚假官方电子邮件联系 LinkedIn 用户，企图诱骗其点击恶意链接。一旦点击，用户将被引导至一个虚假门户进行登录，其凭证将会落入攻击者的黑手。

航运行业是目前第二大最常被攻击的类别，攻击者继续利用电子商务普遍增长的态势，直接攻击消费者和航运公司。DHL 仅次于 LinkedIn，占网络钓鱼攻击的 14%；FedEx 从第七位上升至第五位，目前在所有网络钓鱼攻击中占比 6%；马士基和 AliExpress 则首次跻身前十排行榜。报告重点介绍了一种特定的网络钓鱼策略，该策略使用马士基品牌电子邮件鼓励下载伪造的运输单证，从而使工作站感染恶意软件。

Check Point 软件技术公司数据研究事业部经理 Omer Dembinksy 表示：“这些网络钓鱼是典型的机会型攻击，广撒网,多敛鱼。犯罪团伙策划了这些大规模网络钓鱼攻击，以期诱骗尽可能多的人员泄露其个人数据。一些攻击会尝试诱骗个人或窃取其信息，例如 LinkedIn 相关攻击活动。还有一些攻击则企图将恶意软件部署至公司网络，例如马士基网络钓鱼电子邮件等随附伪造运输公司单证的虚假电子邮件。”

他继续说道：“如果之前有人对社交媒体将成为犯罪团伙的最主要攻击行业之一这一点持怀疑态度，那么第一季度报告结果就是最有力证明。尽管 Facebook 已经跌出前十，但 LinkedIn 却飙升至首位，并在今年到目前为止的所有网络钓鱼攻击中占比超过一半。与以往一样，正确认知是抵御网络钓鱼威胁的最佳方法。具体而言，企业应对员工提供必要的培训，以即时发现可疑的异常，例如拼写错误的域名、错字、错误的日期以及其他可能帮助甄别恶意电子邮件或短消息的细节。LinkedIn 用户尤其应在接下来的几个月内加强警惕。”

在品牌网络钓鱼攻击中，犯罪分子试图使用与真实网站相似的域名或 URL 和网页设计来模仿知名品牌的官方网站。指向虚假网站的链接可通过电子邮件或文本消息发送给目标个人，并将在 Web 浏览时重定向用户，或可能从欺诈性移动应用进行触发。虚假网站通常包含一个表单，以窃取用户凭证、付款明细或其他个人信息。

2022 年第一季度最常被利用的网络钓鱼攻击品牌

以下是按照网络钓鱼攻击中的总出现率进行排名的最常被利用的品牌：

1. LinkedIn（占全球所有网络钓鱼攻击的 52%）
2. DHL (14%)
3. Google (7%)
4. Microsoft (6%)
5. FedEx (6%)
6. WhatsApp (4%)
7. Amazon (2%)
8. 马士基 (1%)
9. AliExpress (0.8%)
10. Apple (0.8%)

马士基网络钓鱼电子邮件 - 恶意软件示例

在 2022 年第一季度，Check Point发现了一封恶意网络钓鱼电子邮件，该邮件使用马士基品牌并试图将 Agent Tesla RAT（远程访问木马）下载到用户的机器上。这封电子邮件（见图 1）的发件地址为 Webmail 地址，并伪装成来自“马士基通知 (service@maersk[.]com)”，包含了“马士基：验证待验证的提单副本 XXXXXXXXX”的主题内容。该内容要求下载一份 excel 文件“运输单证”，这可能导致系统感染 Agent Tesla。

LinkedIn 网络钓鱼电子邮件 – 帐户窃取示例

以下这封网络钓鱼电子邮件中，Check Point发现攻击者试图窃取用户的 LinkedIn 帐户信息。该电子邮件（见图 1）来自“LinkedIn (smtpfox-6qhrg@tavic[.]com[.]mx)”，包含了“M&R 贸易有限公司合作采购订单编号 XXXXXXXX”的主题。攻击者企图诱骗受害者点击恶意链接，进而将其重定向到欺诈性的 LinkedIn 登录页面（见图 2）。在恶意链接 (https://carriermasr.com/public/linkedIn[.]com/linkedIn[.]com/login[.]php) 中，用户需要输入其用户名和密码。

Check Point再次提醒广大用户：谨慎将个人数据和凭证透漏给业务应用或网站，并慎重打开电子邮件附件或链接，特别是声称来自 LinkedIn 或 DHL 等公司的电子邮件，因为这些公司目前最常遭到恶意模仿。