LinkedIn 新型釣魚攻擊態勢綜述

在當前高度數位化的商務環境中，LinkedIn 作為全球專業社群的領導者，其用戶信任度成為駭客攻擊的肥沃土壤。本週，詐騙分子在 LinkedIn 貼文中大量發布虛假的「回應」評論，這些評論看似來自平台本身，警告用戶存在虛假的政策違規行為，並敦促他們訪問外部連結。這些資訊能夠逼真地模仿 LinkedIn 品牌，在某些情況下甚至使用該公司的官方 lnkd.in URL 縮短服務，使得釣魚連結更難與合法連結區分開來。這種戰術代表了社會工程學的進一步演化，攻擊者不再僅依賴電子郵件，而是直接進入社交互動場域，利用公眾對官方標誌的盲從心理進行精準打擊。

偽造違規警告與帳戶限制陷阱

攻擊的核心在於製造緊迫感。您的帳戶存取權限已被暫時限制。過去幾天，LinkedIn 用戶遭到了一些類似機器人的活動攻擊，這些活動來自多個 LinkedIn 主題的個人資料，這些個人資料在他們的貼文下方發表評論。這些貼文錯誤地聲稱用戶「從事了不符合平台規定的活動」，並且他們的帳戶已被「暫時限制」，直到他們訪問評論中指定的連結。右圖顯示的帶有 LinkedIn 標誌的偽造回應看起來相當可信，這取決於觀眾如何與評論區互動以及他們使用什麼設備。這種心理操縱策略迫使專業人士在擔心職業形象受損的情況下，降低了對技術細節的審查。

技術欺騙手段與官方服務之濫用

攻擊者在技術層面上展現了極高的隱蔽性。「當我們偵測到潛在的未經授權存取跡象時，我們會採取措施保護您的帳戶。這可能包括從陌生地點登入或…」精心產生的回覆中產生的連結預覽也寫道。上面的例子展示了一個與 LinkedIn 無關的字母數字「.app」域名，這可能會引起一些用戶的懷疑。然而，其他一些帖子更進一步，通過 LinkedIn 的官方網址縮短服務 lnkd.in 來掩蓋目標鏈接，使得用戶在不點擊鏈接的情況下更難識別釣魚域名。如果某些裝置上的連結預覽無法完整顯示，這種情況尤其令人擔憂。這種利用平台原生功能（Lnkd.in）來包裝惡意載體的手段，極大地提高了攻擊的成功率，因為大多數過濾系統會將官方網址視為白名單。

多層次釣魚路徑與憑證竊取機制

根據資安研究觀測，BleepingComputer 特別指出，very1929412.netlify[.]app 這個釣魚網站首先詳細描述了虛假的「臨時限制」，並建議瀏覽者「驗證」自己的身份以解除限制。點擊「驗證您的身分」按鈕後，使用者會被引導至另一個釣魚網域 https://very128918[.]site，憑證竊取實際上就發生在這裡。這種跳轉機制旨在規避簡單的反釣魚掃描器，並建立一個多層次的信任感。使用者在第一層看到的是看似合法的身份驗證說明，放鬆戒心後，在第二層輸入帳號密碼，最終導致資產與個人資料外洩。

冒充官方公司專頁的組織化行為

這些評論並非隨機散布，而是經過系統化的包裝。這些評論是從虛假公司頁面發布的，這些頁面使用了 LinkedIn 的官方徽標和該平台名稱的變體，例如 Linked Very。透過創建這些虛假的公司專頁，駭客得以在留言區顯示更具权威性的視覺效果。當用戶看到帶有官方 Logo 的專頁發表「系統回應」時，直覺上會認為這是系統自動化的通知機制。這種針對平台組織結構的濫用，顯示出攻擊者正從廣撒網式的攻擊轉向更具結構性的身份冒充。

平台官方回應與資安建議

針對此波威脅，BleepingComputer 聯繫了 LinkedIn，詢問該平台是否了解這項正在進行的活動。LinkedIn 發言人向 BleepingComputer 表示：我可以確認我們已經注意到這一活動，我們的團隊正在努力採取行動。「需要特別指出的是，LinkedIn 不會也不會通過公開評論的方式向我們的會員通報違反政策的行為，我們鼓勵會員如果遇到此類可疑行為，請進行舉報。這樣我們才能進行審查並採取適當的措施。」這項聲明明確劃分了官方通訊與釣魚行為的界線，即官方溝通絕不會透過公開留言板進行。

深度防禦：用戶與企業的應對策略

面對日趨複雜的社交工程，單純的技術防護已不足夠，數位素養與流程確認至關重要。使用者應保持警惕，避免與冒充 LinkedIn 並敦促收件人點擊外部連結的評論、回覆或私訊互動。企業應強化內部員工的資安意識培訓，明確指出任何平台（包括 LinkedIn、Facebook、Microsoft 等）皆不會透過推文回覆來處理帳戶違規問題。此外，強制執行多因素驗證（MFA）是防止憑證竊取後帳戶被完全劫持的最後防線。在點擊任何縮短網址前，應利用解縮網址工具或觀察瀏覽器地址列的真實域名，方能有效抵禦此類精密攻擊。

結論

社群媒體已成為資安攻防的新戰場，LinkedIn 評論回覆型釣魚攻擊顯示了威脅者對平台機制與心理學的深度理解。提醒所有專業用戶，在數位空間中，權威性的視覺呈現往往是偽造的偽裝。唯有結合即時的威脅情資、嚴謹的驗證流程以及對平台運作機制的正確認知，才能在日益險峻的網路環境中守護個人與企業的數位資產安全。

資料來源：https://www.bleepingcomputer.com/news/security/convincing-linkedin-comment-reply-tactic-used-in-new-phishing/