LinkedIn成钓鱼新前线：财务高管成重点目标，平台内消息成企业安全“盲区”

当你在 LinkedIn 上收到一条来自“红杉资本投资经理”的私信，邀请你参与一个“战略级合作项目”，并附上一份“尽职调查资料包”链接时，你会点开吗？越来越多的企业高管正在落入这类精心设计的陷阱。近期，多家国际安全机构与媒体披露，针对 LinkedIn 平台的定向钓鱼攻击正显著上升，目标直指企业财务、投融资及高管人群，且攻击手法日趋隐蔽、专业。

据网络安全公司 Push Security 最新拦截数据显示，此类攻击已不再依赖传统邮件渠道，而是直接通过 LinkedIn 私信发起，利用平台“可信社交属性”降低用户戒心。更令人担忧的是，由于 LinkedIn 通常不在企业邮件安全网关或终端防护系统的监控范围内，其内部通讯在企业安全体系中形成了明显的“可见性盲区”，让攻击者得以长驱直入。

伪装成“机会”，实则是陷阱

这些钓鱼信息往往包装得极为专业：发信人头像、履历、公司页面一应俱全，甚至能精准提及受害者所在行业或近期动态。典型话术包括：

“我们正在评估贵司作为潜在投资标的，烦请查阅附件中的 NDA 与数据请求清单。”

“恭喜您入选我司 CFO 顾问计划，请点击链接完成身份验证。”

“关于上次展会交流的合作意向，这是我们整理的初步方案，请审阅。”

一旦用户点击链接，便会跳转至高度仿真的 Microsoft 登录页面（如 outlook.office.com 的克隆版），诱导输入企业邮箱账号和密码。部分攻击则以“PDF 资料包”为诱饵，实际下载的是带有宏病毒或远程访问木马（RAT）的压缩文件。

Push Security 技术报告指出，攻击者还采用多重规避技术增强隐蔽性：

可信重定向链：链接先跳转至合法第三方服务（如 Google Drive、OneDrive 预览页），再二次跳转至钓鱼站点；

动态子域名：每次攻击使用不同子域（如 verify.invest-partner[.]com、docs.merger-deal[.]net），规避域名黑名单；

设备指纹识别：若检测到访问来自安全研究人员常用的虚拟机或沙箱环境，页面会自动返回404或空白内容。

为什么是 LinkedIn？因为“信任”就是漏洞

“LinkedIn 的核心价值是建立职业信任，而攻击者恰恰在滥用这种信任。”公共互联网反网络钓鱼工作组技术专家芦笛分析道，“高管们习惯在 LinkedIn 上接收业务合作邀约，心理防备天然较低。再加上平台消息不经过企业邮件网关过滤，传统 DLP（数据防泄漏）和 EDR（终端检测响应）系统也难以覆盖，形成了完美的攻击窗口。”

更危险的是，一旦攻击者获取企业高管的 Microsoft 账户凭证，不仅能访问 Outlook 邮箱、Teams 和 SharePoint，还可进一步发起“商业邮件欺诈”（BEC）——例如冒充 CFO 向财务人员发送“紧急付款指令”，或篡改供应商收款账户信息。此类攻击平均单次损失高达数十万美元，且资金一旦转出极难追回。

企业安全体系的“阿喀琉斯之踵”

长期以来，企业网络安全建设聚焦于邮件、Web 浏览和终端防护，却忽视了社交平台这一新兴入口。芦笛指出：“很多公司的零信任架构只覆盖‘已知应用’，而 LinkedIn、微信、Slack 等协作工具被视为‘办公辅助’，未纳入统一策略管控。这导致高权限账户在这些平台上裸奔。”

尤其在混合办公常态化背景下，员工频繁通过个人设备访问 LinkedIn，进一步放大风险。某跨国制造企业近期就因一名财务总监点击“并购尽调”链接，导致整个 AP（应付账款）系统被渗透，攻击者连续三天伪造付款指令，累计转走近120万美元。

如何堵住这个“看不见的洞”？

面对 LinkedIn 钓鱼的新威胁，安全专家建议从技术、流程与意识三方面构建防御体系：

1. 将社交平台纳入零信任架构

企业应将 LinkedIn 等外部协作平台视为“不可信网络”，强制通过浏览器隔离（Browser Isolation）或安全代理访问。这意味着员工点击任何链接时，实际操作发生在云端隔离环境中，本地设备不会接触恶意载荷。

2. 启用无密码认证（Passwordless）

推广 FIDO2 安全密钥（如 YubiKey）或 Windows Hello 等无密码登录方式。即使凭证泄露，攻击者也无法仅凭账号密码登录——因为系统要求物理密钥或生物特征验证。“这是降低凭证可用性的最有效手段。”芦笛强调。

3. 高风险角色专项防护

对 CFO、财务主管、投融资负责人等关键岗位，实施“事前核验”机制：凡涉及敏感操作（如付款、资料共享），必须通过预设渠道（如视频回呼、企业微信确认）二次验证。同时定期开展情景化钓鱼演练，模拟“投资邀约”“猎头职位”等真实场景，提升识别能力。

4. 部署跨通道 DLP 与行为分析

扩展数据防泄漏系统覆盖范围，监控 LinkedIn、Teams 等平台的消息内容与文件传输行为。结合 UEBA（用户实体行为分析），对异常登录时间、非常规文件下载等行为实时告警。

安全不是“关上门”，而是“看清每扇窗”

LinkedIn 钓鱼事件再次提醒我们：攻击者永远在寻找防御最薄弱的环节。当邮件防线日益坚固，他们便转向社交平台；当杀毒软件能识别已知病毒，他们就改用无文件攻击；当用户警惕.exe 文件，他们就藏身于看似无害的 PDF 或 OneDrive 链接。

“真正的安全，不是把所有门焊死，而是确保每一扇窗都有传感器、每一扇门都有守卫。”芦笛说，“尤其是在数字协作成为常态的今天，我们必须重新定义‘边界’——它不再是一堵墙，而是一张动态感知的风险网络。”

对企业而言，这场攻防战没有旁观者。无论是 IT 部门、管理层还是普通员工，都需要意识到：下一次“绝佳商业机会”的私信，可能就是一场精心策划的数字抢劫的开始。

新闻依据：本文综合参考 SC World 报道（原文链接：https://www.scworld.com/brief/new-linkedin-phishing-campaign-targets-finance-executives）及 Push Security 公开技术简报，相关建议经公共互联网反网络钓鱼工作组复核。专家观点仅代表个人立场，不构成具体安全产品推荐或投资建议。

编辑：芦笛（公共互联网反网络钓鱼工作组）