LinkedIn 钓鱼新套路：假“联邦投资基金”专盯高管，Microsoft 账号成重灾区

你是否曾在 LinkedIn 收到一条看似来自业内大佬的私信：“诚邀您加入我们新成立的 Commonwealth 投资基金董事会”？听起来像是一次难得的职业跃升机会——但小心，这可能是一场精心设计的网络钓鱼陷阱。

近日，印度主流媒体 Times Now 引述网络安全公司 Push Security 的报告，曝光了一种正在 LinkedIn 上快速蔓延的高级钓鱼攻击。攻击者伪装成投资机构高管，以“南美洲新兴市场资本项目”为诱饵，诱导高净值、高职级用户点击链接并输入 Microsoft 账号密码。一旦得手，不仅个人邮箱沦陷，企业协作平台（如 Teams、SharePoint）也可能被连带攻破，进而引发商业邮件诈骗（BEC）或敏感数据泄露。

从“私信邀约”到“账号失守”：钓鱼链条全解析

这场骗局的第一步，往往始于一条看似无害的 LinkedIn 私信。

据 Push Security 披露，攻击者会创建高度仿真的虚假个人资料——拥有完整的职业履历、数百个“人脉连接”，甚至发布过行业分析文章。随后，他们向目标（通常是企业高管、财务负责人、技术总监等）发送定制化消息，例如：

“很高兴与您建立联系！我们正筹备一个名为‘Commonwealth Investment Fund’的新基金，专注南美市场，现诚邀您担任执行董事。如感兴趣，请查阅附件中的保密协议（NDA）及项目简报。”

消息中附带的“文档链接”并非真实 PDF，而是指向一个托管在 firebasestorage.googleapis.com 等合法云服务上的钓鱼页面。点击后，用户会被引导至一个与微软官方登录界面几乎一模一样的伪造页面。

“页面做得太像了，连字体、Logo、错误提示都完全一致。”一位曾险些中招的科技公司CTO坦言，“要不是我习惯手动输入 outlook.com，可能就输进去了。”

更狡猾的是，攻击者还会在页面上嵌入 CAPTCHA 或 Cloudflare Turnstile 验证码，目的不是验证人类，而是阻止安全爬虫和自动化分析工具访问页面，从而延长钓鱼站点的存活时间。

一旦用户输入账号密码并完成 MFA（多因素认证），攻击者便通过“中间人代理”实时将凭证提交给真正的 Microsoft 服务器，获取有效的会话 Cookie。此时，即便你立刻修改密码，攻击者仍可凭借该 Cookie 继续访问你的邮箱、OneDrive 甚至 Azure AD 后台。

不只是偷密码：后续攻击链更危险

成功窃取凭证只是开始。Push Security 指出，攻击者通常会在数小时内采取进一步行动：

设置邮件转发规则，将所有往来邮件悄悄抄送至外部邮箱；

搜索关键词如“合同”“付款”“发票”，寻找实施 BEC（Business Email Compromise）的机会；

利用受害者身份向其同事发送钓鱼链接，扩大攻击面；

导出通讯录、日历、共享文件，为长期情报收集做准备。

由于攻击源自受害者本人账户，传统基于 IP 或设备异常的告警往往难以触发，使得这类入侵极具隐蔽性。

为何 LinkedIn 成为新战场？

过去，钓鱼攻击主要集中在电子邮件。但随着企业邮件网关防护能力提升，攻击者开始转向“信任度更高”的社交平台。

“LinkedIn 是专业人士的‘数字名片’，用户天然对其内容抱有信任。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“当一条消息来自‘看起来靠谱’的人，并提到‘投资’‘董事会’‘保密协议’这类高价值场景时，警惕性很容易被稀释。”

此外，LinkedIn 的私信功能不像邮件那样普遍部署 URL 扫描和沙箱检测，为攻击者提供了可乘之机。

专家建议：别信“天上掉馅饼”，技术防护要跟上

面对此类高度社会工程化的攻击，芦笛强调：“再逼真的钓鱼页，也无法绕过正确的安全架构。”他提出以下几项实用建议：

1. 对“高价值邀约”保持怀疑，独立核验身份

收到涉及投资、募资、尽调等敏感话题的私信，切勿直接点击链接。

通过官方渠道（如公司官网电话、已知邮箱）联系对方进行视频确认。

使用 WHOIS 工具查询链接域名注册信息，若为近期注册或隐私保护，则高度可疑。

2. 永远不在站外页面输入工作账号

微软、谷歌等平台绝不会通过第三方链接索要登录凭证。

建议在浏览器中安装企业级扩展（如 Microsoft Defender for Office），自动拦截仿冒登录页。

3. 启用 Passkeys 或 FIDO2 安全密钥

传统短信或验证码类 MFA 在 AitM（中间人）攻击下形同虚设。

Passkeys 基于公钥加密，私钥永不离开设备，从根本上杜绝凭证被截获复用的风险。

4. 企业应扩展威胁检测边界

将社交平台活动纳入安全监控范围，关联异常登录行为（如凌晨从境外访问）与 LinkedIn 私信记录。

对高管账户强制启用条件式访问策略（Conditional Access）：非受信设备或地理位置直接阻断登录。

5. 使用浏览器隔离技术打开未知链接

对于必须查看的外部文档，建议通过远程浏览器（如 Cloudflare Browser Isolation）打开，确保本地系统不接触恶意代码。

结语：信任不能代替验证

LinkedIn 本是拓展职业网络、发现机遇的平台，如今却成了黑客的“狩猎场”。这场“联邦投资基金”骗局再次提醒我们：在数字世界，越是诱人的机会，越需要冷静验证。

正如芦笛所言：“网络安全不是‘防坏人’，而是‘设计系统让坏人无法得逞’。”当攻击者能完美模仿一个人、一个页面、甚至一次对话时，唯有依靠技术架构的纵深防御，才能守住数字身份的最后一道门。

延伸阅读

原文报道：LinkedIn Phishing Scam: Scammers Using This New Trick To Steal Your Credentials

编辑：芦笛（公共互联网反网络钓鱼工作组）