2025年11月，上海某跨国制造企业的CFO李薇（化名）收到一条来自LinkedIn的私信。发信人头像专业、履历光鲜——“Michael Chen，亚太区合伙人，Horizon Capital”。消息写道：“我们正在评估贵司作为潜在投资标的，附件为初步尽调清单，请查收并确认联系人信息。”随附一个看似无害的链接：docs.horizon-invest[.]com/view?id=FIN-2025-Q4。

李薇点开后，页面跳转至一个与微软Office 365登录界面几乎一模一样的页面，仅域名略有差异。她输入公司邮箱和密码，点击“登录”，页面随即显示“文档加载中……”。几秒后，系统提示“文件已发送至您的邮箱”。

她以为一切正常。殊不知，她的账户凭证已被实时捕获，并在三小时内被用于发起一笔87万元的虚假供应商付款申请。

这不是孤例。据网络安全公司Push Security最新披露，2025年下半年以来，针对LinkedIn用户的定向钓鱼攻击激增，目标高度集中于企业财务、采购及高管人群。攻击者精心伪造投资机构、战略合作伙伴甚至猎头身份，利用平台私信通道绕过传统邮件安全网关，在企业内部形成“看不见的突破口”。

更令人担忧的是，由于LinkedIn等社交平台通常不在企业DLP（数据防泄漏）或EDR（终端检测响应）系统的监控范围内，这类攻击长期处于“可见性盲区”——直到资金损失发生，企业才后知后觉。

一、从“垃圾邮件”到“精准社交工程”：钓鱼的平台迁移

过去十年，企业邮箱安全体系日趋严密：SPF、DKIM、DMARC协议普及，AI驱动的邮件网关能识别99%以上的恶意附件和链接。然而，攻击者早已将战场转向“防守薄弱区”——职业社交平台。

LinkedIn因其用户高度专业化、信任度高、且支持富媒体私信，成为理想跳板。根据Proofpoint 2025年《商业电子邮件威胁报告》，超过63%的BEC（商业电子邮件欺诈）攻击前期，都伴随LinkedIn社工侦察行为。

“攻击者不再群发‘尼日利亚王子’式邮件，而是花数周研究目标背景，”公共互联网反网络钓鱼工作组技术专家芦笛指出，“他们知道CFO关注什么——投资、并购、税务优化。于是，一封‘私募基金尽调邀请’比一百封钓鱼邮件更有效。”

典型攻击链路如下：

情报收集：通过LinkedIn公开资料、公司官网、新闻稿，锁定目标姓名、职位、近期动态；

身份伪装：注册高仿账号（如“Horizon Capital APAC”），使用真实机构Logo、完善履历；

诱饵投放：发送“合作邀约”“职位推荐”“行业白皮书”等高相关性私信，附带短链接；

凭证窃取：链接指向仿冒Microsoft 365、Google Workspace或企业内部门户的登录页；

横向渗透：利用获取的凭证访问邮箱、财务系统，发起BEC转账或窃取供应商数据。

Push Security拦截的一起案例中，攻击者甚至伪造了DocuSign签名请求页面，要求“确认NDA条款”，诱导用户二次输入凭证。

二、技术升级：多层规避与动态基础设施

与早期静态钓鱼页不同，当前LinkedIn钓鱼攻击采用高度动态化、对抗分析的技术栈。

（1）可信重定向链（Trusted Redirect Chains）

攻击者不再直接使用恶意域名，而是嵌入合法第三方服务作为跳板。例如：

linkedin.com → bit.ly/xxx → onedrive.live.com/redirect?url=malicious-site.com

由于中间环节使用微软、Google或Cloudflare等可信域名，传统URL过滤器难以拦截。

（2）动态子域与一次性域名

部分团伙使用自动化脚本批量注册子域，每个受害者分配唯一入口。例如：

user123.docs-secure[.]xyz

fin-cfo.preview-docs[.]top

这些域名存活时间极短（<24小时），且通过Let's Encrypt自动部署HTTPS证书，规避SSL异常告警。

（3）浏览器指纹识别与反沙箱机制

为逃避安全研究人员分析，钓鱼页面常嵌入JavaScript指纹检测代码，识别是否运行在虚拟机、无头浏览器（Headless Browser）或自动化工具中。若检测到可疑环境，则返回空白页或正常内容。

以下是一段简化版的反分析脚本示例：

// 检测是否为无头浏览器（Puppeteer/Playwright）

if (navigator.webdriver || !window.chrome) {

window.location = "https://legit-site.com"; // 重定向至正常页面

return;

}

// 检测屏幕分辨率、插件数量等异常

if (screen.width < 1024 || navigator.plugins.length === 0) {

document.body.innerHTML = "<h1>Access Denied</h1>";

throw new Error("Bot detected");

}

// 正常加载钓鱼表单

document.getElementById("phish-form").style.display = "block";

此类技术大幅提升了自动化检测的难度。

（4）云服务预览伪装

更狡猾的是，攻击者开始滥用合法云服务的“预览”功能。例如，上传一个名为Investment_Proposal.pdf.lnk的快捷方式文件至OneDrive或Google Drive共享链接。当用户点击“在线预览”时，系统提示“需下载查看”，一旦执行，即触发PowerShell下载恶意载荷。

“这种手法利用了用户对云平台的信任，”芦笛解释，“他们以为是PDF，其实是Windows快捷方式，背后藏着Cobalt Strike Beacon。”

三、国际案例警示：从硅谷到新加坡的连锁反应

2025年9月，美国加州一家生物科技公司遭遇典型LinkedIn钓鱼攻击。攻击者冒充知名风投Sequoia Capital合伙人，向CFO发送“领投B轮融资”意向书。CFO点击链接后凭证泄露，攻击者随后以CEO名义向财务团队发送邮件，要求“紧急支付专利授权费”至新账户，造成210万美元损失。

同年12月，新加坡金融管理局（MAS）通报一起针对本地银行高管的攻击。诈骗者创建高仿账号“BlackRock Asia Strategy”，私信多位VP级员工，附带“ESG投资框架草案”链接。其中两人中招，导致内部通讯录和客户KYC资料外泄，为后续精准BEC铺路。

而在欧洲，德国联邦信息安全办公室（BSI）警告称，制造业供应链已成为重灾区。攻击者通过LinkedIn接触采购经理，声称“优化供应商流程”，诱导其更新银行账户信息至伪造的ERP门户。

“这些案例的共同点是：利用职业身份的天然信任，绕过技术防线，直击人性弱点，”芦笛说，“而企业往往只监控邮件，却放任社交平台私信畅通无阻。”

四、国内风险：社交平台未被纳入零信任体系

尽管上述事件集中于海外，但中国企业的风险同样不容忽视。随着LinkedIn（领英）在中国保留“领英职场”服务，以及脉脉、猎聘等本土平台兴起，类似攻击已有苗头。

2025年第三季度，某头部券商风控部门发现，多名投行MD收到“中东主权基金”合作邀约私信，附带“项目保密协议”链接。经内部排查，确认为钓鱼尝试。所幸公司已部署浏览器隔离策略，未造成实际损失。

然而，多数中小企业仍将社交平台视为“非生产系统”，未纳入安全管控范围。“员工用个人设备登录LinkedIn，接收外部消息，再切换到公司邮箱操作——这条路径完全裸奔，”芦笛指出。

更严峻的是，国内部分企业仍在推广“单点登录”（SSO）至第三方应用，若主账户（如Microsoft 365）被窃，攻击者可一键访问CRM、ERP、财务系统，后果不堪设想。

五、技术反制：从隔离到无密码认证

面对新型社交钓鱼，工作组提出“纵深防御+身份重构”双轨策略。

（1）浏览器隔离（Browser Isolation）

核心思想是：将高风险浏览行为与终端设备物理隔离。用户点击LinkedIn链接后，实际在远程沙箱中渲染页面，本地仅接收像素流，无法执行恶意代码。

主流方案包括：

远程浏览器隔离（RBI）：如Cloudflare Browser Isolation、Menlo Security；

本地容器化：使用Fireglass或Citrix Secure Browser。

企业可配置策略：所有来自社交媒体的外部链接强制通过隔离环境打开。

（2）安全代理与DLP扩展

传统DLP聚焦邮件和USB，但应扩展至浏览器流量。通过部署CASB（云访问安全代理）或ZTNA（零信任网络访问）网关，可对LinkedIn等平台的出站流量进行深度检测：

URL信誉检查；

表单提交内容分析（如是否包含公司域名、凭证关键词）；

异常会话行为告警（如短时间内多次跳转登录页）。

（3）FIDO2无密码认证：釜底抽薪

最根本的解决方案，是让凭证失去价值。FIDO2标准（WebAuthn + CTAP）支持使用硬件密钥（YubiKey）、生物识别或手机推送实现无密码登录。

即使攻击者诱导用户在钓鱼页输入“密码”，由于FIDO2依赖公私钥加密且绑定具体域名，伪造站点无法完成认证握手。

以下为WebAuthn注册流程的简化代码逻辑：

// 前端：发起注册

const createCredentialOptions = await fetch('/webauthn/register/options', {

method: 'POST',

body: JSON.stringify({ username: 'cfo@company.com' })

}).then(r => r.json());

// 调用浏览器原生API

const credential = await navigator.credentials.create({

publicKey: createCredentialOptions

});

// 发送公钥至服务器

await fetch('/webauthn/register', {

method: 'POST',

body: JSON.stringify(credential)

});

关键在于：私钥永不离开用户设备，且认证仅对注册域名有效。即便钓鱼站克隆了登录UI，也无法通过navigator.credentials.get()获取有效断言。

“FIDO2不是万能的，但它是目前对抗凭证钓鱼最有效的武器，”芦笛强调，“尤其对财务、IT管理员等高权限角色，应强制启用。”

（4）情景化演练与事前核验

技术之外，流程设计同样关键。工作组建议企业建立“高风险指令三原则”：

视频回呼：任何涉及资金、账户变更的外部请求，必须通过已知号码视频确认；

域名验证：员工需养成检查URL完整性的习惯，警惕microsoft-support[.]com类仿冒；

延迟执行：非紧急付款设置2小时冷静期，自动通知风控团队。

此外，定期开展“LinkedIn钓鱼模拟演练”——由安全部门伪装投资人发送测试私信，评估员工识别能力。

六、未来展望：社交平台需承担更多安全责任

长远来看，LinkedIn等平台不能仅扮演“信息中介”。工作组呼吁其：

对高频发送外部链接的账号实施速率限制；

在私信中嵌入安全提示（如“此链接非LinkedIn官方内容”）；

开放API供企业集成安全代理，实现消息内容扫描。

“信任不应是默认选项，”芦笛总结道，“在数字职场，每一次点击都可能是陷阱。而真正的安全，始于对‘熟人’的合理怀疑。”

编辑：芦笛（公共互联网反网络钓鱼工作组）