专业人士的社交网络

出于某种原因，LinkedIn 已成为专业人士事实上的社交网络。它被视为一个强大的网络和营销网站，让专业人士能够以令人瞠目结舌的速度和速度进行交流、寻找新机会和寻找人才。然而，与此同时，这也意味着LinkedIn成为了启用鱼叉式攻击的数据宝库。

恶意软件放入报价信中

让我们考虑一下这种针对流行的“玩赚钱”游戏 Axie Infinity 的攻击. 攻击者拥有基于 PDF 恶意软件，允许他们访问目标计算机，因此他们需要有人打开 PDF 来触发利用链，从而让他们获得立足点。但他们特别希望人们能够访问能够控制区块链的加密钱包。LinkedIn 让他们按 Axie Infinity 背后的公司员工进行筛选，这些员工是开发人员，很可能开始按角色和资历进行鱼叉式网络钓鱼。攻击者的详细信息表明，攻击者设置了一个完整的虚假面试过程，以使标记相信该过程是合法的，并将恶意软件放入报价信中。攻击者后来获得了验证者钱包的访问权限，然后他们能够利用价值超过 50 亿美元的加密货币进行盗窃。

恶意软件在录取通知书中

也许，只是也许您不应该将验证某事所需的大部分密钥存储在同一台计算机上。特别是如果这些密钥对控制着价值接近十亿美元的资产。天哪。

恶意软件在录取通知书中。这是一种社会工程学攻击，我敢打赌，任何阅读本文的人都可能会上当。见鬼，我可能会为此而堕落。这可能是一种错误的看法，但我真的开始怀疑是否能如此频繁地使用 LinkedIn 是否真的不利于安全。不再只是招聘人员通过 LinkedIn 阅读，还有威胁行为者试图闯入并做什么上帝知道什么。也许我们作为一个行业应该停止将所有这些数据输入 LinkedIn。它不仅可以减少招聘人员的垃圾邮件，还可以让鱼叉式网络钓鱼攻击变得更加困难。

PDF漏洞

另外，是的，我们不能再信任 PDF，尤其是在像 FORCEDENTRY这样的漏洞利用之后 。

不管怎样，将来我可能最终会得到一台一次性机器来处理来自未知来源的 PDF 阅读。我可以为此使用虚拟机，但如果我的威胁模型包含带有漏洞利用的 PDF，那么我可能无法相信虚拟机是一个合理的安全屏障。我不知道。真糟糕，我们不能再相信别人了。