Social Media Phishing 社交媒体钓鱼

一种 钓鱼 变体 —— 攻击者先在社交媒体上收集目标的详细信息,然后再发起精准攻击。

为什么社交媒体是钓鱼的金矿:

• LinkedIn 暴露:公司、职位、汇报关系、技能、同事
• 朋友圈/微博暴露:兴趣、近期活动、家人、位置
• 公开发言暴露:正在关心什么、和谁合作、参加什么会

攻击者用这些做什么:

• 冒充同事/合作方 —— “嗨,昨天那个 [真实项目] 的资料发你了”
• 冒充求职者 —— “看了您 LinkedIn,我有个好简历推荐”,附件是 malware
• 冒充粉丝/客户 —— 套话或诱导点恶意链接
• AI 内容定制 —— 把社交媒体内容喂给 LLM,生成极其逼真的钓鱼邮件

跟 Spear Phishing 的区别:Spear Phishing 是结果(定制化钓鱼),Social Media Phishing 是手段之一(情报来源是社交媒体)。两者经常合体出现。

防御:

• 降低社交媒体信息暴露度 —— 重要岗位别在公开 profile 写工作细节
• 隐私设置 —— 不让陌生人看你的好友列表、相册、行程
• 训练员工:看到提及具体内部信息的邮件,反而要更怀疑(说明对方做过功课)