Met meer dan een miljard gebruikers wereldwijd vormt LinkedIn een goudmijn aan informatie over organisaties, functies en onderlinge relaties. Precies daarom is LinkedIn ook aantrekkelijk voor cybercriminelen en statelijke dreigingsactoren. Ga er dus niet automatisch van uit dat iedereen op het platform is wie hij of zij zegt te zijn.
LinkedIn misbruikt voor spionage en fraude
In november waarschuwde de Britse inlichtingendienst MI5 parlementsleden en hun medewerkers voor een gewaagd plan van buitenlandse inlichtingendiensten om informatie te verzamelen. Ze beweerden dat twee profielen op LinkedIn contact zochten met mensen die in de Britse politiek werken om “insiderinformatie” te krijgen. De onthullingen van MI5 leidden tot een overheidsinitiatief van omgerekend bijna 195 miljoen euro om spionagebedreigingen voor het parlement aan te pakken.
Dit incident staat niet op zichzelf. Al jaren maken cybercriminelen en statelijke actoren misbruik van LinkedIn voor spionage, fraude en cyberaanvallen. Voor professionals is het daarom essentieel om de risico’s van digitaal netwerken te begrijpen.
Waarom is LinkedIn zo’n aantrekkelijk doelwit?
LinkedIn heeft sinds de oprichting in 2003 wereldwijd meer dan een miljard “leden” verzameld. Dat zijn heel wat potentiële doelwitten, maar waarom is het platform zo’n popular doelwit? Er zijn een aantal opvallende redenen.
1. Een geweldige bron van bedrijfsinformatie
Door de site te doorzoeken, kunnen kwaadwillenden de rollen en verantwoordelijkheden van belangrijke personen in een bepaald bedrijf achterhalen, inclusief nieuwe medewerkers. Ze kunnen ook een vrij nauwkeurig beeld krijgen van de relaties tussen personen en het soort projecten waaraan ze mogelijk werken. Dit is allemaal waardevolle informatie die vervolgens kan worden gebruikt voor gerichte phishing- en Business Email Compromise (BEC)-aanvallen.
2. Geloofwaardigheid en vertrouwen
Omdat LinkedIn een professionele netwerksite is, wordt het door allerlei soorten medewerkers bezocht. Slachtoffers zijn eerder geneigd een DM of InMail van iemand op de site te openen dan een ongevraagde e-mail. Voor leidinggevenden op C-niveau is dit misschien zelfs de enige manier om hen rechtstreeks te benaderen, omdat hun mailbox vaak wordt beheerd door assistenten.
3. Het omzeilt ‘traditionele’ beveiliging
Omdat berichten via de servers van LinkedIn worden verzonden in plaats van via e-mailsystemen van bedrijven, heeft de IT-afdeling van het bedrijf geen zicht op wat er gebeurt. Hoewel LinkedIn enkele ingebouwde beveiligingsmaatregelen heeft, is er geen garantie dat phishing, malware en spam-berichten niet doorkomen. En vanwege de geloofwaardigheid van de site is de kans groter dat doelwitten op iets kwaadaardigs klikken.
4. Het is makkelijk om mee aan de slag te gaan
Voor cybercriminelen is het potentiële rendement van aanvallen via LinkedIn enorm. Iedereen kan een profiel aanmaken en op de site op zoek gaan naar profielen om informatie uit te halen of om te benaderen met phishing- en Business Email Compromise (BEC)-berichten. Aanvallen zijn relatief makkelijk te automatiseren voor grootschalige acties. En om phishing-pogingen meer legitimiteit te geven, kunnen cybercriminelen bestaande accounts kapen of valse identiteiten aanmaken voordat ze zich voordoen als werkzoekenden of recruiters. De overvloed aan gecompromitteerde inloggegevens die op cybercrimeforums circuleren (mede dankzij infostealers) maakt dit gemakkelijker dan ooit.
Welke aanvallen komen het meest voor?
Cybercriminelen gebruiken LinkedIn op verschillende manieren:
- Phishing en spearphishing
door gebruik te maken van informatie die LinkedIn-gebruikers op hun profiel delen, kunnen kwaadwillenden phishingcampagnes op maat maken om hun slagingspercentage te verhogen. - Directe malware-aanvallen
Kwaadwillenden kunnen rechtstreeks contact opnemen met kwaadaardige links die zijn ontworpen om malware, zoals infostealers te verspreiden, of vacatures promoten die bedoeld zijn om inloggegevens te verzamelen. Als alternatief kunnen door de staat gesteunde agenten LinkedIn gebruiken om ‘insiders’ te rekruteren, zoals MI5 heeft gewaarschuwd. - Business Email Compromise (BEC)
Net als bij het voorbeeld van phishing biedt LinkedIn een schat aan informatie die kan worden gebruikt om BEC-aanvallen overtuigender te maken. Het kan fraudeurs helpen om te achterhalen wie aan wie rapporteert, aan welke projecten ze werken en de namen van eventuele partners of leveranciers. - Deepfakes
LinkedIn kan ook video's van doelwitten bevatten, die kunnen worden gebruikt om deepfakes van hen te maken, voor gebruik in vervolgaanvallen met phishing, BEC of sociale media. - Accountovername
Nep-LinkedIn-pagina's (phishing), infostealers, credential stuffing en andere technieken kunnen worden gebruikt om bedreigers te helpen de accounts van gebruikers over te nemen. Deze kunnen worden gebruikt in vervolgaanvallen gericht op hun contacten. - Leveranciersaanvallen
LinkedIn kan ook worden doorzocht op details over partners van een beoogd bedrijf, die vervolgens kunnen worden benaderd met phishing in een “stepping stone”-aanval.
Voorbeelden van dreigingsgroepen die een aantal van de bovenstaande technieken gebruiken, zijn:
- De Noord-Koreaanse Lazarus Group heeft zich op LinkedIn voorgedaan als recruiters om malware te installeren op de computers van mensen die bij een lucht- en ruimtevaartbedrijf werken, zoals ontdekt door ESET Research. De onderzoekers hebben onlangs ook de Wagemole IT-werknemerscampagnes beschreven, waarbij personen die banden hebben met Noord-Korea proberen een baan te krijgen bij buitenlandse bedrijven.
- ScatteredSpider belde de helpdesk van MGM en deed zich voor als een medewerker die het op LinkedIn had gevonden, om toegang te krijgen tot de organisatie. De daaropvolgende ransomware-aanval leidde tot een verlies van 100 miljoen dollar voor het bedrijf.
- Een spearphishing-campagne met de naam “Ducktail” richtte zich op marketing- en HR-professionals op LinkedIn, waarbij malware voor het stelen van informatie werd verspreid via DM-links. De malware zelf werd gehost in de cloud.
Zo blijf je veilig op LinkedIn
Het probleem met LinkedIn-dreigingen is dat het voor IT moeilijk is om écht inzicht te krijgen in hoe groot het risico voor werknemers is en welke tactieken worden gebruikt om hen te benaderen. Het zou wel logisch zijn om LinkedIn-dreigingsscenario's zoals hierboven beschreven op te nemen in cursussen over beveiligingsbewustzijn. Werknemers moeten ook worden gewaarschuwd voor het delen van te veel informatie op de site en hulp krijgen bij het herkennen van nepaccounts en typische phishing-lokmiddelen.
Om te voorkomen dat hun eigen accounts worden gekaapt, moeten ze ook het beleid volgen voor het regelmatig installeren van patches, het installeren van beveiligingssoftware op alle apparaten (van een betrouwbare leverancier) en het inschakelen van tweefactor-authenticatie (2FA). Het kan de moeite waard zijn om een specifieke training te organiseren voor leidinggevenden, die vaak vaker het doelwit zijn. Zorg er vooral voor dat je medewerkers zich realiseren dat zelfs op een vertrouwd netwerk als LinkedIn niet iedereen het beste met hen voor heeft.
