Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

LinkedIn is toverwoord voor hackers

Dit artikel delen:

Computable Expert

Jelle Wieringa
Technical Evangelist, KnowBe4. Expert van Computable voor de topics Management, Security en Start-ups.

Phishing is nog altijd de populairste methode voor cybercriminelen om binnen te komen bij een organisatie; negen van de tien hacks nemen zo hun aanvang. Spam-filters herkennen de berichten vaak niet, terwijl hackers de oplichting handig weten te verpakken met een onschuldig ogende boodschap. Met name ‘LinkedIn’ in de onderwerpregel blijkt verleidelijke aas. Is daar iets aan te doen?

Dat LinkedIn zo succesvol is als phishingonderwerp, blijkt uit cijfers die ons bedrijf hierover verzameld. Ons bedrijf traint werknemers in het herkennen van phishingmails door ze gesimuleerde phishingmails te versturen. Personen gaan in de fout, worden hierop gewezen en leren zo die berichten te herkennen. En wij analyseren op onze beurt weer elk kwartaal op welke gesimuleerde phishingmails een medewerker snel en makkelijk klikt.

Afgelopen kwartaal namen we de door ons verzonden mailalerts van sociale media onder de loep. En wat bleek: met name LinkedIn-nepmails blijken succesvol. Maar liefst vijftig procent van alle door ons succesvol verzonden phishingmails die we verpakken als social media alerts hebben LinkedIn als onderwerp. LinkedIn blijkt daarmee heel bruikbare clickbait voor een hacker.

Jachtterrein

"Als je vanuit de optiek van de crimineel redeneert, bieden sociale media enorme kansen"

Sociale media zijn een geliefd jachtterrein voor cybercriminelen. Als je vanuit de optiek van de crimineel redeneert, bieden sociale media enorme kansen. Het zijn geconcentreerde plekken met massa’s gebruikers (dus grote kans op succes). En een infectie kan zich ook makkelijk verspreiden op een sociaal netwerk. Daar zijn sociale media nu eenmaal voor gemaakt.

Bovendien zijn er legio manieren om infecties toe te dienen. Status updates, posts, add-ons of plug-ins zijn allemaal in te zetten om malware af te leveren. En voor bepaalde gegevens hoef je niet eens veel technische kennis te hebben om een hack uit te voeren. As het je bijvoorbeeld enkel om de contacten van het slachtoffer te doen is, kan je ook gebruikmaken een nepprofiel. Er zijn gevallen bekend waarbij hackers bijzonder overtuigende profielen gemaakt hebben die bijna niet van echt te onderscheiden zijn.

Zakelijke kans

LinkedIn-gebruikers zijn extra aantrekkelijke doelwitten, omdat veel mensen (met name salesmedewerkers) accounts hebben gekoppeld aan hun zakelijke e-mailadressen. Het is dan ook alarmerend te noemen dat phishingmails met LinkedIn in de titel zo goed scoren.

Mensen klikken zo makkelijk op LinkedIn mailalerts, omdat mensen LinkedIn associëren met hun werk en carrière. Mailalerts van het sociale netwerk worden daardoor urgent en belangrijk gevonden. Een verzoek om met je te connecteren op LinkedIn kan een zakelijke kans zijn. Dat maakt de verleiding om door te klikken groot.

Te mooi

LinkedIn is een te mooi platform om te negeren. Maak er lekker gebruik van. Maar mail van LinkedIn verdient wel dezelfde voorzichtige behandeling als elk ander mailtje, hoe graag je de inhoud ervan ook zou willen bekijken. Een extra kritische blik is zelfs op zijn plaats, zo blijkt. Daarom een aantal eenvoudige vragen die je kan gebruiken voor een LinkedIn-mail:

  • Verwacht je het bericht?
  • Ken ik de persoon die met mij wil connecteren of een bericht wil sturen?
  • Is er sprake van foute spelling of foute grammatica?
  • Is het e-mailadres van de afzender afkomstig van een verdacht domein?
  • Zitten er hyperlinks in de mail en hoe zien die hyperlinks eruit? Zijn ze lang? Is het adres waar naar wordt gelinkt voor een andere website?
  • En als het om een connectieverzoek gaat: hoe betrouwbaar is het LinkedIn-profiel van de zender?

Uiteraard maakt een dergelijk stappenplan je niet volledig immuun, maar het behoedt je wel voor veel aanvallen. En als je het echt niet zeker weet: je kan een connectieverzoek natuurlijk ook gewoon afslaan. Soms is het beter om bepaalde connecties niet te hebben.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-06-18T14:58:00.000Z Jelle Wieringa
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.