Overzicht
Actueel
14 June 2019
Opgepast voor phishing op LinkedIn: 5 tips om fake accounts te spotten

Het LinkedIn-profiel van Katie Jones is deze week in het nieuws. Een diploma van een prestigieuze universiteit, een baan bij een gerenommeerde denktank in Washington en connecties met meer dan een aantal hooggeplaatste functionarissen in de publieke en private sector in de Amerikaanse hoofdstad. Dat is op zichzelf niet zo schokkend natuurlijk. Maar het échte nieuws wel: Katie Jones bestaat namelijk helemaal niet. Zelfs haar foto is nep. Daarom: 5 tips om fake accounts op LinkedIn te spotten.

Leestijd: 3-4 minuten

Phishing en social engineering

Persbureau AP ontdekte dat het complete cv van Katie Jones verzonnen is, zelfs het profielplaatje is computergeanimeerd. De vele connecties zijn echter wel levensecht, en dat maakt het account erg gevaarlijk. Experts vertelden AP namelijk dat ze ervan uitgaan dat buitenlandse spionnen Katie inzetten als lokaas. 

Hoewel deze situatie, nota bene in machtscentrum Washington, natuurlijk een aantal specifieke en buitengewone risico's met zich meebrengt, herkennen we het probleem met fake accounts op LinkedIn ook op vol kleinere schaal. Het sociale netwerk heeft in een reactie aan AP gemeld nepprofielen geregeld te verwijderen, in het voorbije jaar al enkele duizenden. Social media is namelijk een dankbaar platform voor cybercriminelen. Persoonlijke gegevens kunnen er relatief eenvoudig in handen van kwaadwillenden komen, simpelweg omdat we er zelf niet voorzichtig mee omgaan, of te weinig maatregelen nemen om die informatie te beschermen.

De voorbeelden zijn talrijk, maar de tactiek is steeds vrijwel hetzelfde: het slachtoffer ontvangt een mailtje dat schijnbaar vanuit het eigen netwerk komt, omdat fraudeurs via social engineering - en jouw eigen social media account(s)! - al meer dan genoeg informatie over je hebben verzameld om je heel direct, binnen een specifieke context en daarmee schijnbaar vertrouwd te kunnen benaderen. 

Phishing richt zich dan ook allang niet op e-mail alleen. Niet voor niets luidde één van onze 5 tips in de strijd tegen phishing ‘beperk je waakzaamheid niet tot je inbox’. Kwaadaardige URL’s en linkjes die je om de tuin willen leiden zijn net zo goed op websites te vinden en worden steeds vaker ook via social media verspreid. 

Fake accounts op LinkedIn

LinkedIn heeft last van een wildgroei aan nepaccounts. Een 'enorm leger spookprofielen dat op de loer ligt', zo meldde experts aan AP deze week. En hoewel we dat op Facebook en Twitter ook zien, is het iets minder waarschijnlijk dat je daar een fictief persoon volgt of bevriendt. Op LinkedIn kan het vanuit de wens een breder netwerk te bereiken aantrekkelijker – en dus laagdrempeliger – zijn om een connectieverzoek te accepteren. Tevens heeft LinkedIn ‘last’ van een grote mate van schijnveiligheid. Je bent namelijk niet altijd berekend op een ‘catfish’ op dat netwerk.

Daarnaast is het versturen van gevaarlijke linkjes of virussen via een privébericht niet altijd het hoofddoel. Een cybercrimineel kan vanuit de connectie op LinkedIn al veel informatie over je verzamelen, zoals al je andere relaties maar ook je arbeidsverleden, genoten opleidingen en eventuele contactgegevens die je deelt – waardoor je met die informatie weer op andere manieren benaderd kunt worden. Daarom: 5 tips om fake accounts op LinkedIn te spotten

1. Twijfelachtige profielfoto

Een onbetrouwbare website kun je vaak herkennen aan het slechte beeldmateriaal. Dat geldt ook voor social media-profielen, maar slechts gedeeltelijk. Hoe zit dat?

Op Twitter en in mindere mate op Facebook kom je als gebruiker nog weg met een cartoon, een foto van een huisdier of een leuke spreuk als profielfoto, maar op LinkedIn mag je toch een degelijke portretfoto verwachten, of in ieder geval een afbeelding waar hij of zij representatief op staat. Is dat niet het geval, dan kan dat een signaal zijn dat er iets mis is. Daar staat tegenover dat er juist ook overdreven geslaagde portretjes gebruikt worden, van het type fotomodel. Vertrouw je het niet? Haal de afbeelding dan even door TinEye of Reverse Image Search van Google, dan kun je zo achterhalen waar de foto vandaan komt en of dat plaatje correspondeert met de persoon achter het profiel. Je zal zien dat je in veel gevallen te maken krijgt met stockfotografie en beelden die op tal van andere plekken opduiken, onder verschillende namen - of in ieder geval niet dezelfde naam als op het LinkedIn-profiel.

Helaas zien we in het voorbeeld van Katie Jones dat de foto niet ergens van internet is geplukt zoals we vaker zien bij social engineering, maar specifiek voor het nepaccount door een computerprogramma is gegenereerd. AP-journalist Raphael Satter deelde evenwel een aantal opvallende kenmerken op Twitter, waaronder de vage achtergrond, het kleurverschil in beide ogen, een onscherpe oorbel en de vage contouren van het haar.

2. Gebrekkige spelling en grammatica

Een sociaal platform bedoeld om je professionele netwerk uit te breiden, je skills te etaleren of tegen je droombaan aan te lopen, is niet bepaald het podium om beroerd taalgebruik te bezigen. Toch is dat precies waar je een vals account vaak aan kunt herkennen. Net als bij phishing e-mails geldt dus: let op spelling, grammatica of rare vertaalfouten, zowel in de uitnodiging als in het profiel zelf.

3. Beperkt netwerk

Het valt zelfs voor een doorgewinterde social engineer niet mee om vanuit een fake account een stevig netwerk aan te leggen. Kijk daarom bij twijfel ook even naar het aantal connecties van het profiel dat jou met een uitnodiging benadert: als dat onder de 100 ligt, is er mogelijk iets niet pluis. Hetzelfde geldt voor een (zeer) beperkt aantal gedeelde connecties of een netwerk zonder grote gemene deelnemer (bijvoorbeeld: weinig journalisten terwijl het om een media-account gaat).

Let wel, een afwezigheid van deze red flag biedt natuurlijk geen garanties. Uit het actuele voorbeeld van 'Katie Jones' weten we dat ook een spookprofiel zomaar een fors aantal connecties kan vergaren. De vele reacties in de media hebben wel duidelijk gemaakt dat we lang niet kritisch genoeg zijn bij het accepteren van een nieuwe connectie. Een woordvoerder van LinkedIn raadt dan ook aanalleen connecties te maken "met mensen die je persoonlijk kent en vertrouwt".

4. Check het arbeidsverleden

De omvang van het netwerk kan een clou zijn, maar hetzelfde geldt voor het profiel zelf. Pas daarom dezelfde kritische blik toe op het gehele account. Is het profiel volledig, of is er in ieder geval enigszins geprobeerd om degelijk voor de dag te komen? Fake accounts zijn doorgaans erg generiek, waarbij er zo min mogelijk persoonlijke gegevens worden ingevuld, of waarbij de functieomschrijving niet verder gaat dan 'manager' of 'vertegenwoordiger', doorgaans in Engelse termen.

Ook sluit het arbeidsverleden vaak niet aan bij het soort opleiding, of het niveau van dat onderwijs. En daarnaast zijn functies als 'recruiter' en 'detacheerder' erg populair bij fake accounts. Beroepen waarbij het minder vreemd is om wildvreemde accounts te benaderen. De fraudeur achter het profiel wil je bovendien verleiden om op het connectieverzoek in te gaan. Wie weet heeft hij of zij een leuke baan voor je...? Wees daar alert op, en check opnieuw ook de voorgaande tips. Je mag bij dat soort functies namelijk een professioneel profiel met een stevig netwerk verwachten, of zelfs een betaald LinkedIn-account.

5. Pas op voor beroemdheden

Natuurlijk ben je goed in wat je doet en uiteraard komen er vanuit je eigen netwerk wel eens verzoeken van professionals die je niet persoonlijk kent. Maar hoe groot is de kans dat je een LinkedIn-request krijgt van Oprah Winfrey, Mark Zuckerberg, Elon Musk of Richard Branson? Precies...

Dat geldt overigens ook voor iets minder voor de hand liggende ‘celebrities’, zoals de mensen die je binnen jouw vakgebied misschien als persoonlijke held of voorbeeld ziet. Als een social engineer echt iets van je wil, heeft hij wat vooronderzoek gedaan en weet hij precies waar je mogelijk ‘happig’ op reageert.

Tot slot geldt ook bij fake accounts, zowel op LinkedIn als op andere sociale media, dat je gehoor moet geven aan een 'niet pluis'-gevoel; het lijkt allemaal te kloppen, maar tóch zit iets je dwars. Dat gevoel blijkt in de praktijk vaak niet voor niets te zijn.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.
Neem contact op
Awareways Phishing Simulatie

Wist je dat het eenvoudig is om je medewerkers goed voor te bereiden op phishing? De phishing software van Awareways biedt een online platform waarmee diverse aanvallen op een simpele en kosteneffectieve manier binnen een organisatie kunnen worden gesimuleerd. Lees meer op awareways.com/phishing.

Daarnaast bieden we een e-learning module over het onderwerp, om medewerkers te leren hoe je (spear) phishing kunt herkennen en hoe je (niet) moet reageren.

Kijk ook eens naar

Praktijkvoorbeelden
Een overzicht van onze praktijkvoorbeelden.
Security Awareness Engine
De spil in jouw security awareness programma.
Nulmeting
Awareness in cijfers het kan echt.