Wegwijzer Cybersecurity

Voorkom misbruik van je ge­gevens op social media

Er zitten risico’s aan gebruik van zakelijke online netwerken zoals LinkedIn, Opportunity of Xing, omdat deze platforms veel persoonsgegevens bevatten. Criminelen gebruiken bijvoorbeeld LinkedIn als informatiebron om je vervolgens met behulp van die informatie op te lichten. Ontdek hoe je veilig gebruikmaakt van zakelijke online netwerken.

In Nederland steeg het gebruik van LinkedIn in 2020 met 39%, zo blijkt uit het Nationale Social Media Onderzoek 2021. 5 miljoen Nederlanders gebruiken regelmatig LinkedIn, waarvan ruim 1 miljoen dagelijks. Maar volgens securityexpert Dim Gerssen realiseren we ons vaak niet wat we in online zakelijke netwerken delen. Niet iedereen gebruikt een platform als LinkedIn met goede bedoelingen: criminelen misbruiken het als informatiebron en om phishing-berichten naar slachtoffers te sturen. Wat deel je aan persoonlijke informatie via een platform als LinkedIn, en met wie?

Criminelen gebruiken persoonsinformatie

Online platforms als LinkedIn zijn een ideale bron voor iedereen die meer over jou wil weten, ook voor criminelen. Zo’n platform bevat uitgebreide cv’s van ondernemers, werknemers en werkzoekenden. Het platform vraagt aan iedere gebruiker om zoveel mogelijk persoonlijke informatie over opleidingen, netwerk, en certificaten.

Dim Gerssen, manager bij securitybedrijf Surelock, vertelt over de risico’s: “Criminelen gebruiken persoonsinformatie om een aanval voor te bereiden. Dit helpt criminelen om slachtoffers te misleiden. Het is een vorm van ‘Social engineering’: criminelen achterhalen persoonsgegevens via het internet en daarmee stemmen ze bijvoorbeeld een phishing-bericht af op het slachtoffer.

Dat werkt zo: “Op social media heeft de crimineel bijvoorbeeld vakantiefoto’s van de directeur gezien. Via LinkedIn vindt hij informatie over projecten en het netwerk van de directeur. Vervolgens vraagt de crimineel via een nepbericht per mail of WhatsApp ‘namens de directeur’, om geld over te maken voor een belangrijk project. Een medewerker wil de directeur die met vakantie is niet storen en zal snel helpen. Zo’n criminele truc is een voorbeeld van ‘CEO-fraude’.”

Nepaccounts en nepberichten

Via social media zoals Facebook, LinkedIn of Instagram maak je gemakkelijk een nepaccount aan. Een crimineel met een nepaccount nodigt gebruikers uit voor zijn netwerk en verspreidt zo phishing-berichten. “LinkedIn speurt continu naar nepaccounts en nepberichten, in 2019 werden bijna 22 miljoen nepaccounts verwijderd”, vertelt Gerssen.

Criminelen versturen hun berichten ook via echte accounts. “Als je e-mailadres en wachtwoord gelekt zijn, kan een crimineel je account overnemen en zo ook ‘namens jou’ berichten versturen naar jouw netwerk. Pas geleden kreeg ik een bericht van een studiegenoot met als onderwerp ‘business proposal’. Het bericht was erg algemeen en ik verwachtte dit bericht niet van deze persoon. Er bleek een pdf-bestand met een link naar schadelijke software meegestuurd met het bericht. Ik heb mijn contact gebeld en heb hem verteld dat zijn account gehackt was.”

Gebruik je account veilig

Welke informatie deel je met bekenden en welke informatie deel je met iedereen? Een platform als LinkedIn wil dat je zoveel mogelijk informatie over jezelf deelt en je LinkedIn-profiel zoveel mogelijk gebruikt, dat is onderdeel van hun verdienmodel. Ga voorzichtig om met je eigen account. Gerssen legt uit hoe je LinkedIn veilig gebruikt: “Gebruik een sterk en uniek wachtwoord voor je LinkedIn account. Een wachtwoordkluis helpt je daarbij. Pas ook tweestapsverificatie toe. Dan krijgt een crimineel, ook al weet hij je wachtwoord, toch geen toegang tot je account.” Bij tweestapsverificatie gebruik je naast je wachtwoord een extra toegangscode of je vingerafdruk. “Denk ook goed na over wat je deelt over je werk, je ervaring, je projecten, je opleiding en je netwerk. Vind je het nodig dat je je telefoonnummer, je mailadres, je verjaardag en je lidmaatschappen vermeldt? Je kunt informatie afschermen en alleen zichtbaar maken voor je directe relaties.”

2 soorten phishing

Via nepaccounts en nepberichten verzamelen criminelen informatie en versturen ze phishing-berichten met schadelijke software, ofwel malware. Gerssen onderscheidt 2 types phishing: “Bij phishing via een ‘schot hagel’, krijgen bijvoorbeeld duizenden accounts eenzelfde bericht met malware of met een vraag om bepaalde gegevens te ‘bevestigen’, zoals bijvoorbeeld je wachtwoord. Criminelen gokken erop dat een klein percentage het bericht per ongeluk zal openen en zal doorklikken naar een nepwebsite en daar gegevens achterlaat. Een andere vorm is ‘spear phishing’, waarbij de crimineel informatie over een persoon verzamelt, en deze een gericht nepbericht stuurt. De kans is dan groter dat de ontvanger dit bericht opent en de schadelijke software downloadt of gegevens deelt.”

Blijf kritisch en alert

Blijf kritisch op berichten die je ontvangt. En wees voorzichtig met het accepteren van een uitnodiging door een onbekend persoon. Gerssen vertelt hoe je alert blijft: “Ontvang je een connectieverzoek van een persoon die je niet kent? Deze persoon lijkt misschien een interessante aanvulling op je netwerk. Zoek dan eerst andere bronnen op het internet over deze persoon. Vind je niets? Wees dan gewaarschuwd: het is misschien een nepaccount. Krijg je onverwacht een interessant bericht uit je netwerk? Reageer dan niet via LinkedIn en klik niet door op weblinks. Neem via een ander kanaal, bijvoorbeeld telefonisch, contact op met de afzender.”

Benieuwd met welke online gevaren je nog meer rekening kunt houden? Dit moet je weten over cybercrime.
Paul Geertman

KVK-adviseur die ondernemers helpt bij keuzes. Van het starten van een bedrijf tot internationaal zakendoen. Schrijft artikelen over veilig zakendoen. Deelt informatie over ondernemen, regelgeving en over kansen in een regio of branche.

InspiratiePage