Wat deel jij op social media? Word geen voer voor criminelen

Er zitten risico’s aan gebruik van zakelijke online netwerken zoals LinkedIn, Opportunity of Xing, omdat deze platforms veel persoonsgegevens bevatten. Criminelen gebruiken bijvoorbeeld LinkedIn als informatiebron om je vervolgens met behulp van die informatie op te lichten. Ook loop je het risico dat jij of een van je medewerkers per ongeluk connectie maakt met een nepaccount. Door veel voorkomende spionage start de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in 2022 een waarschuwingscampagne om zakelijke gebruikers bewust te maken van de gevaren. Ontdek hoe je veilig gebruikmaakt van zakelijke online netwerken.

In Nederland steeg het gebruik van LinkedIn in 2020 met 39%. Het dagelijks gebruik van LinkedIn steeg daarna in 2021 met acht procent. Vijf miljoen Nederlanders gebruiken regelmatig LinkedIn, waarvan bijna 1,2 miljoen dagelijks. Het gebruik van Instagram, Twitter en TikTok neemt snel toe, terwijl het gebruik van de grootste platforms WhatsApp en Facebook in 2021 iets afneemt. Volgens securityexpert Dim Gerssen realiseren we ons vaak niet wat we in online netwerken delen. Niet iedereen gebruikt een platform als LinkedIn of Facebook met goede bedoelingen: criminelen misbruiken het als informatiebron en om phishingberichten naar slachtoffers te sturen. Wat deel je aan persoonlijke informatie via social media, en met wie?

Criminelen gebruiken persoonsinformatie

Online platforms als LinkedIn zijn een ideale bron voor iedereen die meer over jou wil weten, ook voor criminelen. Zo’n platform bevat uitgebreide cv’s van ondernemers, werknemers en werkzoekenden. Het platform vraagt aan iedere gebruiker om zoveel mogelijk persoonlijke informatie over opleidingen, netwerk, en certificaten.

Dim Gerssen, manager bij securitybedrijf Surelock, vertelt over de risico’s: “Criminelen gebruiken persoonsinformatie om een aanval voor te bereiden. Dit helpt criminelen om slachtoffers te misleiden. Het is een vorm van ‘Social engineering’: criminelen achterhalen persoonsgegevens via het internet en daarmee stemmen ze bijvoorbeeld een phishing-bericht af op het slachtoffer.

Dat werkt zo: “Op social media heeft de crimineel bijvoorbeeld vakantiefoto’s van de directeur gezien. Via LinkedIn vindt die informatie over projecten en het netwerk van de directeur. Vervolgens vraagt de crimineel via een nepbericht per mail of WhatsApp ‘namens de directeur’, om geld over te maken voor een belangrijk project. Een medewerker wil de directeur die met vakantie is niet storen en zal snel helpen. Zo’n criminele truc is een voorbeeld van ‘CEO-fraude’.”

Nepaccounts en nepberichten

Via social media zoals Facebook, LinkedIn of Instagram maak je gemakkelijk een nepaccount aan. Een crimineel met een nepaccount nodigt gebruikers uit voor diens netwerk en verspreidt zo phishing-berichten. “LinkedIn speurt continu naar nepaccounts en nepberichten, jaarlijks verwijdert het platform miljoenen nepaccounts”, vertelt Gerssen. De AIVD startte in 2022 een waarschuwingscampagne omdat Russische en Chinese nepaccounts spionage uitvoeren bij Westerse bedrijven.

Criminelen versturen hun berichten ook via echte accounts. “Als je e-mailadres en wachtwoord gelekt zijn, kan een crimineel je account overnemen en zo ook ‘namens jou’ berichten versturen naar jouw netwerk. Pas geleden kreeg ik een bericht van een studiegenoot met als onderwerp ‘business proposal’. Het bericht was erg algemeen en ik verwachtte dit bericht niet van deze persoon. Er bleek een pdf-bestand met een link naar schadelijke software meegestuurd met het bericht. Ik heb mijn contact gebeld en heb hem verteld dat zijn account gehackt was.”

Gebruik je account veilig

Welke informatie deel je met bekenden en welke informatie deel je met iedereen? Een platform als LinkedIn wil dat je zoveel mogelijk informatie over jezelf deelt en je LinkedIn-profiel zoveel mogelijk gebruikt, dat is onderdeel van hun verdienmodel. Ga voorzichtig om met je eigen account. Gerssen legt uit hoe je LinkedIn veilig gebruikt: “Gebruik een sterk en uniek wachtwoord voor je LinkedIn account. Een wachtwoordkluis helpt je daarbij. Pas ook tweestapsverificatie toe. Dan krijgt een crimineel, ook al weet die je wachtwoord, toch geen toegang tot je account.” Bij tweestapsverificatie gebruik je naast je wachtwoord een extra toegangscode of je vingerafdruk. “Denk ook goed na over wat je deelt over je werk, je ervaring, je projecten, je opleiding en je netwerk. Vind je het nodig dat je je telefoonnummer, je mailadres, je verjaardag en je lidmaatschappen vermeldt? Je kunt informatie afschermen en alleen zichtbaar maken voor je directe relaties.”

Twee soorten phishing

Via nepaccounts en nepberichten verzamelen criminelen informatie en versturen ze phishingberichten met schadelijke software, ofwel malware. Gerssen onderscheidt twee types phishing: “Bij phishing via een ‘schot hagel’, krijgen bijvoorbeeld duizenden accounts eenzelfde bericht met malware of met een vraag om bepaalde gegevens te ‘bevestigen’, zoals bijvoorbeeld je wachtwoord. Criminelen gokken erop dat een klein percentage het bericht per ongeluk zal openen en zal doorklikken naar een nepwebsite en daar gegevens achterlaat. Een andere vorm is ‘spear phishing’, waarbij de crimineel informatie over een persoon verzamelt, en deze een gericht nepbericht stuurt. De kans is dan groter dat de ontvanger dit bericht opent en de schadelijke software downloadt of gegevens deelt.”

Blijf kritisch en alert

Via social media praat je met (potentiële) klanten en vergroot je je naamsbekendheid. Blijf kritisch op berichten die je ontvangt. En wees voorzichtig met het accepteren van een uitnodiging door een onbekend persoon. Gerssen vertelt hoe je alert blijft: “Ontvang je een connectieverzoek van een persoon die je niet kent? Deze persoon lijkt misschien een interessante aanvulling op je netwerk. Zoek dan eerst andere bronnen op het internet over deze persoon. Vind je niets? Wees dan gewaarschuwd: het is misschien een nepaccount. Krijg je onverwacht een interessant bericht uit je netwerk? Reageer dan niet via LinkedIn en klik niet door op weblinks. Neem via een ander kanaal, bijvoorbeeld telefonisch, contact op met de afzender.”

Hoe bepaal jij wat je wel en niet deelt op social media? We komen graag met je in contact. Deel je ervaring via kvk.cyber@kvk.nl.