ONE4 IT - News

Aktuelle Meldungen und Informationen

Social Engineering über Linked In: Wie Cyber-Kriminelle das Karrierenetzwerk für Phishing-Angriffe nutzen

Das Karrierenetzwerk LinkedIn nutzen viele Mitglieder, um sich und ihre Fähigkeiten zu präsentieren. Dabei geben sie allerdings allerlei Informationen über sich preis, die das Social Engineering über LinkedIn füttern.

Wir erklären, wie Cyberkriminelle LinkedIn für ihre Phishing-Angriffe nutzen und geben Tipps zur Prävention.

LinkedIn als Berufsnetzwerk beliebt

Netzwerken, neue Karrierechancen finden oder Fachwissen aufbauen: LinkedIn bietet als Social-Media-Plattform für professionelle Nutzer zahlreiche Möglichkeiten und ist dadurch durchaus attraktiv. Das kontinuierliche Wachstum in den Nutzerzahlen unterstreicht diese Attraktivität: Inzwischen soll das Karrierenetzwerk weltweit 774 Millionen aktive Nutzer verzeichnen; fast die Hälfte von ihnen meldet sich mindestens einmal im Monat auf der Plattform an.

Der Hauptgrund dürfte sein, dass Nutzer ihr individuellen Profil als virtuelle Visitenkarte verwenden, um den beruflichen Werdegang, Erfolge und Fähigkeiten zu präsentieren. Dieses Profil bildet die Grundlage dafür, mit Gleichgesinnten und Branchenführern in Kontakt zu treten und sich an anregenden Diskussionen zu beteiligen. Zudem suchen Unternehmen vermehrt auf LinkedIn nach Talenten, sodass sich neue Karrierechancen ergeben können. Nicht zuletzt ist LinkedIn ein Schatzkästchen voller Wissen: Fachartikel, Online-Kurse und Webinare sorgen für die persönliche Weiterbildung. In der modernen Geschäftswelt spielt LinkedIn inzwischen auch eine Schlüsselrolle, um Produkte an den Mann zu bringen: B2B-Marketer nutzen die Plattform bevorzugt zur B2B-Lead-Generierung.

Aber: Durch die vielen Informationen, die Nutzer bei LinkedIn über sich preisgeben, ist das Karrierenetzwerk leider auch eine wahre Fundgruppe für Cyberkriminelle, die Futter für ihre Social-Engineering-Attacken benötigen.

Zu sehen ist eine Frau am Laptop in ihrer Arbeitsumgebung, möglicherweise nutzt sie gerade LinkedIn und läuft Gefahr, Social Engineering über LinkedIn zum Opfer zu fallen. Bild: Unsplash/LinkedIn Sales Solutions

Viele Nutzer verwenden LinkedIn vor allem zum Netzwerken – und darin liegt die Gefahr! Bild: Unsplash/LinkedIn Sales Solutions

Social Engineering über LinkedIn – ein großes Problem

LinkedIn wird von Cyberkriminellen einerseits als Informationsquelle genutzt. Dabei werden Profile gezielt für eine eingehende Studie von Zielpersonen ausgekundschaftet. Nützliche Informationen sind Titel, Position, Werdegang und Verantwortlichkeiten, aber auch die vernetzten Kontakte. Besonders spielt es den Angreifern in die Hände, wenn auch berufliche E-Mail-Adressen publiziert werden – wobei diese auch häufig aus dem Namen und der info@-E-Mail-Adresse im Impressum einer Firmenwebseite abgeleitet werden können. Allein mit diesen Informationen können die Angreifer dann authentisch klingende Phishing-E-Mails aufsetzen, versendet von einem angeblichen LinkedIn-Kontakt. Die Kriminellen versuchen dabei in der Regel über eine Einzelperson Ransomware in Firmennetzwerke einzuschleusen.

Andererseits werden Angreifer aber auch durch Fake-Accounts auf LinkedIn aktiv. Sie nutzen gefälschte Profile, um Vertrauen aufzubauen und sensible Informationen zu erschleichen. Sie geben sich dabei als Kollegen, Rekruter, Geschäftspartner oder Branchenexperten aus, um Nutzer dazu zu verleiten, vertrauliche Daten preiszugeben oder schädliche Links zu öffnen. Auf diese Weise kann es dann zu Datenlecks, Identitätsdiebstahl und anderen Sicherheitsverletzungen kommen.

Laut dem Enisa Threat Landscape Report wird Social Engineering als die drittgrößte Bedrohung in der digitalen Welt gehandelt – und zwar nach Ransomware und Malware, die wiederum beide durch Social Engineering begünstigt werden. LinkedIn scheint dabei das Lieblingsnetzwerk der Social Engineers zu sein: durch die gut strukturierten, detaillierten Lebensläufe bekommen sie alle nötigen Informationen sozusagen auf dem Silbertablett serviert.

Praxisfall: Phishing-Angriff auf Automobilzulieferer

Die bittere Erfahrung, dass soziale Business-Netzwerken genügend Informationen für ausgefeilte Attacken liefern, hat im Jahr 2022 beispielsweise ein mittelständischer Automobilzulieferer machen müssen. In diesem Fall hatten die Angreifer über eine Business-Plattform von einem neuen Geschäftskontakt des Unternehmens erfahren. In dessen Mitarbeiter-Profilen tauchten in diesem Zuge vermehrt Kontakte zu Teammitgliedern des neuen Geschäftspartners auf.

Dies wussten die Hacker zu nutzen: Sie erstellten authentisch wirkende gefälschte E-Mail-Adressen sowie vertrauenserweckende, personalisierte Texte und verschickten die fertigen Phishing-E-Mails an einzelne Beschäftigte des Automobilzulieferers. Ein Link in der E-Mail führte auf eine gefälschte Login-Seite des angeblich neuen Extranets des Geschäftspartners, wo man sich registrieren konnte, um künftig einfach und ohne Login Zugriff zu erhalten.

Einige Angestellte fielen auf diese Taktik herein und erteilten den Kriminellen damit Zugriff auf ihre E-Mail-Postfächer. Dadurch erlangten die Angreifer auch Zugriff auf weitere Cloud-basierte Systeme wie der CRM- der der Projekt-Management-Lösung und konnten daraufhin Kundeninformationen, Finanzdaten und weitere vertrauliche Informationen aufrufen. Die IT-Abteilung des Unternehmens hat zwar relativ früh verdächtige Aktivitäten im Netzwerk erkannt und konnte durch gezielte Gegenmaßnahmen Schlimmeres verhindern.

Zu sehen ist ein Laptop, auf dem LinkedIn aufgerufen ist. Es geht um Social Engineering über LinkedIn. Bild: Unsplash/Nathana Rebouças

Die Informationen, die Nutzer auf LinkedIn über sich preisgeben, nutzen Cyberkriminelle für Social Engineering. Bild: Unsplash/Nathana Rebouças

So schützen Sie sich vor Social Engineering über LinkedIn

Um nicht ebenfalls zu einem solchen Fallbeispiel zu werden, sollten Unternehmen unbedingt Präventionsmaßnahmen ergreifen. Es gilt, die Mitarbeiter zu einem vorsichtigen Umgang auf LinkedIn zu ermutigen. Hier sind konkrete Tipps, welche Maßnahmen sie ergreifen können – und sollten:

  1. Schulungen und Sensibilisierung:
    Regelmäßige Trainings zur Cybersecurity, insbesondere zu den Gefahren von Social Engineering und Phishing, sind essenziell. Hier macht es auch durchaus Sinn, sich direkt auf LinkedIn beziehen, einschließlich der Identifizierung von gefälschten Profilen und verdächtigen Nachrichten. Mitarbeiter sollten über die spezifischen Social-Engineering-Taktiken aufgeklärt sein, die Betrüger auf LinkedIn verwenden – zum Beispiel das Versenden von gefälschten Jobangeboten oder Kooperationsanfragen.
  2. Verhaltensrichtlinien für soziale Medien:
    Unternehmen sollten klare Richtlinien darüber aufstellen, wie man sich auf professionellen Netzwerkplattformen verhält und welche Informationen geteilt werden können. Natürlich handelt es sich um private Accounts der Mitarbeiter, nichtsdestotrotz können ihnen Tipps gegeben werden.
  3. Best-Practices zur Überprüfung von Kontaktanfragen:
    Teil der Verhaltensrichtlinien können auch Informationen zu sicheren Praktiken beim Netzwerken auf LinkedIn sein. Beispielsweise könnte ein kurzer Leitfaden zur Überprüfung von Profilen vor der Annahme einer Kontaktanfrage aufgestellt werden.
  4. Regelmäßige Kommunikation:
    Sie sollten das Geschehen rund um LinkedIn im Blick behalten und ihre Mitarbeiter über aktuelle Betrugsmethoden informieren. Ein Beispiel dafür ist das New-Starter-Phishing über LinkedIn.
  5. Förderung einer offenen Kommunikationskultur:
    Mitarbeiter sollten ermutigt werden, verdächtige Vorfälle zu melden, ohne Angst vor negativen Konsequenzen. Am besten schaffen Unternehmen einen einfachen und sicheren Weg für ein solches Meldeverfahren.
  6. Einstellungen zum Datenschutz:
    Unternehmen sollten ihre Mitarbeiter auch dazu anleiten, ihre Datenschutzeinstellungen auf LinkedIn regelmäßig zu überprüfen und zu aktualisieren. Wichtig ist grundsätzlich, auch bei privaten Accounts die Zwei-Faktor-Authentifizierung zu nutzen.
  7. Einsatz von Sicherheitssoftware:
    Es gibt inzwischen Tools, die bei der Erkennung und Verhinderung von Phishing-Angriffen unterstützen. Für Unternehmen macht es durchaus Sinn, derartige Tools zur Verfügung zu stellen.

Grundsätzlich gilt, dass LinkedIn Nutzer wachsam bleiben, die Authentizität von Kontakten kritisch prüfen und sich über die gängigen Methoden des Social Engineering bewusst sein sollten. Eine regelmäßige Überprüfung der Privatsphäre-Einstellungen und die Skepsis gegenüber ungewöhnlichen Anfragen sind unerlässlich, um sich auf LinkedIn sicher zu bewegen.

IT-Experten fördern die Security Awareness

In der heutigen vernetzten Welt ist es unerlässlich, dass Unternehmen sich gegen die Risiken von Social-Engineering-Angriffen absichern, insbesondere auf Plattformen wie LinkedIn. Hier kommen IT-Dienstleister ins Spiel. Die externen Fachleute können beispielsweise effektive Sicherheitsstrategien entwickeln, speziell auf die individuellen Bedürfnisse eines Unternehmens zugeschnitten. Viele IT-Dienstleister bieten auch Mitarbeiter-Schulungen und Sensibilisierungsmaßnahmen an, um das Bewusstsein für potenzielle Gefahren zu stärken und insbesondere den sicheren Umgang mit beruflichen Netzwerken zu vermitteln.

Darüber hinaus bieten IT-Dienstleister fortlaufende Monitoring-Lösungen, um verdächtige Aktivitäten frühzeitig erkennen und schnell auf Sicherheitsvorfälle reagieren zu können. Sie unterstützen auch bei der Konfiguration von Datenschutzeinstellungen und der Implementierung von Sicherheitstools, um Phishing-Versuche und andere Cyberangriffe abzuwehren.

Die Zusammenarbeit mit IT-Experten hilft Unternehmen somit, die Vorteile von LinkedIn sicher zu nutzen und sich gleichzeitig vor Cyberbedrohungen zu schützen.


Weiterführende Informationen:
CUFinder, SECURITY INSIDER, SRF
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.

Lesen Sie den Originalartikel auf IT-SERVICE.network