Cybercriminelen misbruiken openbare LinkedIn-informatie door profielen te analyseren op functietitels, werkgevers, collega’s en projectdetails. Met die gegevens stellen ze gerichte phishingberichten op die er legitiem uitzien, omdat ze echte namen, bedrijfsnamen en context bevatten. Dit maakt LinkedIn-gebaseerde phishing veel gevaarlijker dan generieke spam, want de ontvanger herkent de situatie en vertrouwt het bericht sneller.
Je medewerkers zijn het doelwit, niet je systemen
De meeste aanvallers richten zich niet op technische kwetsbaarheden, maar op mensen. Een medewerker die een bericht ontvangt van iemand die zijn naam, functie en werkgever kent, staat al met één been in de val. Onderzoeksdata laat zien dat meer dan de helft van de organisaties jaarlijks te maken krijgt met Business Email Compromise, een aanvalsvorm die vrijwel altijd begint met het verzamelen van openbare informatie over medewerkers. De oplossing begint bij bewustwording: leer medewerkers te herkennen wanneer iemand informatie gebruikt die alleen via LinkedIn vindbaar is.
Openbare profielinformatie vergroot je aanvalsoppervlak zonder dat je het doorhebt
Elke medewerker met een volledig LinkedIn-profiel voegt onbedoeld details toe aan het aanvalsoppervlak van je bedrijf. Functietitels, projectnamen, technologieën die het team gebruikt, en de namen van leidinggevenden zijn allemaal openbaar zichtbaar. Aanvallers combineren die gegevens uit meerdere profielen om een nauwkeurig beeld van je organisatie te vormen, zonder ooit contact op te nemen. De concrete stap die dit risico verkleint: stel samen met je team een duidelijk beleid op over welke informatie op LinkedIn staat en wat beter intern blijft.
Wat is een gerichte phishingaanval via LinkedIn?
Een gerichte phishingaanval via LinkedIn is een aanval waarbij criminelen openbaar beschikbare profielinformatie gebruiken om een gepersonaliseerd en geloofwaardig phishingbericht te maken. In tegenstelling tot massale phishingcampagnes richt deze aanval zich op een specifieke persoon of organisatie, met details die de aanval moeilijker herkenbaar maken.
Dit type aanval valt onder de bredere categorie van spear phishing. Het verschil met gewone phishing is de mate van voorbereiding: de aanvaller heeft vooraf onderzoek gedaan en weet wie je bent, voor wie je werkt en wat je doet. Dat maakt het bericht overtuigend, want het lijkt afkomstig van iemand die jou of je organisatie kent.
LinkedIn speelt hierin een bijzondere rol omdat het platform ontworpen is om professionele informatie te delen. Wat voor jou een zakelijk netwerk is, is voor een crimineel een gratis database met gedetailleerde informatie over medewerkers, organisatiestructuren en interne processen.
Welke openbare LinkedIn-gegevens gebruiken criminelen voor aanvallen?
Criminelen verzamelen op LinkedIn functietitels, werkgeversgegevens, namen van collega’s en leidinggevenden, gebruikte technologieën, projectbeschrijvingen en recente activiteit. Al deze informatie is standaard openbaar zichtbaar en vormt samen een gedetailleerd profiel van zowel de persoon als de organisatie.
Concreet gaat het om de volgende soorten informatie:
- Functietitel en afdeling: maakt duidelijk wie beslissingsbevoegdheid heeft en wie verantwoordelijk is voor betalingen of toegang tot systemen
- Naam van de leidinggevende: wordt gebruikt om berichten te sturen die zogenaamd van de directeur of manager afkomstig zijn
- Collega’s en teamleden: helpt aanvallers een geloofwaardige interne context te creëren
- Vermelde tools en software: zoals Microsoft 365, waarmee aanvallers nep-loginpagina’s op maat maken
- Recente berichten en activiteit: geeft aanknopingspunten voor actuele, relevante onderwerpen om op in te spelen
Aanvallers combineren deze gegevens met informatie van andere bronnen, zoals bedrijfswebsites en openbare registers, om een volledig beeld te krijgen. Dit proces heet OSINT, ofwel Open Source Intelligence, en vereist geen technische kennis of speciale tools.
Hoe bouwen cybercriminelen een overtuigend phishingbericht op?
Cybercriminelen bouwen een overtuigend phishingbericht op door LinkedIn-informatie te combineren met een urgente of herkenbare context. Ze vermelden echte namen, functies en bedrijfsnamen, imiteren de schrijfstijl van een collega of leidinggevende, en creëren een reden om snel te handelen, zoals een openstaande betaling of een beveiligingswaarschuwing.
Een typisch patroon ziet er zo uit: de aanvaller stuurt een e-mail die zogenaamd afkomstig is van de directeur. De naam van de directeur heeft hij van LinkedIn gehaald. In het bericht vraagt hij de financieel medewerker om een betaling te verwerken voor een project dat ook op LinkedIn werd vermeld. De medewerker herkent de naam, de context en het project, en twijfelt niet.
Aanvallers gebruiken ook een techniek waarbij ze eerst contact leggen via LinkedIn zelf, een connectie opbouwen, en daarna pas het phishingbericht sturen. Op dat moment is er al een gevoel van vertrouwen opgebouwd, wat de kans op succes aanzienlijk vergroot.
De urgentie in het bericht is bewust. Zinnen als “dit moet vandaag nog geregeld worden” of “de CEO is in vergadering, kan jij dit afhandelen?” zetten druk op de ontvanger en verkorten de tijd om kritisch na te denken.
Waarom zijn MKB-medewerkers extra kwetsbaar voor LinkedIn-phishing?
MKB-medewerkers zijn extra kwetsbaar omdat ze vaker meerdere rollen vervullen, minder beveiligingstraining ontvangen en in kleinere teams werken waar iedereen elkaar kent. Dat vertrouwen maakt het makkelijker voor aanvallers om een geloofwaardige interne identiteit na te bootsen. Bovendien hebben kleinere bedrijven minder lagen van controle bij betalingen of toegangsverzoeken.
In een groot bedrijf zijn er doorgaans meerdere goedkeuringsstappen voor een betaling of een wijziging in toegangsrechten. In een MKB-omgeving beslist één persoon vaak direct. Als die persoon een overtuigend bericht ontvangt dat van de directeur lijkt te komen, is er geen tweede persoon die het verzoek controleert.
Daarnaast zijn MKB-profielen op LinkedIn vaak uitgebreider dan medewerkers zich realiseren. Omdat het bedrijf zichtbaarheid wil opbouwen, worden medewerkers aangemoedigd actief te zijn op het platform. Dat is begrijpelijk, maar het vergroot ook de hoeveelheid informatie die beschikbaar is voor aanvallers.
Wat zijn de meest voorkomende LinkedIn-phishingtechnieken?
De meest voorkomende LinkedIn-phishingtechnieken zijn CEO-fraude op basis van profielinformatie, nep-verbindingsverzoeken met malafide links, vacaturefraude waarbij kandidaten gevraagd worden persoonlijke gegevens in te vullen, en berichten die een interne collega imiteren op basis van openbare profieldata.
Hier zijn de technieken die het vaakst voorkomen:
- CEO-fraude (BEC): de aanvaller doet zich voor als de directeur en vraagt een medewerker om een betaling of het delen van inloggegevens. Meer dan de helft van de organisaties krijgt hier jaarlijks mee te maken.
- Nep-verbindingsverzoeken: een vals profiel stuurt een connectieverzoek, bouwt een gesprek op en deelt vervolgens een link naar een malafide website of bestand.
- Vacaturefraude: de aanvaller plaatst een nep-vacature of benadert iemand met een aanbod, waarna gevraagd wordt om een cv, identiteitsbewijs of andere persoonlijke gegevens te uploaden.
- Collega-imitatie: met informatie over teamleden en projecten stuurt de aanvaller een bericht dat lijkt te komen van een directe collega, inclusief verwijzingen naar echte interne situaties.
- Nep-LinkedIn-notificaties: e-mails die eruitzien als officiële LinkedIn-berichten, maar doorlinken naar phishingpagina’s die inloggegevens stelen.
Hoe herken je een phishingbericht dat LinkedIn-informatie misbruikt?
Je herkent een phishingbericht dat LinkedIn-informatie misbruikt aan het gebruik van specifieke persoonlijke details gecombineerd met een ongebruikelijk verzoek, urgentie of een afwijkend e-mailadres. Hoe persoonlijker een bericht, hoe meer waakzaamheid op zijn plaats is, want echte collega’s gebruiken doorgaans bekende communicatiekanalen voor gevoelige verzoeken.
Let op deze concrete signalen:
- Het bericht vermeldt jouw naam, functie of een collega bij naam, maar komt van een onbekend of licht afwijkend e-mailadres
- Er wordt gevraagd om snel te handelen, zonder de mogelijkheid om het te verifiëren via een ander kanaal
- Het verzoek wijkt af van de normale werkwijze, zoals een betaling die anders altijd via een vast proces loopt
- De link in het bericht wijst naar een domein dat sterk lijkt op een bekend domein, maar net iets anders gespeld is
- Het bericht vraagt om inloggegevens, ook al lijkt het afkomstig van een vertrouwde partij zoals LinkedIn zelf of Microsoft
Een goede vuistregel: als iemand informatie over jou of je collega’s gebruikt die openbaar op LinkedIn staat, en dat gecombineerd wordt met een verzoek dat buiten de normale procedure valt, bel dan de afzender direct op via een bekend nummer. Verifieer nooit via hetzelfde berichtkanaal.
Welke maatregelen beschermen een bedrijf tegen LinkedIn-phishing?
Een bedrijf beschermt zich tegen LinkedIn-phishing door medewerkers te trainen in het herkennen van gerichte aanvallen, duidelijke verificatieprocedures in te stellen voor gevoelige verzoeken, LinkedIn-profielinformatie bewust te beheren en technische maatregelen zoals MFA en e-mailfiltering te activeren.
Concrete stappen die je direct kunt nemen:
- Stel een verificatieprotocol in: elk verzoek voor een betaling, wachtwoordreset of toegangswijziging moet via een tweede kanaal bevestigd worden, ongeacht wie het vraagt.
- Train medewerkers regelmatig: phishingtraining werkt het best als het praktisch en herkenbaar is. Laat medewerkers oefenen met echte voorbeelden van gerichte aanvallen.
- Beperk openbare profielinformatie bewust: bespreek als team welke informatie op LinkedIn staat en wat beter intern blijft, zoals specifieke technologieën, projectnamen of interne processen.
- Activeer MFA op alle accounts: met een product als Cisco Duo voeg je een extra verificatiestap toe, zodat gestolen inloggegevens alleen niet genoeg zijn voor een aanvaller om in te loggen.
- Gebruik een wachtwoordmanager: met Keeper gebruik je voor elk account een uniek, sterk wachtwoord, waardoor één gecompromitteerd account niet automatisch leidt tot toegang tot andere systemen.
- Stel e-mailfiltering en anti-spoofingbeleid in: technische maatregelen zoals DMARC, DKIM en SPF helpen voorkomen dat aanvallers jouw bedrijfsdomein kunnen imiteren.
Bewustwording is de basis. Technologie ondersteunt, maar een medewerker die een verdacht bericht herkent en de juiste stap zet, is je sterkste verdediging.
Hoe NTNT helpt bij bescherming tegen LinkedIn-phishing
LinkedIn-phishing is een aanvalsvorm die vraagt om een combinatie van technische maatregelen en menselijke bewustwording. Wij helpen MKB-bedrijven met beide, op een manier die past bij de praktijk van alledag.
Wat we concreet voor je doen:
- We voeren een Cyber Security Quickscan uit, waarmee je binnen één werkdag inzicht krijgt in de kwetsbaarheden van je huidige omgeving en duidelijke prioriteiten om direct actie te nemen
- We begeleiden je bij het opzetten van een phishingtraining en bewustwordingsprogramma voor je medewerkers, afgestemd op de specifieke risico’s van gerichte aanvallen
- We implementeren MFA via Cisco Duo en een wachtwoordbeleid met Keeper, zodat inloggegevens niet het zwakke punt zijn
- We zetten Huntress in als beveiligingsoplossing die continu monitort op verdachte activiteit, met menselijke experts die alerts valideren voordat er actie nodig is
- We geven praktisch advies over welke LinkedIn-informatie je beter intern houdt en hoe je verificatieprocedures inricht zonder dat het je werkprocessen verstoort
Wil je weten waar je nu staat? Vraag de gratis Cyber Security Quickscan aan via info-msp@ntnt.nl of bezoek www.ntnt.nl. We helpen je stap voor stap naar een beter beveiligde IT-omgeving.