Over spearphishing en LinkedIn

  • Hans Wagtelenberg
  • vrijdag 30 augustus 2024 om 07:30
Binnen StackSecure hebben we diverse producten en diensten zoals ons trainingsplatform StackAware, CISO as a Service en phishing simulaties. Wat betreft het laatste zijn er vele mogelijkheden en simulaties te bedenken, echter een persoonlijke favoriet is toch wel spearphishing.

Dit is een type phishing waarbij de aanvaller het specifiek op een persoon of bedrijf heeft voorzien. In dit artikel zullen we de werkwijze en gedachte van dergelijke aanvaller toelichten en vooral ook hoe social media, in dit geval specifiek LinkedIn, misbruikt kan worden bij een dergelijke aanval.

Spearphishing
We zullen beginnen met de basis, namelijk een korte uitleg van het begrip phishing. Het is een tactiek die gebruikt wordt bij social engineering en een variant op het woord “fishing”. De reden dat het geschreven wordt met “ph” is een stukje geschiedenis en geeft tevens het verschil aan dat het als doelwit mensen betreft in plaats van vissen. 

Kort gezegd: bij phishing wordt er gevist naar gegevens.

Vaak vindt phishing plaats met onverwachte e-mails, sms-berichten of telefoontjes waarbij naar gevoelig informatie wordt gevraagd of mensen worden geleid naar een valse versie van een echt ogende website met de bedoeling ze daar gegevens in te laten voeren of een andere handeling te verrichten.

De bemachtigde gegevens worden dan vaak misbruikt bij verdere criminaliteiten zoals identiteitsfraude of het illegaal verkrijgen van toegang tot vertrouwelijke systemen met als uiteindelijk doel financieel gewin of het verkrijgen van vertrouwelijke gegevens. 

Phishing is dus vaak pas het begin van verdere ellende.

Waar phishing aanvallen vaak plaatsvinden gericht op een grote groep mensen in de hoop dat er iets in het uitgegooide net blijft zitten is spearphishing een variant die zich richt op een kleine groep of persoon.  In tegenstelling tot het gebruik van een groot net wordt er dus met een speer gemikt op een individuele vis.

Bij een dergelijke aanval wordt het bericht afgestemd op de ontvanger om zo de kans van slagen te vergroten. Denk hierbij aan het verzamelen van informatie over het doelwit en zijn relaties. Door dit te doen ontstaan een aantal voordelen voor de aanvaller:

  1. Het doelwit kan zich richten op mensen met een bepaalde functie waarbij bijvoorbeeld de kans op veel bevoegdheden groot is of waar wat te halen valt. Ook wel whaling genoemd. Iemand die werkzaam is op de afdeling patenten heeft waarschijnlijk toegang tot bepaalde bedrijfsgeheimen en de kans dat de CEO (te) veel toegangsrechten heeft is groter dan bij de gemiddelde accountmanager. 
  2. De teksten in de berichten kunnen toespitst worden op het doelwit. De aanvaller kent zijn functie en kan misschien terugvinden aan wat voor projecten er momenteel gewerkt wordt of is gewerkt in het verleden. 
  3. De aanvaller kent de relaties van het doelwit en kan zich dus makkelijk voordoen als een bekende relatie of als een medewerker van een bekend bedrijf zoals een grote klant of leverancier, hetgeen de kans op een succesvolle aanval weer vergroot.
 
Helemaal eng wordt het trouwens als de kwaadwillende zich eerst toegang verschaft tot de omgeving van de klant of leverancier en zo zich dus nog beter kan voordoen als iemand anders. Dit is een onderdeel van Business E-mail Compromise (BEC), een onderwerp voor een andere keer.

Een uitstekende bron voor kwaadwillenden om dit soort informatie te bemachtigen is social media en in het bijzonder een platform als LinkedIn. De naam en functie zijn makkelijk gevonden en kijken we bij meerdere medewerkers van hetzelfde bedrijf welke andere bedrijven ze volgen dan zijn de topklanten meestal ook makkelijk af te leiden.

Een andere handige trend waar graag gebruik van wordt gemaakt is het feit dat LinkedIn steeds meer begint te lijken op Facebook. Mensen strooien rijkelijk met persoonlijke informatie: hobby’s, vakanties en condoleances met privéadressen, alles komt voorbij op de LinkedIn tijdlijn.

Bedenk eens hoe groot de succeskansen zouden zijn als we iemand opzoeken met een hoge functie, bijvoorbeeld een CFO, die net begonnen is bij een nieuwe werkgever. Voor extra effect doen we ons voor als de CEO van de grootste klant van zijn nieuwe werkgever:

                                                                                                                                                                   
Beste <voornaam doelwit CFO van LinkedIn>,

Namens <bedrijfsnaam grote klant gevonden op LinkedIn> wil ik je van harte feliciteren met je nieuwe functie. Gezien de problemen in het verleden met het ontvangen van onze betalingen wil ik je vragen je persoonsgegevens bij te werken in ons leveranciersportaal.

Ik neem aan dat je al reeds van je voorganger de juiste gegevens hebt ontvangen, maar voor de zekerheid hierbij het adres van ons portaal: https://bedrijfsnaam.willekeurigenaammetportaal.nl.

Inloggen kan met je eigen Microsoft gegevens en als het goed is verschijnt daarna direct de pagina met gegevens die bijgewerkt dient te worden.

Met vriendelijke groet en veel succes toegewenst in je nieuwe functie!

<Naam van de CEO van de grote klant gevonden op LinkedIn>
                                                                                                                                                                   
 
Een dergelijke mail zal sneller succesvol zijn dan een willekeurig bericht met de melding dat er een wachtwoord is verlopen of een andere generieke phishing mail. Als het doelwit zijn gegevens invult kan de kwaadwillende deze gebruiken om toegang te krijgen tot de e-mail van het doelwit, de systemen van het doelwit of deze gebruiken om relaties van het doelwit verder te misleiden.

Het moraal van het verhaal is tweeledig:

  1. Wees zuinig met de details die je vrijgeeft op internet en controleer ook regelmatig de privacy instellingen van elk platform om te beperken wie de informatie kan zien. Accepteer niet zomaar alle uitnodigingen op LinkedIn (dit gaat je ook een berg commerciële berichten schelen).
  2. Wees altijd alert op verdachte e-mails ook als ze afkomstig lijken van collega’s, leidinggevende, klanten of leveranciers. 

Security Awareness training en de kracht van herhaling zijn cruciaal voor het scherp houden van medewerkers. Op ons platform wordt dan ook uitgebreid stilgestaan bij de diverse vormen van phishing en de gevaren van LinkedIn. 

Weet jij hoe je organisatie of directie zouden omgaan met slinkse bulk of spear phishing mails? We testen het graag voor je, voordat hackers het doen. Voor meer informatie over phishing, security awareness training en veiligheid kan je  altijd een vrijblijvend contact met ons opnemen.