Elke organisatie is zich bewust van de potentiële gevaren van het openen van e-mails en het klikken op doorgestuurde links. Waar dit bewustzijn bij gebruikers van e-mail en webpagina’s na jarenlange awareness trainingen is ingeburgerd, lijkt dit bewustzijn bij het gebruik van sociale media minder aanwezig. Dat is jammer, cybercriminelen grijpen hun kans.
Bedrijven en werknemers gebruiken over het algemeen één social media platform vaak: Linkedin. Vooral de HR-afdeling van organisaties is vaak te vinden op Linkedin. Een cybercrimineel kan zich voordoen als recruiter om zo een ander bedrijf of persoon binnen te dringen. Door eerst contact te leggen via een bekend en professioneel platform als Linkedin wordt een valse vertrouwensband gecreëerd. De werknemer opent vaak zonder erbij na te denken documenten en weet dan vaak niet eens dat hij zijn eigen netwerk en dat van zijn organisatie heeft besmet.
Zie hieronder de drie meest gebruikte trucs van cybercriminelen:
1. Valse recruiter
De cybercrimineel doet zich voor als recruiter en neemt contact op met een werknemer voor een aantrekkelijke vacature. De cybercrimineel is overigens slim genoeg om daadwerkelijk gebruik te maken van openstaande functies. Nadat het contact is gelegd, stuurt de cybercrimineel documenten die lijken op functiebeschrijvingen door naar de werknemer. Op het moment dat de werknemer de documenten opent, is de schade aangericht en heeft hij zijn eigen netwerk besmet en mogelijk ook het netwerk van de organisatie waar hij werkt. Omdat de cybercrimineel goed uitziende documenten gebruikt en de conversatie normaal laat verlopen, heeft de werknemer dit vaak niet eens door.
2. Reactie op vacatures
Veel bedrijven hebben een openstaande vacature uitstaan. Zeker in de huidige tijd zijn organisaties al lang blij met een reactie. Het bijgevoegde CV wordt vaak direct geopend. Cybercriminelen weten dit en sturen een besmet document.
3. Zakelijk voorstel
LinkedIn is een zakelijk social media platform voor professionals, dus er wordt veel digitaal materiaal uitgewisseld om te handelen. Als het profiel op het eerste gezicht niet nep lijkt, is het een logische gedachte om een bijgevoegd voorstel/offerte te openen. Het is niet moeilijk om voor een cybercrimineel een legitiem uitziend profiel te bouwen. Het professionele karakter van Linkedin doet dan de rest en er ontstaat een vertrouwelijk gevoel.