Phishing-aanvallen beperken zich niet langer tot de e-mailinbox; 1 op de 3 phishing-aanvallen vindt nu plaats via niet-e-mailkanalen zoals sociale media, zoekmachines en berichtenapps.
Vooral LinkedIn is een broeinest geworden voor phishing-aanvallen, en met goede reden. Aanvallers voeren geavanceerde spear-phishing-aanvallen uit tegen bedrijfsleiders, waarbij recente campagnes zich richten op ondernemingen in de financiële dienstverlening en technologische branches.
Maar phishing buiten e-mail blijft ernstig ondergerapporteerd. Dit is niet bepaald verrassend als we bedenken dat de meeste phishing-statistieken in de sector afkomstig zijn van e-mailbeveiligingstools.
Uw eerste gedachte zou kunnen zijn: “Waarom vind ik het belangrijk dat werknemers op LinkedIn worden gephishing?” Hoewel LinkedIn een persoonlijke app is, wordt deze routinematig gebruikt voor werkdoeleinden, toegankelijk vanaf zakelijke apparaten, en aanvallers richten zich specifiek op zakelijke accounts zoals Microsoft Entra en Google Workspace.
Phishing op LinkedIn is dus een belangrijke bedreiging waar bedrijven vandaag de dag op voorbereid moeten zijn. Hier zijn vijf dingen die u moet weten over waarom aanvallers op LinkedIn gaan phishing – en waarom dit zo effectief is.
1: Het omzeilt traditionele beveiligingstools
LinkedIn DM’s omzeilen volledig de e-mailbeveiligingstools waar de meeste organisaties op vertrouwen voor phishing-bescherming. In de praktijk hebben medewerkers toegang tot LinkedIn op hun werklaptops en telefoons, maar beveiligingsteams hebben geen zicht op deze communicatie. Dit betekent dat werknemers op hun werkapparaten berichten van buitenstaanders kunnen ontvangen zonder enig risico op onderschepping van e-mails.
Tot overmaat van ramp gebruiken moderne phishing-kits een reeks verduisterings-, anti-analyse- en detectie-ontwijkingstechnieken om anti-phishing-controles te omzeilen op basis van de inspectie van een webpagina (zoals webcrawlende beveiligingsbots) of analyse van webverkeer (zoals een webproxy). Dit zorgt ervoor dat de meeste organisaties nog steeds afhankelijk zijn van gebruikerstraining en -rapportage als hun belangrijkste verdedigingslinie – geen geweldige situatie.
Maar wat kunt u eigenlijk doen aan een LinkedIn-phishing, zelfs als deze door een gebruiker wordt opgemerkt en gemeld? U kunt niet zien welke andere accounts in uw gebruikersbestand zijn getarget of getroffen. In tegenstelling tot e-mail is het niet mogelijk om hetzelfde bericht dat meerdere gebruikers bereikt te herinneren of in quarantaine te plaatsen. Er is geen regel die u kunt wijzigen of afzenders die u kunt blokkeren. Je kunt het account rapporteren, en misschien wordt het kwaadaardige account bevroren, maar de aanvaller heeft tegen die tijd waarschijnlijk wat hij nodig had en is verder gegaan.
De meeste organisaties blokkeren eenvoudigweg de betrokken URL’s. Maar dit helpt niet echt als aanvallers hun phishing-domeinen snel wisselen: tegen de tijd dat u één site blokkeert, hebben er al meerdere hun plaats ingenomen. Het is een spelletje mep-een-mol, en het is tegen jou opgezet.
2: Het is goedkoop, gemakkelijk en schaalbaar voor aanvallers
Er zijn een aantal dingen die phishing via LinkedIn toegankelijker maken dan op e-mail gebaseerde phishing-aanvallen.
Bij e-mail is het gebruikelijk dat aanvallers van tevoren e-maildomeinen aanmaken, waarbij ze een opwarmperiode doorlopen om de domeinreputatie op te bouwen en e-mailfilters te passeren. De vergelijking met sociale media-apps zoals LinkedIn zou het aanmaken van accounts zijn, het leggen van verbindingen, het toevoegen van berichten en inhoud, en het aankleden ervan om legitiem te lijken.
Alleen is het ongelooflijk eenvoudig om legitieme accounts over te nemen. 60% van de inloggegevens in infostealer-logboeken is gekoppeld aan sociale media-accounts, waarvan er vele geen MFA hebben (omdat de adoptie van MFA veel lager is in nominaal “persoonlijke” apps waar gebruikers niet worden aangemoedigd om MFA toe te voegen door hun werkgever). Dit geeft aanvallers een geloofwaardig startpunt voor hun campagnes, waarbij ze zich in het bestaande netwerk van een account kunnen nestelen en dat vertrouwen kunnen uitbuiten.
Door het kapen van legitieme accounts te combineren met de mogelijkheid die wordt geboden door directe berichten op basis van AI, kunnen aanvallers hun LinkedIn-bereik eenvoudig opschalen.
3: Gemakkelijke toegang tot waardevolle doelen
Zoals elke verkoopprofessional weet, is LinkedIn-recon triviaal. Het is eenvoudig om de LinkedIn-profielen van een organisatie in kaart te brengen en geschikte doelen te selecteren om te benaderen. In feite is LinkedIn al een toptool voor zowel red-teamers als aanvallers bij het verkennen van potentiële social engineering-doelen – bijvoorbeeld het beoordelen van functierollen en -beschrijvingen om in te schatten welke accounts de toegangsniveaus en privileges hebben die je nodig hebt om een succesvolle aanval te lanceren.
Er is ook geen screening of filtering van LinkedIn-berichten, geen spambescherming of een assistent die de inbox voor u bewaakt. Het is misschien wel de meest directe manier om de beoogde contactpersoon te bereiken, en daarom een van de beste plaatsen om zeer gerichte spearphishing-aanvallen uit te voeren.
4: Gebruikers zullen er eerder in trappen
De aard van professionele netwerkapps zoals LinkedIn is dat u verwacht verbinding te maken en te communiceren met mensen buiten uw organisatie. Het is zelfs veel waarschijnlijker dat een leidinggevende met een hoge macht een LinkedIn DM opent en erop reageert dan de zoveelste spam-e-mail.
Vooral in combinatie met het kapen van accounts is de kans nog groter dat berichten van bekende contacten een reactie krijgen. Het is het equivalent van het overnemen van een e-mailaccount van een bestaande zakelijke contactpersoon, wat in het verleden de bron is geweest van veel datalekken.
In sommige recente gevallen waren die contacten zelfs collega’s, dus het lijkt meer op een aanvaller die een van uw zakelijke e-mailaccounts overneemt en die gebruikt om uw C-Suite-managers te spearphishen. Gecombineerd met het juiste voorwendsel (bijvoorbeeld dringend goedkeuring vragen, of een document herzien) neemt de kans op succes aanzienlijk toe.
5: De potentiële beloningen zijn enorm
Het feit dat deze aanvallen via een ‘persoonlijke’ app plaatsvinden, betekent niet dat de impact beperkt is. Het is belangrijk om na te denken over het grotere geheel.
De meeste phishing-aanvallen richten zich op belangrijke zakelijke cloudplatforms zoals Microsoft en Google, of op gespecialiseerde identiteitsproviders zoals Okta. Het overnemen van een van deze accounts geeft niet alleen toegang tot de kernapps en gegevens binnen de betreffende app, maar stelt de aanvaller ook in staat SSO te gebruiken om in te loggen op elke verbonden app waarop de medewerker inlogt.
Dit geeft een aanvaller toegang tot vrijwel elke kernbedrijfsfunctie en dataset in uw organisatie. En vanaf dit punt is het ook veel gemakkelijker om andere gebruikers van deze interne apps te targeten – met behulp van zakelijke berichtenapps zoals Slack of Teams, of technieken zoals SAMLjacking om van een app een drinkplaats te maken voor andere gebruikers die proberen in te loggen.
Gecombineerd met spearphishing-managementmedewerkers is de winst aanzienlijk. Eén accountcompromis kan snel uitmonden in een bedrijfsbrede inbreuk van meerdere miljoenen dollars.
En zelfs als de aanvaller uw medewerker alleen op zijn persoonlijke apparaat weet te bereiken, kan dit nog steeds worden witgewassen tot een bedrijfsaccountcompromis. Kijk maar naar de Okta-inbraak in 2023, waarbij een aanvaller misbruik maakte van het feit dat een Okta-medewerker op zijn werkapparaat was ingelogd op een persoonlijk Google-profiel. Dit betekende dat alle inloggegevens die in hun browser waren opgeslagen, werden gesynchroniseerd met hun persoonlijke apparaat, inclusief de inloggegevens van 134 klanttenants. Toen hun persoonlijke apparaat werd gehackt, gebeurde dat ook met hun werkaccount.
Dit is niet alleen een LinkedIn-probleem
Nu modern werk plaatsvindt via een netwerk van gedecentraliseerde internet-apps en meer gevarieerde communicatiekanalen buiten e-mail, is het moeilijker dan ooit om te voorkomen dat gebruikers met schadelijke inhoud omgaan.
Aanvallers kunnen links leveren via instant messenger-apps, sociale media, sms, kwaadaardige advertenties en de in-app messenger-functionaliteit gebruiken, maar ook e-mails rechtstreeks vanuit SaaS-services verzenden om op e-mail gebaseerde controles te omzeilen. Op dezelfde manier zijn er nu honderden apps per onderneming waarop men zich kan richten, met verschillende niveaus van accountbeveiligingsconfiguratie.
Wilt u meer weten over hoe phishing zich in 2025 heeft ontwikkeld? Schrijf u in voor het komende webinar van Push Security, waar we u door de belangrijkste phishingstatistieken, trends en casestudy’s van 2025 leiden.
Stop phishing waar het gebeurt: in de browser
Phishing heeft zich buiten de mailbox verplaatst. Het is van cruciaal belang dat de beveiliging dat ook doet.
Om moderne phishing-aanvallen aan te pakken, hebben organisaties een oplossing nodig die phishing in alle apps en leveringsvectoren detecteert en blokkeert.
Push Security ziet wat uw gebruikers zien. Het maakt niet uit welk leveringskanaal of detectie-ontwijkingsmethoden worden gebruikt, Push sluit de aanval in realtime af, zodra de gebruiker de kwaadaardige pagina in zijn webbrowser laadt – door de paginacode, het gedrag en de gebruikersinteractie in realtime te analyseren.
Dit is niet alles wat we doen: Push blokkeert browsergebaseerde aanvallen zoals AiTM-phishing, credential stuffing, kwaadaardige browserextensies, kwaadaardige OAuth-subsidies, ClickFix en sessiekaping. U kunt Push ook gebruiken om proactief kwetsbaarheden te vinden en op te lossen in de apps die uw werknemers gebruiken, zoals spookaanmeldingen, hiaten in de SSO-dekking, MFA-hiaten en kwetsbare wachtwoorden. U kunt zelfs zien waar werknemers hebben ingelogd op persoonlijke accounts in hun werkbrowser (om situaties zoals de eerder genoemde Okta-inbreuk uit 2023 te voorkomen).
Voor meer informatie over Push kunt u ons nieuwste productoverzicht bekijken of een afspraak maken met een van onze medewerkers voor een live demo.
