2019 / Datendiebstahl / Datenschutz

LinkedIn, Fake Accounts und Informationsbeschaffung!

LinkedIn, für manche eine Qual, für andere ein wichtiges Tool zum Netzwerken und zum Austausch von Informationen. Fragt man einen beliebigen Online-Marketing Spezialisten wird er wahrscheinlich Sachen sagen wie “LinkedIn ist das unterschätzteste, am stärksten wachsende Netzwerk, schalt da mal Werbung”. Im Informationszeitalter sind Daten Gold und auch Angreifer finden diese Daten besonders wertvoll. Beispielsweise für die Vorbereitung von gezielten Phishing Kampagnen.

Informationen von Wert für einen Angreifer bei LinkedIn

LinkedIn ist eine sehr gute Informationsquelle für Angreifer, unabhängig davon ob möglichst viel über Firmen oder Privatpersonen herausgefunden werden soll. Durch die wachsenden Nutzerzahlen, wird das Netzwerk auch immer interessanter für Nutzer, Firmen, Werber und Angreifer. Als Angreifer bekommen wir unterschiedliche Informationen über unser potentielles Opfer. Dazu zählt z.B. die Historie der Anstellungen, Bildungswege, ungefährer Aufenthaltsort, Nutzernamen oder die persönliche Webseite.

Um dies sehen zu können müssen wir das Profil besuchen. Wenn das potentielle Opfer nicht alarmiert werden soll von unserem Besuch, erstellen wir uns eine sogenannte Sockpuppet. Einen Account, der gefüllt ist mit vom Angreifer frei erfundenen Angaben, sprich: Fake Account. Dies ist natürlich gegen die Nutzungsbedingungen von LinkedIn, es erlaubt einem Angreifer aber seine wahre Identität zu obfuskieren.

Wofür sammelt ein Angreifer Informationen bei LinkedIn?

Ein wesentlicher Teil im Ablauf eines Angriffs ist die sogenannte “Reconaissance-Phase”. Egal ob bei einem Phishing Angriff, einer gezielten Ransomwareinfektion, wie z.B. bei emotet (Reconaissance war hier das durchsuchen des Kontaktbuchs) oder einer Social Engineering Attacke. In dieser Phase versucht ein Angreifer möglichst viele Informationen über sein potentielles Opfer – das kann ein Unternehmen oder eine Privatpersonen sein – in Erfahrung zu bringen.

LinkedIn eignet sich sehr gut für die Vorbereitungen von Angriffe auf Unternehmen, da private Personen dort mit privater E-Mail Adresse angemeldet sind, aber häufig berufliche Interessen verfolgen. Dadurch verschwimmt die Grenze zwischen beruflichem und privatem und der Nutzer verliert den Überblick. Wenn Sie sich und Ihre Mitarbeiter schützen wollen, ist vielleicht ein Live-Hacking genau das richtige für Sie. Dort behandeln wir genau diese Themen. Auch bei einem Penetrationstest fokussieren wir dieses Thema extrem.

Vergibt ein Nutzer beispielsweise einen eigenen “Nutzernamen” bei LinkedIn, und verwendet diesen auch auf anderen Plattformen, so könnte ein Angreifer diese Profile beispielsweise mit

finden. Auf der Plattform selber können sogenannte Suchoperatoren nützlich sein. Ähnlich wie beim Google Hacking gibt es auch bei LinkedIn Möglichkeiten, gezielter zu suchen. Dieses Cheatsheet führt ein paar dieser speziellen Operatoren auf.

Wie schütze ich meinen LinkedIn Account

Stellen Sie die Privatsphäre- und Sicherheitseinstellungen Ihren Bedürfnissen entsprechend ein. Diese sind in der Basiskonfiguration von LinkedIn recht lax und machen es einem Informationssammler leicht. Dafür klicken Sie rechts oben auf Ihr Profilbild und dann auf “Einstellungen und Datenschutz”. Eine der wichtigsten Einstellungen ist, dass “Kontakte zweiten Grades” Sie nicht per Mail Adresse finden können.

Hat ein Angreifer Ihre Mail Adresse kann er überprüfen, ob Sie ein LinkedIn Profil haben und bereits erste Informationen sammeln. Dies wird auf Ihrem Profil auch nicht als Besuch angezeigt, sodass Sie nicht benachrichtigt werden, ob Sie aktuell ausgekundschaftet werden.

Jemand möchte mich als Kontakt bei LinkedIn hinzufügen

Wir kennen es alle. Nach einem Event kommen auf einmal Kontaktanfragen bei LinkedIn und wir sind gar nicht mehr sicher, wer das eigentlich ist. Ist Ihr Profil auf “privat” eingestellt, könnte es sein, das ein Angreifer mit einer Sockpuppet versucht an Ihre Informationen zu kommen. Wie können Sie einen ersten Schritt machen, um zu überprüfen, ob es sich um einen echten oder einen falschen Account handelt?

Ganz einfach: Laden Sie das Profilfoto herunter und machen Sie eine umgekehrte Google Image, Yandex oder TinEye Suche. Taucht das Bild nun häufig auf, handelt es sich vermutlich um ein Stock-Foto, welches einfach für die Erstellung des Fake Accounts genutzt wurde. Eine Herausforderung für diese Form der Erkennung wird sicher mit der Weiterentwicklung von KI größer werden, wie wir in diesem Blogpost ausgeführt haben.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.