Een collega vroeg mij:
“Waarom heb ik dit contactverzoek via LinkedIn wel gehonoreerd en dat andere
niet?” Je eerste reactie is waarschijnlijk dat hij dat zelf toch het beste zou
moeten weten. Maar laat ik je wat meer context verschaffen. De collega kende geen
van beide personen. Een gezonde basishouding is dan om een verzoek af te
wijzen; social engineers grijpen ook graag dit soort bronnen aan om een aanval
tegen jou – of tegen een van jou kennissen – op touw te zetten.
Nu was de afgewezen persoon een
man, strak in het pak, zwart haar en dito hangsnor en voorzien van een
Verweggistaanse naam. Zijn nogal ruime functieomschrijving luidde “global trade
and customs affairs”. Hij was al vriendjes met zes mensen die ook in de
contactenlijst van de collega stonden. De ander was een vrouw, blond, jonger
dan mijn collega en ze had een Nederlandse naam. Ze woonde echter in Australië
en was “risk consultant of the year 2017”.
De vraag van mijn collega
was in zoverre retorisch dat hij zelf ook wel wist dat uiterlijk en sexe hadden
bepaald op welke knop hij klikte. Maar toch zit er meer achter. Waarom
accepteren we nieuwe “vrienden” zonder hen te kennen? En natuurlijk de vraag:
wat doet dat met onze veiligheid?
Eerst maar eens aan een van
de gezamenlijke contacten van kandidaat nummer één gevraagd waar hij die meneer
van kende. “Wie?”, reageerde hij naar verwachting. Hij begon zich wat
ongemakkelijk te voelen, want beveiligers stellen dat soort vragen nooit
zomaar. “O, eh, ja, die zal ik wel bij Gartner of een andere conferentie
ontmoet hebben.” Oké, dat is op zich een geldige reden, al kwam het niet erg
overtuigend over. In mijn eigen LinkedIn-profiel staat dat je mij eerst in het
echt moet hebben ontmoet voordat je vriendjes mag worden. Een vluchtig gesprek
tijdens een conferentie vind ik dan nog wat dunnetjes, zeker als de persoon in
kwestie daar namens zijn werkgever op de bijbehorende beurs staat.
Als een contactverzoek wordt
verzonden, dan is LinkedIn er als de kippen bij om te melden wie je als
gemeenschappelijke vrienden hebt. Op die manier proberen ze om je over de
streep te trekken, zo lijkt het wel. Zoals ze ook wildvreemden – of vermeende
kennissen – voorstellen als contacten die je zou moeten willen hebben.
Vroeger was ik ook zo. Ha
leuk, een connectieverzoek, goed voor de omvang van mijn netwerk! Zo kwam ook
een of andere buitenlander in mijn netwerk terecht. Kort daarna begon hij met
me aan te pappen. Hij vertelde dat hij een paar jaar geleden voor ons had
gewerkt, aan dat-en-dat project. Hij was razend benieuwd hoe het daar nu mee
ging. Of ik hem misschien wat informatie kon verschaffen? Nou, nee dus.
Natuurlijk niet! Ik ga toch zeker geen informatie delen met wildvreemden? De
truc is natuurlijk dat je zogenaamd geen vreemden voor elkaar bent, je bent immers
via LinkedIn aan elkaar gekoppeld! Het aanvoeren van iets gemeenschappelijks
(zoals voor jouw organisatie gewerkt hebben) is immers een van de
standaardtrucs uit het repertoire van de social engineer. Misschien ben jij
helemaal niet zelf zijn doelwit, maar iemand in jouw netwerk. Die krijgt vervolgens
ook een connectieverzoek en ziet dan jij al vriendjes bent met die persoon. En
dan zal het vast wel goed zijn...
Kortom, door Jan en alleman
zomaar te accepteren kun je niet alleen jezelf en je werkgever schaden, maar
ook je (echte) kennissen. Zelf hanteer ik daarom zoals gezegd de regel dat ik
geen contacten accepteer die ik niet al in het echte leven ken. Ik maak nog wel
een uitzondering voor collega’s, maar dan controleer ik wel altijd even of zo
iemand ook écht bij ons werkt (een nep-account is op social media immers zó
gemaakt). Soms is de verleiding groot om iemand toch te accepteren omdat hij
een interessant profiel heeft. Of omdat ik denk dat iemand contact wil leggen
om vooral geen blog te missen. Maar ach, ik weet mijn ego redelijk in bedwang
te houden.
Je kunt nog altijd de
straattest doen. Stel je voor dat zo’n persoon je op straat zou aanklampen. Zou
je hem of haar dan ook vertellen wie je bent, wat je doet, wat je professionele
en opleidingsachtergrond is en nog een heleboel meer? Voor mijn collega kom ik
dan ook tot het onvermijdelijke advies: ontlink die knappe blondine.
En in de grote boze buitenwereld …
… gaat dit artikel nog wat verder in op LinkedIn-bedrog.
... heeft Google een heel natuurlijk
klinkende digitale stem ontwikkeld. En dat zou wel eens vervelende
consequenties kunnen hebben.
... weert de Nederlandse
overheid voortaan de virusscanner van het Russische bedrijf Kaspersky, zoals de
VS en het VK dat al eerder deden.
... verplaatst Kaspersky –
als reactie op de internationale druk – een deel van het bedrijf naar
Zwitserland.
... noemt Kaspersky dit zelf
een “Transparency Center”.
... ging het kaartverkoopsysteem
van de Deense spoorwegen plat. Kennelijk bleek pas na onderzoek dat een
DDoS-aanval daar de oorzaak van was.
... is versleutelde e-mail
even niet meer zo veilig.
... is Efail nou ook weer
niet zo’n grote ramp.
... somt dit artikel de
gevolgen van de AVG voor burgers op.
... hebben de Nederlandse en
Thaise politie samen een bulletproof
hoster aangepakt.
... blijkt het belang van
betrouwbare webshopbouwers maar al te goed uit een actuele rechtszaak.
... laten telefoons zich
niet ontgrendelen met dode vingers.
... gaat het groene slotje
uit Chrome verdwijnen. De browser meldt straks alleen nog als een site niet
veilig is.
Geen opmerkingen:
Een reactie posten