Pippi Langkous

 

Afbeelding via Pixabay

“Pippi Langkous volgt u en nodigt u uit een connectie te maken.” Als je deze tekst niet herkent, dan ben je een van de weinige lezers die niet op LinkedIn zitten, denk ik. Ben je wel lid, dan heb ik twee vragen voor je: hoe reageer je op dergelijke uitnodigingen en hoe zou je beter reageren?

In de uitnodiging staat voor het gemak vermeld dat jij en Pippi gemeenschappelijke vrienden hebben: Tommy en Annika. Dat moet dan als een soort referentie dienen. Ik vertrouw dat echter niet, zeker sinds ik een keer aan een collega vroeg waar hij zo’n Tommy of Annika van kende. “Wie?”, luidde zijn veelzeggende reactie. Veel mensen klikken blindelings op de knop waarmee ze vriendjes worden met het nieuwe contact.

LinkedIn, het Facebook voor professionals, is zoals alle sociale netwerken gebaat bij een groeiend aantal leden. Ze maken het dan ook extra verleidelijk om op ‘ja’ te klikken: Pippi vroeg alleen of je vriendjes wilde worden, LinkedIn voegde daar op eigen initiatief Tommy en Annika aan toe. Maar wie is die Pippi eigenlijk? Je kunt haar profiel al bekijken voordat je haar vriendschap accepteert. Als Pippi Langkous, zoals we haar allemaal kennen, op LinkedIn zou zitten, dan zou haar profiel er ongeveer als volgt uitzien. Functie: baas. Bedrijf: Villa Kakelbont. Opleiding: geen. Kennis: alles. Vaardigheden: sterk en rijk zijn. Aantal connecties: miljoenen.

Op LinkedIn heb ik drie accounts gevonden onder de naam Pippi Longstocking, zoals het meisje met de horizontale vlechten in het Engels heet. Die accounts hebben veel overeenkomsten: één of geen volgers, nog nooit een bericht geplaatst, geen foto en überhaupt een erg leeg profiel. Eentje beweert dat zij in 2016 heeft gestudeerd aan de Harvard Business School en de oprichter is van een snoepfabriek in Kansas. Nummer twee is de baas van een bedrijf in sportkleding en -accessoires in Californië en de derde is zelfstandig menu planner in Engeland.

Ik heb geen flauw idee wat het nut van deze accounts is, maar ik heb wel een beeld van hetgeen je kunt doen met nepaccounts. Het platform komt in rapporten naar voren als uiterst prominent gereedschap van phishende cybercriminelen. LinkedIn legt het zelf zo uit: “Phishingpogingen kunnen worden gedaan door fraudeurs om gevoelige informatie zoals gebruikersnamen, wachtwoorden en creditcardgegevens te verkrijgen. Phishers doen zich voor als legitieme bedrijven of personen die e-mails en links verzenden die mensen dan leiden naar frauduleuze websites of uw computer infecteren met zogenaamde malware.” En ze geven nog meer informatie over en voorbeelden van LinkedIn-gerelateerde phishing.

De drie Pippi-accounts die ik heb gevonden zijn veel te kaal om voor phishingdoeleinden te worden gebruikt. Echte valse accounts bevatten meestal een indrukwekkend profiel, waardoor ze realistisch lijken. Op de foto staat eerder een knappe jongedame dan een lelijke vent. En vaak zijn die foto’s nog vals ook: vorig jaar ontdekten onderzoekers van het Stanford Internet Observatory ruim duizend door kunstmatige intelligentie gegenereerde profielfoto’s op LinkedIn. Zucht – nou moet je dus niet alleen phishingmail herkennen, maar je moet ook nog leren om AI-foto’s te herkennen. En dat is niet gemakkelijk, zeker niet bij foto’s op postzegelformaat. Daarnaast schetsen nepaccounts het beeld van een zeer ervaren professional op jouw vakgebied. Kortom, je ziet iemand die je graag aan je postzegelverzameling wilt toevoegen.

Overigens is phishing lang niet het enige wat je hiermee kunt. Contact leggen via LinkedIn kan ook in bredere zin worden gebruikt voor social engineering – het hacken van de mens – met als doel iemand informatie te ontfutselen of bepaalde dingen te laten doen. Op de eerste kennismaking volgt misschien eerst wat vrijblijvend gepraat over gemeenschappelijke (professionele) interesses, om dan ongemerkt over te gaan op onderwerpen waarvan jouw werkgever misschien liever niet heeft dat je erover praat.

Terug naar de vragen aan het begin. Accepteer je connectieverzoeken blindelings? En zo ja, hoe denk je daar na het lezen van deze blog over? Ik doe het zelf zo: verzoeken van collega’s accepteer ik altijd (na controle of het ook echt collega’s zijn), en andere mensen accepteer ik alleen als ik ze eerder in het echt heb ontmoet. Dat staat ook zo in mijn profiel. Niet dat iedereen dat leest – ik wijs iedere week wel een connectieverzoek af. Daar zal uiterst zelden een crimineel tussen zitten, maar die houd ik zo in ieder geval óók buiten de deur. Heb ik daardoor minder connecties? Ja, maar nou en? En wie graag de Security (b)log op LinkedIn wil lezen, kan me ook gewoon volgen.

En zo, beste intranet-hoofdredacteur, kon Pippi Langkous toch nog het onderwerp worden van een werkgerelateerde blog (-;

 

En in de grote boze buitenwereld …

• hebben Noord-Koreaanse staatshackers het gemunt op academici en mediamensen in de VS en Zuid-Korea.
• zijn we allemaal al eens slachtoffer van een datalek geweest.
• adverteren scammers op Amerikaanse overheidswebsites.
• maken afpersers naaktfoto’s van jou met kunstmatige intelligentie.
• waarschuwen de Britten voor de risico’s van neurotechnologie.
• vraagt de Nederlandse privacytoezichthouder om opheldering over Chat GPT.
• duurt het nog wel even voordat de overheid aan alle beveiligingsstandaarden voldoet.
• lekt Shell data (wie zei ook alweer: data is the new oil?)