Betrugsversuche sind längst bei LinkedIn angekommen. Trotzdem bringen viele Mitglieder das Business-Netzwerk nicht mit Cybercrime in Verbindung. Wir erklären, warum dies für die IT-Sicherheit von Unternehmen gefährlich sein kann.
Das Karriere-Netzwerk LinkedIn gehört laut ARD/ZDF-Onlinestudie 2023 zu den meistgenutzten Social-Media-Plattformen. Obwohl schon lange bekannt ist, dass in Sozialen Netzwerken Betrugsmaschen von Cyberkriminellen an der Tagesordnung sind und Fake-Profile existieren, erscheint das Karrierenetzwerk den meisten Menschen als hochseriös. An Betrug denken die Nutzer*innen bei Kontaktanfragen und Nachrichten von unbekannten Personen nur selten – im Gegenteil: Das Vernetzen mit neuen Kontakten ist eines der obersten Ziele, das die Mitglieder bei LinkedIn verfolgen, um ihr Netzwerk zu erweitern. Das spielt Cyberkriminellen in die Hände, denn wer ein Netzwerk nicht mit Cybercrime in Verbindung bringt, klickt möglicherweise schneller auf schädliche Links oder gibt vertrauliche Daten preis.
Durch neue KI-Technologien und gängige Tools wie ChatGPT und Stable Diffusion werden gut gemachte Angriffe über Soziale Medien, einschließlich LinkedIn, für Scammer immer leichter. Diese Angriffe sind effizienter denn je, denn sie sind höchst personalisiert. Das erschwert ihre Erkennung. Mithilfe von KI-Tools ist es noch einfacher geworden einen Fake-Account bei LinkedIn zu kreieren und über diesen Nachrichten zu versenden sowie Content zu produzieren. Zum Anlegen des Accounts wird lediglich ein KI-generiertes Bild benötigt, und ein Profil mit Lebenslauf ist schnell aufgesetzt. Alle notwendigen Angaben werden mithilfe von ChatGPT textlich gefüllt.
Zu den häufigsten Betrugsmaschen auf LinkedIn gehören die Verbreitung schadhafter Links, gefälschte Jobangebote oder der Handel mit Kryptowährungen.
Cyberkriminelle passen ihre Maschen den jeweiligen sozialen Netzwerken an. Ganz „klassisch“ – wie auch bei Phishing-Mails – verbreiten sie via Social Media Links oder Dateien, die beim Öffnen eine schädliche Webseite laden oder Malware downloaden. Viele Menschen teilen bei LinkedIn eine Vielzahl an beruflichen und zum Teil auch persönlichen oder privaten Informationen – die perfekte Grundlage für einen Social-Engineering-Angriff. Wie auf jeder anderen Plattform gilt es daher auch hier skeptisch zu sein, wenn einem unbekannte Personen Links oder Dateien zusenden. LinkedIn warnt selbst im Hilfe-Bereich vor „Malware und betrügerische Links oder Anhänge in gefälschten Nachrichten“ und bietet Informationen zum „Schutz gegen Malware“ an. Regelmäßig werden auf LinkedIn viele Fake-Profile entfernt. Allein 2023 sind im Zeitraum von Januar bis Juni 104,8 Millionen falsche Profile proaktiv gelöscht worden. Davon wurden 386.000 nach Meldung von Mitgliedern des Karriere-Netzwerkes entfernt. Vergleicht man die Zahl von Anfang bis Mitte 2023 mit denen der letzten Jahre, zeigt sich deutlich, dass die Anzahl der falschen Profile auch auf LinkedIn immer mehr zunimmt.
Cyberkriminelle gehen auf jeder Plattform anders vor und nutzen eigene Scams, die für das jeweilige soziale Netzwerk gut funktionieren. Auf Instagram sind es Sexbots oder Fake Shops. Bei Facebook hingegen landen regelmäßig angebliche Warnungen von Meta im Postfach der Nutzenden, dass das Konto gesperrt wird, wenn sie nicht auf den mitgeschickten Link klicken. Im Business-Netzwerk LinkedIn handelt es sich vorwiegend um Job-Scams oder Betrugsmaschen mit Kryptowährungen.
Hier erhalten LinkedIn-Mitglieder mitunter gefälschte Jobangebote per Privatnachricht. Bei den Profilen, die diese Angebote verschicken, handelt es sich meistens nicht um echte Personen. Auf den ersten Blick sind die Anfragen der Fake-Profile nicht als Scam zu erkennen. Anders als bei Phishing-Nachrichten geht es Angreifern auf LinkedIn darum, das Vertrauen zu ihrem potenziellen Opfer aufzubauen. Auf den Profilen ist ein Bild vorhanden, verschiedene berufliche Stationen sind aufgeführt und die Personen posten eigene Beiträge. Auch ihr Netzwerk lässt erstmal keine Zweifel daran aufkommen, dass es sich um ein echtes Profil handelt. Die Kontaktaufnahme ist persönlich, da in der Vernetzungsanfrage der eigene Name genannt wird. Meistens handelt es sich um Remote-Jobangebote. Was ebenfalls dazu führt, dass kaum jemand misstrauisch wird, ist, dass es online Informationen zu den Firmen der vermeintlichen Jobangebote gibt. Außerdem existieren reale Kontaktmöglichkeiten, die außerhalb von LinkedIn validierbar sind, zum Beispiel auf der Karriereseite der Firmen. Die weitere Kommunikation soll über E-Mail oder eine Chat-App wie WhatsApp erfolgen und ein Vorstellungsgespräch ersetzen. Ziel ist es, persönliche Daten wie Bankdaten von den Personen abzugreifen oder sie dazu zu verleiten, Geld für Arbeitsequipment vorzustrecken. Dass die Betrüger mit ihrer Masche Erfolg haben, zeigt die aktuelle Warnung des europäischen Verbraucherzentrums zu Betrug in Karrierenetzwerken, die explizit auch vor Job-Scams warnen. Es sind Fälle bekannt, in denen bei verschiedenen Banken Konten im eigenen Namen eröffnet werden sollten. Diese dienen dann der Geldwäsche. Aber auch Erfahrungsberichte wie in dem Artikel der Los Angeles Times „Fake job scams are skyrocketing online – and they’re getting harder to detect“ zeigen, wie vielfältig das Vorgehen der Betrüger über falsche Jobangebote ist.
Cyberkriminelle fordern Lösegeld bei Ransomware-Attacken schon lange in Form von Kryptowährung. Grund ist die schwierigere Nachverfolgung von Zahlungswegen. Auch in der breiten Masse ist der Handel mit Kryptowährung angekommen und Bitcoin, Ethereum und Tether sind vielen Menschen ein Begriff. Durch Broker-Apps wie Trade Republic ist die Eröffnung eines Depots für jeden Laien schnell und einfach. Das machen sich die Kriminellen zunutze.
Eine weitere Masche, die die Betrüger daher auf LinkedIn wählen, um an das Geld ihrer Opfer zu kommen: Scamming durch vermeintliche Investitionen über Kryptowährungen. Auf LinkedIn können Kriminelle finanzstarke Personen einfach finden und deren Gutgläubigkeit der Business-Plattform gegenüber ausnutzen. Nicht selten schreiben sie gezielt CEOs, VPs und andere Führungspersonen an, weil sie hier am meisten Geld vermuten. Bei dieser Betrugsmasche gehen sie ähnlich vor, wie bei den Job-Scams, und versuchen zuerst einmal das Vertrauen zu ihrem potenziellen Opfer aufzubauen.
Es beginnt wieder mit einer Anfrage zum Vernetzen, die auf den ersten Blick persönlich und seriös wirkt. In den Direct Messages heißt es, man sei über das eigene Netzwerk auf die Person aufmerksam geworden und an einem Kontakt interessiert. Relativ schnell ist dann aber kein Austausch mit fachlichem Bezug Thema, sondern es werden Investitionen in Kryptowährungen empfohlen. Auch hier versuchen Kriminelle wieder, die weitere Kommunikation außerhalb von LinkedIn stattfinden zu lassen und die Scammer geben gezielt Tipps, auf welcher Plattform und in welche Währung investiert werden soll. Hinter den vorgeschlagenen Anlagen in Kryptowährungen stecken aber unseriöse gefälschte Handelsplattformen. Die Betrügenden leiten das Geld weiter und zeigen in vermeintlichen Echtzeit-Kurven die Kursentwicklung. Der investierte Betrag der Anlegenden ist somit verloren. Häufig sind diese Betrugsfälle schwer aufzuklären. Laut NDR-Bericht „Geldanleger um Millionen betrogen: Haftstrafen für drei Männer“ vom 28. Februar 2024 gibt es aktuell einen Ermittlungserfolg und Haftstrafen für drei Männer, die wegen millionenschweren Betrugs mit gefälschten Online-Plattformen angeklagt sind. Allein in Deutschland sollen sie Geldanleger um mehr als 20 Millionen Euro betrogen haben. In dem Artikel ist von über 24.000 Geschädigten die Rede.
Auch wenn Cyberkriminelle Privatpersonen für ihre Betrugsmaschen ins Visier nehmen, sind potenziell auch Unternehmen gefährdet, denn dass Menschen Karrierenetzwerke weniger mit Betrug in Verbindung bringen, ist gleich doppelt problematisch: LinkedIn wird vorwiegend im beruflichen Kontext und während der Arbeitszeit genutzt. Folglich gefährdet das Öffnen schadhafter Links und Webseiten potenziell auch Unternehmen, während Mitarbeitende im Firmennetzwerk online sind und nicht ausreichend für Betrugsmaschen bei LinkedIn sensibilisiert sind. LinkedIn wird für Unternehmen in zweierlei Hinsicht immer interessanter. Die Plattform bietet Firmen die Möglichkeit, sichtbarer zu werden. Und auch Mitarbeitende werden zunehmend angehalten, mit einem eigenen starken LinkedIn-Auftritt das Image des Arbeitgebers zu stärken – Stichwort Corporate Influencer.
Entsprechend sollte ein Aufruf des Arbeitgebers zum Aktivsein im Business-Netzwerk immer mit einer Aufklärung über mögliche Cybergefahren einhergehen. Ein erster Schritt ist es, Mitarbeitenden eine Art „Verhaltenskodex“ zu Verfügung zu stellen, der zum Beispiel das Teilen vertraulicher Daten regelt. Denn je mehr vertrauliche Daten, wie private Details aus dem Berufsalltag von Mitarbeitenden, auf LinkedIn zur Verfügung gestellt werden, desto gelungener fällt letztendlich der Social-Engineering-Angriff aus – eine potenzielle Katastrophe für Firmen. Ziel aller Security-Awareness-Maßnahmen muss es sein, Mitarbeitende auch für Bereiche zu sensibilisieren, denen die meisten Menschen zunächst ohne großen Argwohn entgegentreten. Dazu gehört zum Beispiel der Hinweis, nicht leichtgläubig auf Links zu klicken, im Kontext von LinkedIn aber auch, zurückhaltend beim Teilen von Daten und Informationen zu sein.