LinkedIn wird häufig für kriminelle Machenschaften missbraucht. Im Jahr 2025 beispielsweise lockten Cyberkriminelle Jobsuchende mit gefakten Jobangeboten in die Falle und verleiteten sie zur Installation von Schadsoftware. Auch persönliche Daten gehörten zum Ziel der gemeinen Hacker. 

Betrug auf LinkedIn ist bei weitem kein Einzelfall. Ganz im Gegenteil, im Laufe der letzten Jahre haben Cybergauner jeglicher Couleur das soziale Netzwerk als Quelle für sich entdeckt. In diesem Blogpost erklären wir, warum ausgerechnet LinkedIn so viele wertvolle Informationen bietet und wie sich Nutzer und Unternehmen schützen.

Warum ist LinkedIn ein Ziel?

Seit der Gründung im Jahr 2003 hat LinkedIn weltweit mehr als eine Milliarde Mitglieder angeworben. Das sind eine Menge potenzieller Ziele für staatlich unterstützte und finanziell motivierte Bedrohungsakteure. Aber warum ist die Plattform so beliebt? Hierfür gibt es gute Gründe.

  • Das Netzwerk ist eine fantastische Informationsquelle: Wenn Bedrohungsakteure die Website durchforsten, können sie die Aufgaben und Zuständigkeiten wichtiger Personen in einem anvisierten Unternehmen herausfinden, einschließlich neu hinzugekommener Mitarbeiter. Sie können sich auch ein ziemlich genaues Bild von den Beziehungen zwischen den einzelnen Personen und der Art der Projekte machen, an denen sie möglicherweise arbeiten. All diese Informationen sind von unschätzbarem Wert und können in Spearphishing- und BEC-Betrugsversuche einfließen.
  • Es bietet Glaubwürdigkeit und Deckung: Da es sich bei LinkedIn um ein professionelles Netzwerk handelt, wird es sowohl von hochrangigen Führungskräften als auch von einfachen Mitarbeitern genutzt. Beides kann für einen Bedrohungsakteur von Nutzen sein. Die Wahrscheinlichkeit, dass Opfer eine DM oder InMail von jemandem auf der Website öffnen, ist größer als bei einer unerwünschten E-Mail. Wenn es sich um Führungskräfte handelt, könnte dies sogar die einzige Möglichkeit sein, sie direkt anzusprechen, da E-Mails oft nur von untergeordneten Mitarbeitern überprüft werden.
  • Es umgeht die "traditionelle" Sicherheit: Da die Nachrichten über die Server von LinkedIn und nicht über die E-Mail-Systeme des Unternehmens laufen, sieht die IT-Abteilung des Unternehmens nicht, was vor sich geht. Obwohl LinkedIn über einige eingebaute Sicherheitsmaßnahmen verfügt, gibt es keine Garantie dafür, dass Phishing-, Malware- und Spam-Nachrichten nicht durchkommen. Und aufgrund der Glaubwürdigkeit der Website ist es wahrscheinlicher, dass die Zielpersonen auf eine bösartige Nachricht klicken.
  • Es ist leicht, die Seite zum Laufen zu bringen: Für Bedrohungsakteure ist der potenzielle ROI für Angriffe über LinkedIn enorm. Jeder kann ein Profil registrieren und die Seite nach Profilen durchforsten, aus denen er Informationen gewinnen oder die er mit Phishing- und BEC-Nachrichten angreifen kann. Die Angriffe lassen sich relativ leicht automatisieren und in großem Umfang durchführen. Um Phishing-Bemühungen mehr Legitimität zu verleihen, können Bedrohungsakteure bestehende Konten kapern oder gefälschte Identitäten einrichten, bevor sie sich als Arbeitssuchende oder Personalverantwortliche ausgeben. Die Fülle an kompromittierten Anmeldedaten, die in Cybercrime-Foren kursieren (zum Teil dank Infostealern), macht dies einfacher denn je.

Welche Angriffe sind am weitesten verbreitet?

Wie bereits erwähnt, gibt es verschiedene Möglichkeiten, wie Bedrohungsakteure ihre bösartigen Kampagnen über LinkedIn durchführen können. Dazu gehören:

  • Phishing und Spearphishing: Mithilfe der Informationen, die LinkedIn-Nutzer in ihren Profilen preisgeben, können sie Phishing-Kampagnen maßschneidern, um ihre Erfolgsquote zu erhöhen.
  • Direkte Angriffe: Die Angreifer können sich mit bösartigen Links direkt an die Nutzer wenden, um Malware wie Infostealer zu verbreiten oder Jobangebote zu unterbreiten, um Anmeldedaten zu sammeln. Alternativ können staatlich unterstützte Agenten LinkedIn nutzen, um "Insider" zu rekrutieren, wie der MI5 warnte.
  • BEC: Wie beim Phishing-Beispiel bietet LinkedIn eine Fülle von Informationen, die genutzt werden können, um BEC (Business Email Compromise)-Angriffe überzeugender zu gestalten. So können die Betrüger herausfinden, wer wem unterstellt ist, an welchen Projekten sie arbeiten und wie die Namen von Partnern oder Lieferanten lauten.
  • Fälschungen: LinkedIn kann auch Videos von Zielpersonen hosten, die zur Erstellung von Fälschungen verwendet werden können, um sie für nachfolgende Phishing-, BEC- oder Social-Media-Betrügereien zu verwenden.
  • Kontokaperung: Gefälschte LinkedIn-Seiten (Phishing), Infostealers, Credential Stuffing und andere Techniken können Bedrohungsakteuren dabei helfen, die Konten von Nutzern zu übernehmen. Diese können in Folgeangriffen auf deren Kontakte verwendet werden.
  • Angriffe auf Zulieferer: LinkedIn kann auch nach Informationen über Partner eines Zielunternehmens durchsucht werden, die dann in einem "Sprungbrett"-Angriff mit Phishing angegriffen werden können.

Beispiele für Bedrohungsgruppen, die einige der oben genannten Methoden anwenden, sind:

  • Die nordkoreanische Lazarus-Gruppe hat sich auf LinkedIn als Anwerber ausgegeben, um Malware auf den Rechnern von Mitarbeitern eines Luft- und Raumfahrtunternehmens zu installieren, wie ESET herausfand. Die Forscher haben vor kurzem auch die Wagemole-Kampagnen für IT-Mitarbeiter beschrieben, bei denen mit Nordkorea verbündete Personen versuchen, eine Anstellung bei ausländischen Unternehmen zu finden.
  • ScatteredSpider rief beim Helpdesk von MGM an und gab sich als Mitarbeiter aus, den er auf LinkedIn gefunden hatte, um Zugang zu dem Unternehmen zu erhalten. Der anschließende Ransomware-Angriff verursachte dem Unternehmen einen Schaden in Höhe von 100 Millionen Dollar.
  • Eine Spearphishing-Kampagne mit dem Namen "Ducktail" zielte auf Marketing- und HR-Fachleute auf LinkedIn ab und lieferte über DM-Links Malware zum Diebstahl von Informationen. Die Malware selbst wurde in der Cloud gehostet.

Sicher bleiben auf LinkedIn

Wie bereits erwähnt, besteht die Herausforderung bei LinkedIn-Bedrohungen darin, dass es für die IT-Abteilung schwierig ist, einen wirklichen Einblick in das Ausmaß des Risikos für ihre Mitarbeiter zu erhalten und herauszufinden, mit welchen Taktiken sie angegriffen werden. Es wäre jedoch sinnvoll, LinkedIn-Bedrohungsszenarien der oben beschriebenen Art in Sicherheitsschulungen einzubauen. Mitarbeiter sollten auch vor dem Oversharing auf der Website gewarnt werden und Hilfe erhalten, wie sie gefälschte Konten und typische Phishing-Köder erkennen können.

Um zu verhindern, dass ihre eigenen Konten gekapert werden, sollten sie außerdem die Richtlinien für regelmäßige Patches, die Installation von Sicherheitssoftware auf allen Geräten (von einem vertrauenswürdigen Anbieter) und die Aktivierung der Multi-Faktor-Authentifizierung befolgen. Es kann sich lohnen, spezielle Schulungen für Führungskräfte durchzuführen, da diese häufiger Ziel von Angriffen sind. Sorgen Sie vor allem dafür, dass Ihre Mitarbeiter erkennen, dass selbst in einem vertrauenswürdigen Netzwerk wie LinkedIn nicht jeder nur ihr Bestes im Sinn hat.