Chinese spionnennetwerken zetten valse LinkedIn-profielen in om medewerkers van de NAVO en de Europese Unie in Brussel te benaderen. Belgische veiligheidsdiensten waarschuwen voor gerichte rekrutering en dataverzameling via het platform van Microsoft-dochter LinkedIn. De aanpak speelt zich af op de grens van online misleiding en klassieke inlichtingenwerk. De zaak raakt aan regels als de AVG, de Digital Services Act en de Europese AI-verordening, met gevolgen voor overheid en bedrijven.
Valse profielen lokken doelen
De nepaccounts presenteren zich als headhunters, consultants of onderzoekers van denktanks. Ze sturen contactverzoeken en bieden uitnodigingen voor conferenties of betaalde “adviesgesprekken”. Zo ontstaat vertrouwen en wordt om ogenschijnlijk onschuldige informatie gevraagd.
Daarna volgt vaak een volgende stap. De afzender vraagt om documenten die “niet publiek, maar ook niet geheim” zouden zijn. Soms gaat het om reisplannen, organogrammen of vroege beleidsconcepten die samen toch gevoelig zijn.
De Veiligheid van de Staat (VSSE) en het Centrum voor Cybersecurity België signaleren dit patroon al langer. In Brussel is de verleiding groot, omdat veel professionals openstaan voor netwerken. LinkedIn fungeert zo, onbedoeld, als toegangspoort voor buitenlandse inlichtingendiensten.
NAVO en EU kwetsbaar
Brussel huisvest het NAVO-hoofdkwartier en de instellingen van de EU. Er werken vaste ambtenaren, diplomaten, consultants en stagiairs, vaak met tijdelijke contracten. Deze mix vergroot de kans op onbewuste fouten en oversharing.
Aanvallers richten zich niet alleen op topfuncties. Ook ondersteunende rollen, leveranciers en onderzoeksinstellingen zijn doelwit. Informatie uit de keten kan samen een compleet beeld opleveren van beleid en besluitvorming.
Social engineering is het misleiden van mensen om toegang of informatie te krijgen die anders beschermd is.
Nederlandse en Duitse veiligheidsdiensten deden eerder vergelijkbare waarschuwingen. De methoden zijn in EU-landen grotendeels hetzelfde. Het verschil zit vooral in doelkeuze en timing rond politieke dossiers.
AI versterkt misleiding
Generatieve AI kan in minuten geloofwaardige cv-teksten en motivatieberichten schrijven. Beeldmodellen leveren profielfoto’s van niet-bestaande personen die echt lijken. Zulke algoritmen verlagen de drempel om veel nepaccounts tegelijk te maken.
Met taalmodellen kunnen gesprekken natuurlijk en persoonlijk overkomen. De toon past zich aan vakgebied en functie aan. Daardoor vallen standaardwaarschuwingen minder op.
De Europese AI-verordening verplicht binnenkort tot duidelijke labeling van deepfakes en synthetische content. Dat vergroot transparantie, maar handhaving is lastig bij gesloten netwerken en gerichte berichten. Organisaties houden dus hun eigen verificatieplicht.
LinkedIn verwijdert nepaccounts
LinkedIn zegt nepaccounts proactief te blokkeren met machinelearning-systemen en moderatieteams. Het platform publiceert halfjaarlijkse transparantierapporten over verwijderde accounts en verdachte activiteiten. Toch passen tegenstanders hun tactiek snel aan en testen zij continu nieuwe varianten.
Onder de Digital Services Act is LinkedIn aangewezen als zeer groot online platform. Het moet systeemrisico’s zoals buitenlandse beïnvloeding in kaart brengen, beperken en laten auditen. Samenwerking met Europese toezichthouders en onderzoekers is daarbij verplicht.
De AVG blijft leidend voor gegevensverwerking. Dataminimalisatie en versleuteling zijn basisvereisten voor werkgevers die sociale media inzetten bij werving of communicatie. Interne policies moeten duidelijk maken welke informatie wel en niet via externe platforms gedeeld mag worden.
Europa scherpt toezicht aan
De Digital Services Act geeft de Europese Commissie bevoegdheden tot onderzoek en hoge boetes. Platformen moeten transparantie bieden over hun detectiemodellen en toegang verlenen tot data voor toezicht. Dat maakt onafhankelijke toetsing van risicobeperking mogelijk.
De AI-verordening stelt regels voor generatieve modellen en het labelen van synthetische media. Ook verbiedt zij bepaalde manipulatieve toepassingen die schade kunnen veroorzaken. Voor overheden betekent dit nieuwe eisen aan inkoop en gebruik van AI-tools.
NIS2 verplicht cruciale sectoren tot betere cyberweerbaarheid en incidentmelding. Dat raakt ook adviesbureaus en leveranciers rond EU- en NAVO-projecten. De ketenveiligheid wordt zo een gezamenlijke verantwoordelijkheid.
Organisaties beperken risico
Controleer nieuwe LinkedIn-contacten via een tweede kanaal, zoals een bekend e-mailadres of telefoonnummer. Deel geen interne details over procedures, toegangspassen, reisplannen of organogrammen. Beperk zichtbare profielinformatie tot wat nodig is voor het werk.
Voer meerfactorauthenticatie en strikte toegangsrechten in voor interne systemen. Train medewerkers met realistische social-engineering-simulaties. Leg vast hoe en wanneer verdachte benaderingen intern gemeld worden.
Meld nepaccounts en rekruteringspogingen bij LinkedIn, de VSSE of het Centrum voor Cybersecurity België. EU-instellingen kunnen ook terecht bij CERT-EU voor coördinatie. Documenteer incidenten zorgvuldig om te voldoen aan AVG- en NIS2-verplichtingen.
