Het afgelopen jaar trapte 22 procent van alle ontvangers in phishing-emails. Dat blijkt uit uitgebreide simulaties van Phished bij bedrijven over heel Europa.
Het Belgische Phished, dat gespecialiseerd is in phishingtrainingen, stelt vast dat 22 procent van de ontvangers van phishing-mails zich in de luren liet leggen. De training van Phished neemt de vorm aan van simulaties waarbij werknemers valse en dus ongevaarlijke phishingmails toegestuurd krijgen. Het afgelopen jaar stuurde het bedrijf 3 miljoen gesimuleerde malafide e-mails naar meer dan 200 organisaties over heel Europa. Uit de resultaten van die campagnes maakt Phished nu een balans op.
Klikken en inloggen
Het valt op dat 1 op 5 mensen zich in 2020 liet verleiden tot klikken op een link in een gesimuleerde phishingmail. Die link leidt naar een landingspagina die ofwel aangeeft dat ze in de val zijn getrapt, ofwel meer informatie vraagt. Bestaat de landingspagina uit een nagemaakt portaal waar de slachtoffers extra informatie moeten invullen, dan laat 25 procent van hen zich opnieuw vangen. Een nagemaakte module voor tweestapsverificatie kan nog tien procent overtuigen.
Uit de simulaties blijkt nog dat werknemers in de publieke sector zich doorgaans sneller laten misleiden dan hun collega’s in privébedrijven. De cijfers tonen aan dat ze zo’n vijf procent vaker doorklikken.
Phished baseerde de simulaties op allerhande onderwerpen en stelde vast dat zeker actualiteitsgebonden mails goed werken. Denk daarbij aan e-mails met updates over de coronapandemie. Verder hoeft het niet te verbazen dat spearphishing betere resultaten oplevert dan algemene campagnes. Wanneer een mail van binnen het eigen bedrijf afkomstig lijkt, dan zijn slachtoffers doorgaans goedgeloviger.
Wapenen
De resultaten van een jaar aan campagnes tonen aan dat mensen nog steeds een belangrijke zwakke schakel zijn in de beveiliging van bedrijven. Het gros van de cyberaanvallen start met phishing maar toch is een grote meerderheid van de werknemers onvoldoende gewapend tegen de kwaadbedoelde mails.
lees ook
Ransomware komt vooral binnen via RDP en phishing
Bewustmaking is essentieel, net als de juiste beveiligingstools. Een up to date-omgeving is minder kwetsbaar tegen downloads die misschien achter slechte links verscholen zitten, terwijl 2FA het risico van gestolen credentials kan beperken. Zeker wanneer je 2FA combineert met slimme toegangscontrole die bijvoorbeeld ook in rekening brengt vanop welke locatie iemand inlogt, wordt het moeilijk voor aanvallers om binnen te brengen.