Een nieuw onderzoek schijnt een ander licht op de factoren die veroorzaken dat werknemers op phishingmails klikken. Bovendien blijken trainingen niet altijd het gewenste effect op te leveren.
Phishing is een belangrijke handel voor cybercriminelen en een groot gevaar voor bedrijven en individuen. Door het toegenomen aantal phishingpogingen tijdens de pandemie, zijn de tongen gaan rollen. Het probleem wordt vaak besproken op evenementen, online en offline. Daarnaast volgt ook het ene rapport na het andere vol analyses en voorspellingen.
Het belang van een goede bescherming tegen het groter wordende gevaar, is goed door aan het dringen bij ondernemingen. Al stelt het Centrum voor Cybersecurity België (CCB) vast dat in ons land nog lang niet iedereen op de hoogte is van wat phishing zelfs maar wil zeggen.
lees ook
CCB brengt nieuwe Safeonweb-app uit die gebruikers inlicht over phishinggevaren
Behoor je aan de kant van ondernemingen die wel zijn beste beentje voorzet om phishers buiten de deur te houden? Dan moet je misschien de methoden waarop je dat doet binnenkort aanpassen. Een studie bij meer dan 14.000 personen, toont namelijk enkele zaken aan die voorgaand onderzoek tegenspreken.
Gesimuleerde phishingmail
Voor het onderzoek werden onschadelijke phishingmails verstuurd naar werknemers. De personen wisten zelf ook niet dat zij deelnamen aan een onderzoek. Dat is in feite niet hoe een studie hoort te verlopen, maar de participanten waren dus niet extra waakzaam over phishingmails.
In totaal klikte 32,1 procent van de deelnemers op minstens één gevaarlijke link of bestand. Volgens de onderzoekers komt dat doordat de werknemers op regelmatige basis werden blootgesteld aan phishingmails. Opvallend was ook dat één klik meestal leidde tot een herhaling in de toekomst. 30,62 procent van de deelnemers die klikte op één link, herhaalde die handeling namelijk in een daaropvolgende mail.
Uit de groep van werknemers die herhaaldelijk klikte, voerde ook nog eens 23,91 procent een gevaarlijke actie meermaals uit. Dat betekent dat deze werknemers naast het klikken ook inhoud uit de bestanden inschakelden of persoonlijke gegevens doorgaf. Een recent onderzoek van het Vlaamse Phished stelde nog vast dat net iets meer dan 5 procent van de Belgen persoonlijke informatie invult.
lees ook
‘Meer dan 5 procent Belgen vult persoonlijke informatie in op phishing e-mails’
Training?
Voor het probleem raden experten doorgaans aan om werknemers trainingen te laten volgen. Volgens het onderzoek volstaat het om bij verdachte mails een waarschuwing te plaatsen voor werknemers.
Trainingen hebben volgens de onderzoekers een ongewenst effect: “In tegenspraak met eerdere onderzoeksresultaten en een gangbare praktijk in de sector, ontdekten we dat de combinatie van phishing-oefeningen en trainingen er niet in slaagde om de weerbaarheid van werknemers te verbeteren, het maakte werknemers zelfs vatbaarder voor phishing.”
Rapporteren
Alle werknemers hadden een knop om verdachte mails onmiddellijk te kunnen rapporteren. Deze knop bleek wel een goede methode te zijn om phishers uit het bedrijfssysteem te weren. In de studie rapporteerden 90 procent zes of minder verdachte mails. Dat klinkt niet veelbelovend, maar de personen die mails rapporteren, houden het bedrijfsnetwerk wel veilig.
Om van deze werkwijze ene succes te maken zijn er genoeg werknemers die verdachte mails aangeven, tegen een snel tempo. 10 procent maakte namelijk na 5 minuten al een melding. 35 procent deed dat na een half uur.