Ruim 40 procent van de bedrijven krijgt dagelijks te maken met phishing-aanvallen, meer dan driekwart ervaart zo’n phishing-aanval minstens een keer per maand. Verontrustend is dat ongeveer 30 procent van deze phishing-e-mails wordt geopend, meldt beveiliger Sophos op basis van nieuw onderzoek. “Waaruit blijkt dat het cybercriminelen, ondanks bewustzijnsprogramma’s en trainingen, nog steeds lukt om personen te misleiden.”
Phishing heeft zich inmiddels verder ontwikkeld dan domweg miljoenen e-mails verzenden in de hoop een nieuw slachtoffer aan de haak te slaan. De meeste, doelgerichte aanvallen richten zich op de afdelingen boekhouding en financiën, weet Sophos. Administratie en management volgen op de voet.
Een ‘goede’ phishing-mail speelt listig in op de menselijke natuur. E-mails waar de meeste mensen intrappen zijn berichten die zich richten op simpele, taakgerelateerde activiteiten met een verwijzing naar bekende programma’s, basale dagelijkse bezigheden en berichten waarin gebreken worden geïmpliceerd.
10 Engelstalige berichten waar de meeste mensen intrappen (daarachter: hoeveel mensen het bericht openden en op een link klikten):
[JIRA] A task was assigned to you 38.50%
Let’s meet next week 29.10%
Harassment Awareness Training 26.01%
Car lights left on 24.61%
eFax message from {CustomerName} – 2 page(s) 23.55%
Traffic Citation for {EmailFirstName} {EmailLastName} 21.95%
In arrears for driving on toll road 21.36%
Suspicious male spotted outside {CustomerName} Building 20.44%
PLEASE READ – Annual Employee Survey 18.55% New Email System at {CustomerName} — Please Read 18.48%
De les hieruit: we zijn inmiddels redelijk goed in het herkennen van het gevaar van (en niet openen van) afbeeldingen en aanbiedingen die te mooi zijn om waar te zijn. Maar alledaagse ‘werk’-e-mails doen de aandacht verslappen. Sophos: “Het is overduidelijk dat een gebrek aan opwinding over een e-mail niet verwant is aan minder risico.”
Melden
Een systeem voor vroegtijdige waarschuwing is cruciaal voor elk bedrijf dat snel en resoluut wil reageren op een phishingaanval, stelt de beveiliger. “Gebruikers vormen de eerste verdedigingslinie tegen een succesvolle phishing-aanval. Hoewel educatie een belangrijk onderdeel is van het veilig houden van een organisatie, geldt dit ook voor de mogelijkheid van de gebruiker om verdachte phishing-pogingen te melden. Maak het eenvoudig en zonder consequenties voor uw gebruikers om aanvallen te melden, zelfs als ze zijn misleid.”