.



Column Dr. Martin J. Krämer - KnowBe4

Martin Kraemer - KnowBe4

U heeft ze misschien ook wel in uw inbox gehad: e-mails van vakantieaanbieders met een aanbod dat bijna te mooi lijkt om waar te zijn. Lang over het aanbod twijfelen is geen optie, want u moet zo snel als mogelijk reageren en uw gegevens delen om een aanbetaling te doen. Gezond scepticisme is hier op zijn plaats: als een aanbod bijna te mooi lijkt om waar te zijn, is het dat waarschijnlijk ook. Phishing is nog altijd tactiek nummer één voor cybercriminelen om hun slachtoffers te manipuleren en geld afhandig te maken. Hoe adviseert u uw klanten om zich hiertegen te beschermen?

AI maakt phishing-mails realistischer, maar de kenmerken veranderen niet

Dat menselijk handelen de belangrijkste factor is bij datalekken bleek maar weer eens uit het Verizons 2024 Data Breach Investigations Report: in bijna 70% van de geregistreerde inbreuken ging het om een een ‘niet-kwaadaardige menselijke factor’, zoals een persoon die per ongeluk op een kwaadaardige link van een phishing-e-mail klikte. 

Waar phishing-e-mails meestal nog wel te herkennen waren aan de vele spel- en grammaticale fouten, komt dat vandaag de dag bijna niet meer voor. Cybercriminelen hebben generatieve AI omarmd en zetten het effectief in om het taalgebruik in hun e-mails te verbeteren. De tone-of-voice in phishing-e-mails wordt steeds menselijker en realistischer, waardoor ze moeilijker van echte e-mails te onderscheiden zijn. Maar hoewel het taalgebruik in phishing-e-mails verbetert door generatieve AI, zijn de kenmerken onveranderd:

  1. De zogenaamde afzender is altijd iemand met een hogere functie in de organisatie dan jijzelf
  2. De afzender speelt in op je emoties
  3. Het verzoek is dringend: iets moet zo snel als mogelijk gebeuren.

Combinatie van training en gesimuleerde phishing-campagnes

Tussen de 60 en 90 procent van alle cybersecurity-risico’s kunnen door de juiste training van medewerkers worden geadresseerd. Een effectieve en meetbare manier om dat te doen is het combineren van training met gepersonaliseerde gesimuleerde phishing-campagnes. 

Over een langere periode wordt de interactie van medewerkers met deze gesimuleerde phishing-e-mails in kaart gebracht en uitgedrukt in het phish-prone percentage. Dit is het percentage medewerkers dat op een link of een bijlage van een gesimuleerde phishing e-mail klikt. Tegelijkertijd doorlopen medewerkers iedere week een trainingsprogramma. Denk aan het wekelijks kijken van een video van tien minuten. Doe je dit consequent, dan zijn medewerkers alerter op verdachte mailtjes en vragen ze zich bij elk mailtje dat ze binnen krijgen af of het frauduleus zou kunnen zijn. Over een jaar gemeten zien we dan dat het phish-prone percentage bij Europese organisaties afneemt van 32,6% tot slechts 5,5%. 

Kortom, waar organisaties massaal inzetten op cybersecurity-oplossingen om hun applicaties en data te beschermen tegen cybercriminaliteit, moeten ze zeker niet onderschatten hoe waardevol het is om medewerkers strijdbaar te maken door hun bewustzijn van cybercriminaliteit te vergroten. Daar kunt u als partner een belangrijke rol in spelen.

Meer over
Lees ook
Inloggegevens zijn populair doelwit van cybercriminelen

Inloggegevens zijn populair doelwit van cybercriminelen

Cybercriminelen zetten alles op alles om de inloggegevens van systemen en gebruikers te stelen. Daarnaast blijkt dat maar liefst 47 procent van alle malware die hierbij wordt ingezet nieuw ofwel 'zero day' is. Traditionele antivirus-oplossingen die gebaseerd zijn op het herkennen van 'virus signatures' zijn hierdoor niet in staat deze aanvallen te1

46.000 phishingwebsite worden per dag gecreëerd

46.000 phishingwebsite worden per dag gecreëerd

1,385 miljoen nieuwe unieke phishingwebsite per maand werden in het tweede kwartaal van 2017 gecreëerd. Dit komt neer op 46.000 nieuwe phishingsites per dag. De meeste phishingwebsite werden in mei gecreëerd, toen 2,3 miljoen nieuwe unieke phishingwebsites werden gedetecteerd. Dit blijkt uit het Webroot Quarterly Threat Trends Report van Webroot,1

Equifax stuurt slachtoffers datalek naar nagemaakte website

Equifax stuurt slachtoffers datalek naar nagemaakte website

Equifax blijkt lang slachtoffers van het recente datalek bij het bedrijf te hebben doorgestuurd naar een nagemaakte website. De website is geregistreerd door een ethische hacker, die hiermee het gevaar van de werkwijze van Equifax duidelijk wil maken. De kredietverstrekker heeft een website gecreëerd voor slachtoffers van het datalek, waar zij zi1