Column Dr. Martin J. Krämer - KnowBe4
U heeft ze misschien ook wel in uw inbox gehad: e-mails van vakantieaanbieders met een aanbod dat bijna te mooi lijkt om waar te zijn. Lang over het aanbod twijfelen is geen optie, want u moet zo snel als mogelijk reageren en uw gegevens delen om een aanbetaling te doen. Gezond scepticisme is hier op zijn plaats: als een aanbod bijna te mooi lijkt om waar te zijn, is het dat waarschijnlijk ook. Phishing is nog altijd tactiek nummer één voor cybercriminelen om hun slachtoffers te manipuleren en geld afhandig te maken. Hoe adviseert u uw klanten om zich hiertegen te beschermen?
AI maakt phishing-mails realistischer, maar de kenmerken veranderen niet
Dat menselijk handelen de belangrijkste factor is bij datalekken bleek maar weer eens uit het Verizons 2024 Data Breach Investigations Report: in bijna 70% van de geregistreerde inbreuken ging het om een een ‘niet-kwaadaardige menselijke factor’, zoals een persoon die per ongeluk op een kwaadaardige link van een phishing-e-mail klikte.
Waar phishing-e-mails meestal nog wel te herkennen waren aan de vele spel- en grammaticale fouten, komt dat vandaag de dag bijna niet meer voor. Cybercriminelen hebben generatieve AI omarmd en zetten het effectief in om het taalgebruik in hun e-mails te verbeteren. De tone-of-voice in phishing-e-mails wordt steeds menselijker en realistischer, waardoor ze moeilijker van echte e-mails te onderscheiden zijn. Maar hoewel het taalgebruik in phishing-e-mails verbetert door generatieve AI, zijn de kenmerken onveranderd:
- De zogenaamde afzender is altijd iemand met een hogere functie in de organisatie dan jijzelf
- De afzender speelt in op je emoties
- Het verzoek is dringend: iets moet zo snel als mogelijk gebeuren.
Combinatie van training en gesimuleerde phishing-campagnes
Tussen de 60 en 90 procent van alle cybersecurity-risico’s kunnen door de juiste training van medewerkers worden geadresseerd. Een effectieve en meetbare manier om dat te doen is het combineren van training met gepersonaliseerde gesimuleerde phishing-campagnes.
Over een langere periode wordt de interactie van medewerkers met deze gesimuleerde phishing-e-mails in kaart gebracht en uitgedrukt in het phish-prone percentage. Dit is het percentage medewerkers dat op een link of een bijlage van een gesimuleerde phishing e-mail klikt. Tegelijkertijd doorlopen medewerkers iedere week een trainingsprogramma. Denk aan het wekelijks kijken van een video van tien minuten. Doe je dit consequent, dan zijn medewerkers alerter op verdachte mailtjes en vragen ze zich bij elk mailtje dat ze binnen krijgen af of het frauduleus zou kunnen zijn. Over een jaar gemeten zien we dan dat het phish-prone percentage bij Europese organisaties afneemt van 32,6% tot slechts 5,5%.
Kortom, waar organisaties massaal inzetten op cybersecurity-oplossingen om hun applicaties en data te beschermen tegen cybercriminaliteit, moeten ze zeker niet onderschatten hoe waardevol het is om medewerkers strijdbaar te maken door hun bewustzijn van cybercriminaliteit te vergroten. Daar kunt u als partner een belangrijke rol in spelen.
Meer over
Lees ook
Nederlandse Onderzoeksraad voor Veiligheid doelwit van cyberspionage
De Nederlandse Onderzoeksraad voor Veiligheid is doelwit geweest van een geavanceerde cybercrimecampagne, die vermoedelijk door Rusland is opgezet. Dit meldt Trend Micro, dat de campagne ‘Pawn Storm’ noemt. Feike Hacquebord, Senior Threat Researcher bij Trend Micro, schrijft in een blogpost dat de onderzoeksraad doelwit is geweest van cyberaanvall1
97% van wereldbevolking herkent niet ieder phishingmailtje
97% van de wereldbevolking is niet in staat alle phishingmailtjes te onderscheiden van legitieme mailtjes. 80% ziet minstens één phishingmail aan voor een legitieme mail en loopt dus het risico slachtoffer te worden van een dergelijke cyberaanval. Dit blijkt uit de phishing quiz van Intel Security, een onderzoek naar het vermogen van de consument1
80% van de gebruikers trapt in phishingmailtjes
Gebruikers trappen op grote schaal in phishingmailtjes. Maar liefst 80% van de gebruikers blijkt niet in staat alle phishingmailtjes van legitieme mailtjes te onderscheiden. Dit blijkt uit cijfers die Intel Security naar buiten heeft gebracht. Gebruikers kunnen op de website van het bedrijf een quiz maken waarin zij verschillende phishingmailtjes1