.



Column Dr. Martin J. Krämer - KnowBe4

Martin Kraemer - KnowBe4

U heeft ze misschien ook wel in uw inbox gehad: e-mails van vakantieaanbieders met een aanbod dat bijna te mooi lijkt om waar te zijn. Lang over het aanbod twijfelen is geen optie, want u moet zo snel als mogelijk reageren en uw gegevens delen om een aanbetaling te doen. Gezond scepticisme is hier op zijn plaats: als een aanbod bijna te mooi lijkt om waar te zijn, is het dat waarschijnlijk ook. Phishing is nog altijd tactiek nummer één voor cybercriminelen om hun slachtoffers te manipuleren en geld afhandig te maken. Hoe adviseert u uw klanten om zich hiertegen te beschermen?

AI maakt phishing-mails realistischer, maar de kenmerken veranderen niet

Dat menselijk handelen de belangrijkste factor is bij datalekken bleek maar weer eens uit het Verizons 2024 Data Breach Investigations Report: in bijna 70% van de geregistreerde inbreuken ging het om een een ‘niet-kwaadaardige menselijke factor’, zoals een persoon die per ongeluk op een kwaadaardige link van een phishing-e-mail klikte. 

Waar phishing-e-mails meestal nog wel te herkennen waren aan de vele spel- en grammaticale fouten, komt dat vandaag de dag bijna niet meer voor. Cybercriminelen hebben generatieve AI omarmd en zetten het effectief in om het taalgebruik in hun e-mails te verbeteren. De tone-of-voice in phishing-e-mails wordt steeds menselijker en realistischer, waardoor ze moeilijker van echte e-mails te onderscheiden zijn. Maar hoewel het taalgebruik in phishing-e-mails verbetert door generatieve AI, zijn de kenmerken onveranderd:

  1. De zogenaamde afzender is altijd iemand met een hogere functie in de organisatie dan jijzelf
  2. De afzender speelt in op je emoties
  3. Het verzoek is dringend: iets moet zo snel als mogelijk gebeuren.

Combinatie van training en gesimuleerde phishing-campagnes

Tussen de 60 en 90 procent van alle cybersecurity-risico’s kunnen door de juiste training van medewerkers worden geadresseerd. Een effectieve en meetbare manier om dat te doen is het combineren van training met gepersonaliseerde gesimuleerde phishing-campagnes. 

Over een langere periode wordt de interactie van medewerkers met deze gesimuleerde phishing-e-mails in kaart gebracht en uitgedrukt in het phish-prone percentage. Dit is het percentage medewerkers dat op een link of een bijlage van een gesimuleerde phishing e-mail klikt. Tegelijkertijd doorlopen medewerkers iedere week een trainingsprogramma. Denk aan het wekelijks kijken van een video van tien minuten. Doe je dit consequent, dan zijn medewerkers alerter op verdachte mailtjes en vragen ze zich bij elk mailtje dat ze binnen krijgen af of het frauduleus zou kunnen zijn. Over een jaar gemeten zien we dan dat het phish-prone percentage bij Europese organisaties afneemt van 32,6% tot slechts 5,5%. 

Kortom, waar organisaties massaal inzetten op cybersecurity-oplossingen om hun applicaties en data te beschermen tegen cybercriminaliteit, moeten ze zeker niet onderschatten hoe waardevol het is om medewerkers strijdbaar te maken door hun bewustzijn van cybercriminaliteit te vergroten. Daar kunt u als partner een belangrijke rol in spelen.

Meer over
Lees ook
Mimecast waarschuwt voor phishing uit naam van Twitter

Mimecast waarschuwt voor phishing uit naam van Twitter

Beveiligingsonderzoekers van Mimecast hebben een nieuwe phishingcampagne ontdekt die gericht is op Twitter-gebruikers. In de phishingmails worden gebruikers zogenaamd geïnformeerd over het nieuwe betaalde abonnement waarmee zij een blauw vinkje achter hun naam kunnen krijgen. In werkelijkheid is dit een poging om persoonlijke gegevens te stelen.

Het creëren van de juiste gewoontes is essentieel voor online veiligheid

Het creëren van de juiste gewoontes is essentieel voor online veiligheid

Voor veel mensen klinkt cybersecurity als een ver-van-mijn-bed-show en wordt het vaak beschouwd als de verantwoordelijkheid van beveiligingsteams. Maar aanvallers houden zich niet aan deze rolverdeling. Ze vallen mensen op elke afdeling en op elk niveau aan die toegang hebben tot gevoelige data, vaak zelfs voordat beveiligingsteams tijd hebben om1

Phishingmails over apenpokkenvirus in omloop

Phishingmails over apenpokkenvirus in omloop

Cybercriminelen versturen phishingmails over het apenpokkenvirus aan bedrijven. In de e-mails staat dat de medewerkers een training over de voorzorgsmaatregelen tegen het virus moeten doorlopen. Het gaat om een wereldwijde phishingcampagne, zo waarschuwt cyberbeveiliger Mimecast.