Phishing doet meer schade dan je lief is – Hoe kun je je hiertegen wapenen?

Ransomware, malware, cybercrime, phishing, etc. Allemaal onderwerpen die dagelijks overal wel voorbijkomen. Het is nu eenmaal (helaas) een feit dat we geen wereld zonder deze bedreigingen meer kunnen indenken. NOS bracht vandaag dit artikel uit: “Schade door phishing blijft toenemen, ook meer bankpasfraude”. Het schadebedrag door phishing is opnieuw toegenomen, blijkt uit cijfers van de Betaalvereniging en de Nederlandse Vereniging van Banken. In de eerste helft van dit jaar verloren bankklanten samen 3,1 miljoen euro doordat hun beveiligingscodes werden onderschept. De laatste helft van vorig jaar was dat nog 2,4 miljoen euro.



Privé en zakelijk

Wanneer mensen dit lezen denken ze vaak dat dit alleen anderen overkomt en dat ze zelf weinig tot geen risico lopen. Echter niets is minder waar. Alle cybercrime is er juist op gericht om willekeurig te zijn. Iedereen kan dus slachtoffer worden van deze bedreigingen. Van een grote corporatie tot aan de bloemist op de hoek. Vergeet daarbij niet dat je zowel zakelijk als privé getroffen kan worden. In beide gevallen kan het zijn dat je belangrijke en waardevolle data kwijtraakt en dit kan leiden tot hoge kosten om deze (hopelijk) terug te krijgen.



Dreiging neemt toe bij kleine organisaties

Eind vorig jaar liet minister Grapperhaus van Justitie en Veiligheid weten dat de dreiging vooral bij organisaties met minder dan tien werknemers toeneemt. In 2018 heeft meer dan de helft van de kleine organisaties te maken gehad met (een poging tot) diefstal van geld of gegevens. Phishing en aquisitiefraude waren hierbij de meest gebruikte methodes. Minister Grapperhaus signaleerde tegelijkertijd dat het mkb zich minder zorgen is gaan maken over cybercriminaliteit. (lees het hele artikel hier)



Kennis is macht

Veel ondernemers gaan ten onrechte er van uit dat het beveiligen van hun IT-systeem voldoende is om cybercriminelen buiten de deur te houden. Men vergeet echter dat het grootste gevaar binnen de eigen organisatie schuilt.

Cybercriminelen richten zich niet langer op een organisatie als geheel, maar op de zwakste schakel binnen een organisatie: de mens. Onwetende en nalatige werknemers vormen voor cybercriminelen een eenvoudige ingang tot het IT-systeem van een onderneming. Eén klik op een ogenschijnlijk onschuldige link of bijlage is voldoende om de IT-beveiliging te doorbreken, met dataverlies of een ransomware besmetting als gevolg.

Dit soort menselijke fouten zijn alleen te minimaliseren als werknemers bewust worden gemaakt van cyberrisico’s en zij hier constant alert op zijn. En dat kun je het beste doen door je personeel te trainen.

De grootste en beste partij hiervoor is KnowBe4. KnowBe4 maakt en levert security awareness trainingen en is partner van Fastbyte. Het bedrijf onderhoudt een trainingsplatform met content en verzorgt phishing-simulaties die wereldwijd door duizenden organisaties gebruikt worden. Op deze manier helpen zij organisaties omgaan met de menselijke factor van cybersecurity.



Gone-Phishing Phishing doet meer schade dan je lief is – Hoe kun je je hiertegen wapenen?

Hoe doen cybercriminelen het?‘Nieuwsgierigheid is de achilleshiel’

Cybercriminelen maken gebruik van social engineering. Ze passen psychologische manipulatieve trucs toe om hun slachtoffers in een phishingval te laten trappen. De meest gebruikte methode is het sturen van “nep-mailtjes” die vrijwel niet van echt te onderscheiden zijn. Een top 10 van meest geklikte phishing mailtjes vind je hieronder.

Volgens KnowBe4 spelen cybercriminelen de laatste tijd bij phishingmails overduidelijk in op de angst bij gebruikers om gehackt te worden. Mensen zijn snel geneigd te reageren op een oproep om een wachtwoord te wijzigen.

Daarnaast wordt ook ingespeeld op nieuwsgierigheid naar een nieuwe voicemail of online bestelling. “Cybercriminelen profiteren van de wens van een individu om bewust of goed geïnformeerd te blijven op het gebied van veiligheid door met zijn psyche te spelen”, zegt Perry Carpenter, Chief Evangelist bij KnowBe4. “Ze doen dit door iemand te laten geloven dat hij of zij risico’s loopt of dat iets onmiddellijk aandacht nodig heeft. Dit type aanval is effectief omdat het ervoor zorgt dat een persoon snel reageert voordat hij of zij logischerwijs nadenkt over de legitimiteit van de e-mail. Het wordt steeds moeilijker om het voortdurende probleem van social engineering te overwinnen, omdat aanvallers menselijke emoties zoals angst en nieuwsgierigheid opwekken.”



“Controleer je wachtwoord” is de winnaar

E-mails met daarin het verzoek om het wachtwoord te controleren blijken uitermate geschikt als phishingmails. Dat blijkt uit de KnowBe4 Phishing Monitor voor het derde kwartaal van 2019, een rapportage van de meest gebruikte en meest succesvolle onderwerpen van tienduizenden phishing e-mails die door KnowBe4 worden gebruikt in hun trainingen.

De phishingmails waarin de gebruiker wordt gevraagd om een urgente wachtwoordcontrole waren met afstand het meest succesvol. Maar liefst 43% van alle succesvol verstuurde mails had dit onderwerp. Mails over de-activatie van een account of een mislukte pakketbezorging konden op een stuk minder kliks rekenen. Het succes van het mailonderwerp ‘controleer je wachtwoord’ is opmerkelijk, omdat de phishingmail niet gericht is op nieuwsgierigheid of gemak, maar juist het veiligheidsgevoel van het slachtoffer aanspreekt.



De top 10 meest geklikte onderwerpen uit gesimuleerde phishing e-mails in het derde kwartaal van 2019 waren:

  1. Controleer onmiddelijk uw wachtwoord – 43%
  2. We hadden een pakketje voor u, maar u was niet thuis – 9%
  3. De-activatie van uw [[email]] is in gang gezet – 9%
  4. Nieuwe food trucks komen langs bij [[company_name]] – 8%
  5. Verbeterde werknemer voorwaarden – 7%
  6. Aangepast beleid voor vakanties & ziekteverlof – 6%
  7. U hebt een nieuw voicemailbericht – 6%
  8. Nieuwe veranderingen in uw organisatie – 4%
  9. Noodzakelijk dat u uw wachtwoord aanpast – 4%
  10. Personeelsbeoordelingen 2018 – 4%


Awareness naar een hoger niveau tillen?

Met KnowBe4 als partner biedt Fastbyte een geïntegreerd security awareness training en simulated phishing platform. Met dit platform kunnen gebruikers getraind worden en alert gehouden worden, om veilig te kunnen werken. Gebruikers zijn de zwakste schakel in het beveiligingssysteem. Daarom is het goed om hen te trainen in het herkennen van phishing en ransomware e-mails en andere vormen van social engineering. Er worden regelmatig en automatisch phishing aanvallen gesimuleerd met directe feedback aan de gebruikers, zodra men de fout ingaat. Rapportage toont aan welke vooruitgang er geboekt wordt door individuele gebruikers, afdelingen en de organisatie als geheel.

Wil je meer weten over een van onze cyber security producten? Of heb je behoefte aan een vrijblijvend adviesgesprek? Neem gerust contact met ons op. We vertellen je graag hoe we jouw cyber security naar een hoger plan tillen.

Bron: Nos.nl