Er is een constante wapenwedloop aan de gang tussen aanvallers en verdedigers. Het punt is bereikt dat aanvallen op mensen vaak effectiever zijn dan aanvallen op techniek. Ze zijn zelfs zo effectief dat de meeste van deze aanvallen uiteindelijk succesvol zijn.
Het versturen van phishingmails is een van de meest effectieve vormen van cybercrime. Maar liefst 91% van alle datalekken is het resultaat van social engineering-activiteiten, waarvan phishing de bekendste is. Cybercriminelen weten precies hoe kwetsbaar medewerkers zijn en wanneer ze het meest vatbaar zijn. Dit misbruiken zij om toegang te krijgen tot bedrijfsdata of om malware, zoals ransomware, op netwerken te plaatsen.
Het verkrijgen van initiële toegang tot een netwerk gebeurt vaak met behulp van verschillende soorten social engineering-aanvallen. Phishing is in de kern afhankelijk van angst, urgentie, of iets dat te mooi klinkt om waar te zijn. Angst en urgentie werken vaak goed. Enkele voorbeelden van aanvallen gebaseerd op angst en urgentie zijn:
- Een nepmail over een frauduleuze aankoop.
- Een melding dat je e-mailaccount is gehackt.
- Een e-mail over belastingfraude.
Maar zo kan de medewerker ook misbruikt worden om bijvoorbeeld toegang te krijgen tot fysieke locaties, zoals kantoren of datacenters. Ook kunnen mensen worden verleid om te klikken op een link in een e-mail of om hun netwerkgegevens in te voeren op een website. Op vergelijkbare wijze worden mensen verleid om een USB-apparaat op hun computer aan te sluiten of om telefonisch meer informatie te geven dan verstandig is.
Daarom is het belangrijk om minimaal één keer per jaar een phishingcampagne uit te voeren om het klikgedrag van de medewerkers in kaart te brengen en te evalueren. Ook adviseren wij om het kennisniveau en gedrag van de medewerkers te meten middels een security awareness nulmeting, waarbij het belang van een krachtig security awareness-opleidingstraject direct duidelijk wordt. Met een security awareness-opleidingstraject worden deelnemers regelmatig bevraagd over verschillende onderwerpen, met betrekking tot hun huidige kennis en gedrag. Dit creëert een doorlopend draagvlak om bezig te zijn met security awareness.
De vraag is dan wat het nut is van een dergelijke nulmeting wanneer de uitkomst vooraf al bekend is. De nulmeting is vooral relevant als onderdeel van een doorlopende bewustwordingscampagne, waarbij herhaaldelijk verschillende tests worden uitgevoerd. Mensen kunnen op verschillende manieren worden aangevallen, en de nulmeting geeft inzicht in of het klikgedrag van medewerkers verbetert.
Veel organisaties maken al gebruik van geautomatiseerde hulpmiddelen om phishing e-mails te sturen. Het probleem met deze geautomatiseerde aanvallen is dat werknemers van bedrijven steeds slimmer worden. Meestal wordt ten minste 1 op de 10 eenvoudige phishing e-mails gerapporteerd. In sommige gevallen zijn de aantallen veel hoger.
Deze geautomatiseerde hulpmiddelen zijn ideaal voor het uitvoeren van eenvoudige phishingcampagnes, maar aanvallers kiezen vaak voor meer doelgerichte campagnes. Aanvallers doen bijvoorbeeld onderzoek naar de e-mailrecords van een organisatie om vast te stellen dat het slachtoffer Office 365 gebruikt, of ze kijken op LinkedIn om interessante informatie te ontdekken waarmee ze zeer realistische campagnes kunnen maken. Daarnaast proberen ze gelekte e-mails van dat bedrijf te vinden, programma’s die mogelijk worden uitgevoerd, nieuwe functies, systeemupgrades, fusies, en andere informatie.
Het is dus belangrijk om de medewerkers doorlopend te trainen en simpele phishing campagnes af te wisselen met geavanceerde campagnes.
