Te wapen, we hebben een phishing aanval!

Medewerkers zijn kwetsbaar voor phishing-aanvallen. Ze lopen vaak in de val, omdat ze onwetend en ongewapend zijn.

Door ze met kennis te wapenen, kunnen ze als getrainde ridders ten strijde trekken. Het is tijd voor een cursus zelfverdediging, zodat medewerkers alerter zijn en in staat een phishing-aanval te herkennen en de aanvaller te slim af te zijn. Hiermee wordt de weerbaarheid van de medewerker en dus de organisatie sterk verhoogd.

Een fijn jachtterrein voor cybercriminelen

Phishing loont. Volgens een recent onderzoek van Google loopt bij een goed uitgevoerde phishing-aanval maar liefst 45% van de ontvangers in de val. Ook het Cyber Security beeld 2015 van het NCSC  is verre van florissant.

Met name ransomware en cryptoware springen eruit als bedreigingen, waarmee cybercriminelen gemakkelijk veel geld kunnen verdienen. Per geslaagde aanval wordt gemiddeld tussen de € 100 tot € 700 geëist om weer van de computer en de bestanden gebruik te kunnen maken. De politie adviseert het losgeld niet te betalen, maar onderzoekscijfers tonen aan dat 10% van de slachtoffers dit toch doet, waardoor het een fijn jachtterrein is voor cybercriminelen.

Hoe je te wapenen tegen phishing

De bedreiging en de impact zijn dus groot. In de afgelopen periode voerden criminelen alleen al in Nederland tientallen verschillende phishingcampagnes uit. De e-mails leken in veel gevallen afkomstig van betrouwbare partijen, zoals bol.com, post.nl, KPN, Intrum Justitia en alle grote banken. Op welke manier kunnen we ons wapenen tegen deze dreiging?

Tijdens onze adviestrajecten simuleren we regelmatig phishing-aanvallen om het weerbaarheidsvermogen van een organisatie te toetsen. Hierbij monitoren we het aantal gebruikers dat op de phishing-mail klikt en of vertrouwelijke gegevens, zoals een gebruikersnaam en wachtwoord, worden afgegeven. Tijdens de test houden we bij hoeveel gebruikers de phishing-mail rapporteren bij de IT-helpdesk.

De terugkoppeling van de resultaten in een bijeenkomst voor medewerkers leidt tot een meer alerte ‘online’ houding en een verhoogd risicobesef van hun eigen rol. Hierbij blijkt dat het merendeel van de gebruikers vaak nog onvoldoende kennis heeft om phishing te herkennen. Dit kan worden verbeterd met een phishing-e-learning, waarmee het kennisniveau snel en efficiënt wordt verhoogd. In deze e-learning worden concrete handvatten geboden om phishing te herkennen. Dit is een belangrijke eerste stap, want, zoals het rapport van de NCSC meldt, bewuste en bekwame gebruikers gedragen zich veiliger.

De mens kan het niet alleen

Om medewerkers beter te ondersteunen phishing-aanvallen succesvol af te slaan, speelt de techniek een belangrijke rol. En hierin valt nog genoeg te verbeteren. Als we alleen al stilstaan bij de domeinnamen van de overheid is minder dan 10% beschermd tegen phishing-aanvallen. Daar valt dus nog behoorlijk wat winst te behalen.

Ook het werken met tweefactor-authenticatie is een prima ondersteuning om cybercriminelen verder te dwarsbomen. In de praktijk zien we nog steeds veel zwakke wachtwoorden en het hergebruik van wachtwoorden. Technische ondersteuning door onder meer digitale wachtwoordkluizen is dringend gewenst. Binnen de organisatie spelen zaken als heldere (incident)procedures, wachtwoord policy en management commitment een belangrijke aanjagende rol.

Door de organisatie en haar medewerkers technisch te ondersteunen en goed en regelmatig te laten oefenen in het herkennen van een phishing-aanval, wordt de kans op succes sterk verhoogd. Succes bij de (wed)strijd!

Meer informatie over onze awareness diensten:

https://www.insitesecurity.nl/security-awareness/

 

Meer artikelen

Bekijk al het nieuws