Wapenen tegen phishing: onthouden door te doen
Dat gebeurt iedereen meer dan eens. Vergeten wat je is verteld. Vergeten wat je collega net zei of wat je tijdens de laatste masterclass aan informatie over je heen kreeg. Zo vergeten we ook soms dat we moeten investeren in de digitale veiligheid van onze gegevens en informatie. Daar wil ik graag iets aan doen. Ik zie het als mijn missie om te zorgen voor een leefbare digitale wereld.
Waarom? Zowel particulieren als organisaties zijn het doelwit van cybercriminelen. En daar zijn ze niet of onvoldoende tegen bewapend. Niet al te lang geleden verscheen een artikel op deze website over ondernemers die slachtoffer zijn van phishing, een vorm van online criminaliteit. Mensen krijgen bijvoorbeeld een e-mail met de vraag om persoonlijk gegevens, gewoon een normaal verhaal met een link. Als je op die link klikt, dan is het kwaad vaak al geschied en dringt iemand anders door tot in de diepste kamers van je kostbare informatieopslag.
Medewerkers trappen makkelijk in phishing
Uit onderzoek blijkt dat medewerkers van bedrijven en organisaties nog steeds relatief makkelijk in bijvoorbeeld de zogenaamde phishingaanvallen trappen. En dit met forse financiële gevolgen voor mensen of bedrijven. Ik onderbouw het met wat cijfers. Eén op de vijf ondernemers is slachtoffer van phishing. Wereldwijd vinden er per jaar tientallen miljoenen phishingaanvallen plaats, waarbij de gemiddelde buit 416 euro is. Als er per dag zo’n 102.000 geslaagde phishingaanvallen zijn, dan kun je het verder wel uitrekenen.
Gesimuleerde phishingaanval
Laatst hielden we bij LBVD onze jaarlijkse actie April Awareness. April Awareness bestond dit jaar uit een gesimuleerde phishingaanval bij een groot aantal organisaties die met de actie meededen. We stuurden medewerkers een goed opgezette Phishing e-mail. In de Phishing e-mail nodigden we ze uit om de evenementenkalender van de personeelsvereniging te bekijken. Als ze op die link klikten, kregen ze een groot scherm met onder andere de tekst: ‘Je bent gephisht!’.
In totaal klikte een kwart van de ontvangers op de link. Opvallend was ook dat slechts 20% van de Phishing e-mails door spamfilters werd tegengehouden. Hm, denk je dan. Daar is werk aan de winkel.
Technische bescherming van spamfilters werkt in beperkte mate
Technische bescherming van bijvoorbeeld spamfilters werkt maar in beperkte mate. Dat zagen we ook terug in de resultaten van April Awareness. Daarnaast gaan medewerkers van organisaties er vaak vanuit dat de ICT-afdeling de spam buiten de deur houdt. Maar, niet alles wat in onze mailbox terechtkomt is dus ook echt veilig. Daar valt nog wat te winnen.
Er is meer. In de ICT-wereld wordt een slachtoffer van phishing ook wel PICNIC genoemd - Problem In Chair, Not In Computer. Is dat het probleem? Zijn wij dan zo dom? Nee hoor. Cybercriminelen zijn niet zomaar hobbyers op de zolderkamer. Het zijn profs. Ze weten precies hoe ze jou kunnen manipuleren, hoe ze jou zo ver krijgen om op een link te klikken.
Cybercriminelen houden van psychologie. Zo zetten ze je bijvoorbeeld graag onder druk: “Als je niet voor vanavond je wachtwoord via deze link verandert, dan wordt je account geblokkeerd.” Sommige phishers proberen het meer door in te spelen op het gevoel en vertellen over hun moeder die in het ziekenhuis ligt en geld nodig heeft. Ook de naam van bekende instanties doet het bij werknemers en particulieren goed. Een belletje of mailtje van je eigen bank met een dringende oproep om je gegevens te wijzigen werkt bij teveel mensen.
Oplossing is trainen in omgaan met phishing e-mails
Potentiële slachtoffers van criminaliteit kun je wapenen. Dat geldt ook bij phishing. Net zoals je mensen bewust maakt voor zakkenrollers in een drukke winkelstraat, of inbrekers op kerstavond. Op zo’n manier kun je bijvoorbeeld medewerkers van bedrijven trainen in het herkennen en omgaan met phishing e-mails. Je leert mensen geloofwaardige en goed opgezette criminele handelingen te herkennen. Dit doe je bijvoorbeeld door een simulatiemail te sturen zoals wij deden bij de April Awareness campagne van dit jaar.
Het lijkt zo makkelijk, maar toch blijven we er steeds weer in trappen. Ondanks dat er veel voor gewaarschuwd wordt. Ik denk dat het komt omdat we vaak vergeten wat we horen. En we vergeten dat we vergeten. Het volgende Chinese spreekwoord lijkt dat te ondersteunen.
Vertel het me en ik zal het vergeten.
Laat het me zien en ik zal het begrijpen.
Laat het me doen en ik zal het onthouden
Mijn missie ben je waarschijnlijk al vergeten en dat neem ik je niet kwalijk. Maar misschien bewijst het de waarheid van de woorden hierboven. Ervaring, door bijvoorbeeld simulatie, zorgt ervoor dat je beter onthoudt. Het doen en oefenen met Phishing e-mails is een van de dingen die ons kan helpen om de digitale wereld leefbaar te maken, en onze waardevolle informatie te beschermen. Dit is mijn missie.
Hans Labruyere is commercieel directeur bij LBVD Consultancy in Delft
Het onderzoeksrapport van de actie April Awareness 2014 krijgt u toegezonden na het invullen van onderstaand formulier.