Verklein het risico: laat je medewerkers oefenen met phishing

Je ziet het dagelijks in de media: ‘Gegevens klanten uitgelekt’, ‘rekeningen geplunderd’, ‘Hackers breken in op infrastructuur organisatie’. Mensen worden steeds meer geconfronteerd met cybercrime en phishing komt steeds vaker voor. Het risico van phishing is duidelijk: als uw medewerker op een phishinglink klikt, kan hij virussen binnenhalen of zijn persoonlijke gegevens en gevoelige bedrijfsgegevens prijsgeven. Met deze gegevens kunnen criminelen fraude plegen en geld stelen. 

Hoge succesfactor voor de crimineel

De oorzaak van het succes van phishing is de hoge succesfactor voor de crimineel: die hoeft maar weinig moeite te doen voor een relatief groot aantal succesvolle reacties. Een andere oorzaak ligt bij de klikker zelf: medewerkers van organisaties die ervan uitgaan dat ‘de afdeling ICT phishing e-mails wel tegenhoudt’. Keerzijde van deze houding is dat elke e-mail, die in de inbox verschijnt, wordt beantwoord want ‘hij komt via ICT dus is het veilig’. Een andere kant is dat diezelfde medewerker thuis waarschijnlijk zijn eigen systeembeheerder is, en niet bekend is met de gevaren van phishing. Men is letterlijk onbewust-onbekwaam.

Weinig aandacht voor beveiliging van software

Voorheen was het zo dat software-ontwikkelaars weinig aandacht besteedden aan de beveiliging van software. Door het toegenomen bewustzijn van opdrachtgevers, en de toegenomen druk vanuit het vakgebied informatiebeveiliging, wordt software beter. Daarnaast zijn beheerders beter geschoold om de ICT-systemen naar behoren te beveiligen. Zij implementeren ook steeds vaker extra maatregelen, zoals Intrusion Detection Systemen (IDS) en Intrusion Protection Systemen (IPS), in hun netwerken. De rand van het netwerk, het perimeternetwerk of de DMZ, wordt daardoor beter beveiligd. Dit was van oudsher het punt waarop hackers binnendrongen: het koppelvlak tussen het interne bedrijfsnetwerk en het internet. Door de toegenomen beveiliging van het koppelvlak richten criminelen de pijlen steeds meer op de gebruiker.

Hackers willen direct toegang tot het netwerk

Hackers proberen door de verbeterde beveiligingsmogelijkheden de DMZ te omzeilen, en direct toegang te krijgen tot het interne netwerk. Een phishingaanval via e-mail is bijvoorbeeld een prima middel. Mailfilters en virusscanners helpen wel om phishing e-mails te herkennen, maar lopen altijd achter de feiten aan. Dit blijkt bijvoorbeeld uit het door LBVD uitgevoerde phishingonderzoek tijdens April Awareness. Hieruit bleek dat slechts 20% van de gesimuleerde phishing e-mails werden tegengehouden door spamfilters.

Op het moment dat de e-mail afgeleverd is en de medewerker de e-mail geopend heeft, moet de kwaadaardige code, de zogenaamde payload, gedownload en uitgevoerd worden. Voor deze payload geldt dat deze vaak via versleutelde SSL-verbindingen wordt gedownload. IDS'en en IPS'en zijn meestal niet in staat dit verkeer te monitoren. De meeste middelen helpen dus niet of nauwelijks om een geavanceerde phishingaanval te stuiten. Als een crimineel echt wil en daarbij gebruikmaakt van spear phishing (op de persoon gericht in plaats van op een groep), zal hij tot zijn doelobject kunnen komen, no matter what.

Maar wanneer dat is gebeurd, treedt als het goed is de volgende volwassenheid van beveiliging in werking: het doelobject zou bewust en bekwaam genoeg moeten zijn om de aanval te herkennen en te pareren.

Let de medewerker zo goed op dat hij de aanval doorziet, dan is het mogelijk dat de aanval mislukt.

Medewerkers weerstaan een phishingaanval niet

Helaas blijkt maar al te vaak dat medewerkers niet in staat zijn een dergelijke aanval te weerstaan. Veel organisaties worstelen met dit probleem. Uit een recent onderzoek van LBVD is gebleken, dat bijna een kwart van de medewerkers op de ontvangen phishing e-mail reageert door op de link te klikken. Dit lijkt misschien weinig, maar de gemiddelde click-through-rate van een e-mailcampagne is slechts 5%. Aangezien elke geopende e-mail de kans vergroot op een geslaagde hack, loopt de organisatie een groot risico.

Verklein het risico door medewerkers te laten oefenen

De manier om het risico van phishing te verkleinen, is door medewerkers te laten ‘oefenen’ met phishing e-mails. Stuur ze simpelweg, verspreid over een periode, een aantal gesimuleerde phishing e-mails. Als er geklikt wordt, geef ze dan handvatten om het de volgende keer beter te doen. Maak het onderwerp na elke phishingactie bespreekbaar. Beleg een sessie waarin men persoonlijk de overwegingen op tafel legt. Waarom klikte ik niet, en jij wel? Op die manier leren ze kijken, beoordelen, herkennen en reageren. Naast het feit dat een gebruiker zelf tot inzichten komt in zijn eigen handelen, leert hij van de overwegingen van anderen. Door het bespreekbaar te maken, is de kans ook groter dat een gebruiker in overleg treedt als een e-mail zich aandient waarvan hij de legitimiteit in twijfel trekt. Tenslotte geeft het de organisatie een belangrijk inzicht: Met welke onderwerpen worstelen medewerkers? Hierop kan vervolgens extra getraind worden, bijvoorbeeld door een herhaling van een phishing e-mail specifiek op dat onderwerp.

Door de medewerkers te laten oefenen besteedt de organisatie continu aandacht aan het onderwerp phishing, en verkleint het risico op een hack.

Hans Labruyere is commercieel directeur bij LBVD Consultancy in Delft

 

Het onderzoeksrapport van de actie April Awareness 2014 krijgt u toegezonden na het invullen van onderstaand formulier.

              [contact-form-7 id="5434" title="Rapport download LBVD"]