Phishing e-mail: list, lust of last?

  1. 15 jun 2015
  2. 0 reacties
160512 Pasfoto Hans

Ze vormen een terugkerende last: phishing e-mails. Voor jou en mij, voor medewerkers van bedrijven en organisaties, voor consumenten en studenten. Koning, keizer en admiraal - phishing bereikt ons allemaal.

PICNIC

In de ICT-wereld wordt een slachtoffer van phishing ook wel een PICNIC genoemd: Problem In Chair, Not In Computer. Dat is natuurlijk niet helemaal eerlijk; phishing e-mails kunnen zo geraffineerd zijn dat zelfs een getraind oog er intrapt. Toch zit er een kern van waarheid in. Phishing pogingen zijn voornamelijk gericht op personen, zoals mensen binnen uw organisatie.

Phishing e-mails vormen een plaag van deze tijd. Er valt eigenlijk ook niet heel veel aan te doen, niets anders dan alert zijn en accepteren dat je je er niet 100% tegen kunt wapenen. Ze zijn voor de aanvaller ook behoorlijk effectief: één keer een mailtje in elkaar zetten en vervolgens met één druk op de knop miljoenen pogingen de digitale snelweg op sturen. Dat is nog eens een mooi business model.

And it does pay off: aantal phishingaanvallen maandelijks, wereldwijd: 46.747 met een maandelijkse schade, wereldwijd, van EUR 403 miljoen.

April Awareness

In de 2014-versie van ons jaarlijks April Awareness programma hebben wij phishing e-mails gestuurd die 'niet te moeilijk' waren: 25% van de respondenten klikte (zie artikel). De definitie 'niet te moeilijk' in dit verband was onder meer: alle e-mails van één afzender (in plaats van verdeeld over verschillende servers); alle e-mails in één batch verzonden (in plaats van in verschillende batches); sterk afwijkend doel-URL in de verstopte link (in plaats van een goed gelijkende URL), et cetera.

Oefenen

We oefenen onze medewerkers wel jaarlijks met ontruimingen ingevolge brand - waarom eigenlijk niet met phishing mails? De kans daarop is oneindig veel groter...

Natuurlijk mogen medewerkers ervan uitgaan dat IT de phishing- en spam mails tegenhoudt. Maar juist omdat medewerkers daarvan uitgaan is alles wat in hun INBOX verschijnt, ook daadwerkelijk een aan die persoon gerichte e-mail.

De overheidscampagne ‘Je bent zichtbaarder dan je denkt’ uit 2015 bood verschillende inzichten in phishing: zie onder meer dit mede door het NCTV gemaakte filmpje.

Phishlink

LBVD heeft de oplossing: PhishLink. In een licentie van 12 maanden vallen we uw medewerkers drie maal aan. Niet te vaak - want je wilt geen onrust, niet te weinig - je wilt dat ze er iets van leren. Medewerkers ontvangen een phishing e-mail, in de vorm van een malafide e-mail.

Klikken medewerkers op de link die in de mail is opgenomen, dan komen zij op een zogenaamde landingspagina. Ze zien daar de risico’s van phishing en krijgen handvatten om deze vorm van criminaliteit te voorkomen.

Door PhishLink te herhalen zijn medewerkers in staat zich te revancheren, en het eindresultaat positief te beïnvloeden. Die communicatie is van u afkomstig, waardoor het onderwerp een positieve invloed ondergaat - veel beter dan het narrige: gij zult niet klikken!.

Zoals de meeste mensen zullen ook uw medewerkers niet snel aan zichzelf toegeven dat zij in een phishing e-mail zouden trappen. Toch groeit het aantal aanvallen en slachtoffers jaarlijks. Alleen informatie geven overtuigt blijkbaar toch niet voldoende. Als je de fout nooit zou begaan, waarom zou je jezelf er dan over laten informeren?

Met PhishLink laat u medewerkers op een eenvoudige, efficiënte manier bij herhaling oefenen met specifieke real-life incidenten. Het eindresultaat is een meer ervaren medewerker, en een concreet, helder en werkbaar statusrapport van de bevindingen, compleet met conclusies en aanbevelingen.

PhishLink leent zich bovendien erg goed voor combinatie-aanvallen als social engineering en/of penetratietesten. Er is voor specifieke situaties ook een PhishLink versie leverbaar waarin USB-sticks de taak van de mails vervullen: wie raapt de stick op, en kijkt wat er op staat..?

Vul uw gegevens in en maak kans op een HackDemo op uw locatie, door een van onze hackers. Uw medewerkers zijn door de HackDemo beter op de hoogte van (technische) risico’s. Niet alleen ICT-medewerkers snappen beter hoe een hacker denkt. Ook proceseigenaren, directieleden en andere medewerkers hebben beter inzicht in wat er mis kan gaan.

Hans Labruyere is commercieel directeur bij LBVD Consultancy in Delft