Column Dr. Martin J. Krämer - KnowBe4
U heeft ze misschien ook wel in uw inbox gehad: e-mails van vakantieaanbieders met een aanbod dat bijna te mooi lijkt om waar te zijn. Lang over het aanbod twijfelen is geen optie, want u moet zo snel als mogelijk reageren en uw gegevens delen om een aanbetaling te doen. Gezond scepticisme is hier op zijn plaats: als een aanbod bijna te mooi lijkt om waar te zijn, is het dat waarschijnlijk ook. Phishing is nog altijd tactiek nummer één voor cybercriminelen om hun slachtoffers te manipuleren en geld afhandig te maken. Hoe adviseert u uw klanten om zich hiertegen te beschermen?
AI maakt phishing-mails realistischer, maar de kenmerken veranderen niet
Dat menselijk handelen de belangrijkste factor is bij datalekken bleek maar weer eens uit het Verizons 2024 Data Breach Investigations Report: in bijna 70% van de geregistreerde inbreuken ging het om een een ‘niet-kwaadaardige menselijke factor’, zoals een persoon die per ongeluk op een kwaadaardige link van een phishing-e-mail klikte.
Waar phishing-e-mails meestal nog wel te herkennen waren aan de vele spel- en grammaticale fouten, komt dat vandaag de dag bijna niet meer voor. Cybercriminelen hebben generatieve AI omarmd en zetten het effectief in om het taalgebruik in hun e-mails te verbeteren. De tone-of-voice in phishing-e-mails wordt steeds menselijker en realistischer, waardoor ze moeilijker van echte e-mails te onderscheiden zijn. Maar hoewel het taalgebruik in phishing-e-mails verbetert door generatieve AI, zijn de kenmerken onveranderd:
- De zogenaamde afzender is altijd iemand met een hogere functie in de organisatie dan jijzelf
- De afzender speelt in op je emoties
- Het verzoek is dringend: iets moet zo snel als mogelijk gebeuren.
Combinatie van training en gesimuleerde phishing-campagnes
Tussen de 60 en 90 procent van alle cybersecurity-risico’s kunnen door de juiste training van medewerkers worden geadresseerd. Een effectieve en meetbare manier om dat te doen is het combineren van training met gepersonaliseerde gesimuleerde phishing-campagnes.
Over een langere periode wordt de interactie van medewerkers met deze gesimuleerde phishing-e-mails in kaart gebracht en uitgedrukt in het phish-prone percentage. Dit is het percentage medewerkers dat op een link of een bijlage van een gesimuleerde phishing e-mail klikt. Tegelijkertijd doorlopen medewerkers iedere week een trainingsprogramma. Denk aan het wekelijks kijken van een video van tien minuten. Doe je dit consequent, dan zijn medewerkers alerter op verdachte mailtjes en vragen ze zich bij elk mailtje dat ze binnen krijgen af of het frauduleus zou kunnen zijn. Over een jaar gemeten zien we dan dat het phish-prone percentage bij Europese organisaties afneemt van 32,6% tot slechts 5,5%.
Kortom, waar organisaties massaal inzetten op cybersecurity-oplossingen om hun applicaties en data te beschermen tegen cybercriminaliteit, moeten ze zeker niet onderschatten hoe waardevol het is om medewerkers strijdbaar te maken door hun bewustzijn van cybercriminaliteit te vergroten. Daar kunt u als partner een belangrijke rol in spelen.