Column Dr. Martin J. Krämer - KnowBe4

Martin Kraemer - KnowBe4

U heeft ze misschien ook wel in uw inbox gehad: e-mails van vakantieaanbieders met een aanbod dat bijna te mooi lijkt om waar te zijn. Lang over het aanbod twijfelen is geen optie, want u moet zo snel als mogelijk reageren en uw gegevens delen om een aanbetaling te doen. Gezond scepticisme is hier op zijn plaats: als een aanbod bijna te mooi lijkt om waar te zijn, is het dat waarschijnlijk ook. Phishing is nog altijd tactiek nummer één voor cybercriminelen om hun slachtoffers te manipuleren en geld afhandig te maken. Hoe adviseert u uw klanten om zich hiertegen te beschermen?

AI maakt phishing-mails realistischer, maar de kenmerken veranderen niet

Dat menselijk handelen de belangrijkste factor is bij datalekken bleek maar weer eens uit het Verizons 2024 Data Breach Investigations Report: in bijna 70% van de geregistreerde inbreuken ging het om een een ‘niet-kwaadaardige menselijke factor’, zoals een persoon die per ongeluk op een kwaadaardige link van een phishing-e-mail klikte. 

Waar phishing-e-mails meestal nog wel te herkennen waren aan de vele spel- en grammaticale fouten, komt dat vandaag de dag bijna niet meer voor. Cybercriminelen hebben generatieve AI omarmd en zetten het effectief in om het taalgebruik in hun e-mails te verbeteren. De tone-of-voice in phishing-e-mails wordt steeds menselijker en realistischer, waardoor ze moeilijker van echte e-mails te onderscheiden zijn. Maar hoewel het taalgebruik in phishing-e-mails verbetert door generatieve AI, zijn de kenmerken onveranderd:

  1. De zogenaamde afzender is altijd iemand met een hogere functie in de organisatie dan jijzelf
  2. De afzender speelt in op je emoties
  3. Het verzoek is dringend: iets moet zo snel als mogelijk gebeuren.

Combinatie van training en gesimuleerde phishing-campagnes

Tussen de 60 en 90 procent van alle cybersecurity-risico’s kunnen door de juiste training van medewerkers worden geadresseerd. Een effectieve en meetbare manier om dat te doen is het combineren van training met gepersonaliseerde gesimuleerde phishing-campagnes. 

Over een langere periode wordt de interactie van medewerkers met deze gesimuleerde phishing-e-mails in kaart gebracht en uitgedrukt in het phish-prone percentage. Dit is het percentage medewerkers dat op een link of een bijlage van een gesimuleerde phishing e-mail klikt. Tegelijkertijd doorlopen medewerkers iedere week een trainingsprogramma. Denk aan het wekelijks kijken van een video van tien minuten. Doe je dit consequent, dan zijn medewerkers alerter op verdachte mailtjes en vragen ze zich bij elk mailtje dat ze binnen krijgen af of het frauduleus zou kunnen zijn. Over een jaar gemeten zien we dan dat het phish-prone percentage bij Europese organisaties afneemt van 32,6% tot slechts 5,5%. 

Kortom, waar organisaties massaal inzetten op cybersecurity-oplossingen om hun applicaties en data te beschermen tegen cybercriminaliteit, moeten ze zeker niet onderschatten hoe waardevol het is om medewerkers strijdbaar te maken door hun bewustzijn van cybercriminaliteit te vergroten. Daar kunt u als partner een belangrijke rol in spelen.

Meer over
Lees ook
Microsoft-medewerkers trappen in spear phishing-aanval

Microsoft-medewerkers trappen in spear phishing-aanval

Medewerkers van Microsoft zijn vorige week in een spear phishingaanval getrapt. De hackersgroep Syrian Electronic Army (SEA) wist op deze wijze de inloggegevens van zowel het blog als het Twitter-account van Microsoft in handen te krijgen. Microsoft bevestigt tegenover The Verge de cyberaanval. "Een social engineering aanvalsmethode die bekend st1

Van phishing verdachte student blijft voorlopig op vrije voeten

Van phishing verdachte student blijft voorlopig op vrije voeten

Een 24-jarige student van de Saxion Hogeschool in Deventer die door de Verenigde Staten (VS) wordt verdacht van deelname aan een phishingaanval blijft voorlopig op vrije voeten. Dit heeft het gerechtshof in Leeuwarden bepaald. De VS hebben om uitlevering van de 24-jarige Vietnamees die in Deventer studeert gevraagd. Het gerechtshof in Leeuwarden1