KnowBe4, aanbieder van ’s werelds grootste platform van security awareness en gesimuleerde phishing, heeft het Q1 2023 phishing- rapport uitgebracht. Phishing-e-mails vallen namelijk onder de meest gebruikte methode om effectief cyberaanvallen op organisaties uit te voeren. In dit rapport zijn verschillende bevindingen bekend gemaakt die in deze blog beschreven zullen worden.

Wat is phishing?

Phishing is het proces waarbij geprobeerd wordt om gevoelige informatie zoals, gebruikersnamen, wachtwoorden, creditcardgegevens te verkrijgen doordat iemand zich voordoet als een betrouwbare entiteit met behulp van bulk-e-mail die spamfilters probeert te omzeilen. Cybercriminelen verfijnen hun strategieën voortdurend om gebruikers en organisaties te verleiden. Dit wordt gedaan door bijvoorbeeld een e-mail zo aan te passen dat het geloofwaardiger lijkt. Er wordt ingespeeld op emotie om voor onrust en verwarring te zorgen, met als doel om iemand van de organisatie te verleiden om ergens op te klikken.

Phishing-rapport van KnowBe4

Het phishing-rapport van KnowBe4 omvat e-mailonderwerpen waarop in een phishing test het vaakst is geklikt. Globaal zijn op de volgende onderwerpen van phishing-e-mails het vaakst geklikt*:

> 13%. PZ: Update vakantiebeleid
> 13%. Wachtwoord check onmiddellijk nodig
> 13%. Bedrijfskleding voorschrift is veranderd
> 12%. ‘Jouw functioneringsgesprek’
> 11%. Update: bekijk loonstrook

Rondom de vakantieperiodes, proberen veel cybercriminelen achter jouw informatie te komen door gericht een e-mail over de vakantie te sturen. Dit zijn volgens KnowBe4 de meest gebruikte onderwerpen voor een phishing-e-mail*:

> PZ: Vakantie schema is aangepast
> Gelukkig nieuw jaar cadeau kaart
> Gelukkig nieuw jaar!

Tot slot heeft KnowBe4 een top vijf gemaakt van de meest gebruikte bestandstype om je te verleiden om op een link te klikken. Deze worden hieronder opgesomd:

> E-mail link: phishing hyperlink wordt toegevoegd in de mail
> Spoofing mail: een e-mail waarin het lijkt alsof het van de organisatie afkomstig is
> PDF-bijlage: de e-mail bevat een PDF bestand die je kan openen
> Brand phishing: een e-mail met een ‘nep’ link, waarin het logo en de naam van een organisatie is nagemaakt, zodat jij denkt dat je hier je gegevens veilig kan invullen.
> HTML-bijlage: de e-mail bevat een HTML-bijlage

Effectiviteit van security awareness trainingen

Uit een benchmark onderzoek van KnowBe4 blijkt dat, van alle gebruikers die met het onderzoek mee hebben gedaan, 32,4% geklikt heeft op een phishing campagne. Na een uitgebreide KnowBe4 training test van 12 maanden, daalt dit gemiddelde naar 5%. Uit dit onderzoek blijkt dat in de eerste paar maanden het bewustzijn erg hoog ligt en daarna wat afneemt. Het belang van het blijven trainen en testen, is om het bewustzijn in de organisatie over een lange periode aan te houden, zodat de phishing-e-mails worden begrepen en herkend. Met de ondersteuning van Fastbyte zorgen we ervoor dat de gebruikers dat stukje meer bewustzijn krijgen die nodig is om het gemiddelde naar 5% te krijgen. Met de awareness trainingen van Fastbyte en KnowBe4 worden phishing- en trainingscampagnes een jaar lang ingeregeld, ingekleed, uitgevoerd en geanalyseerd. Er wordt periodiek een gespecialiseerde campagne en training gestart zodat alle medewerkers bewust blijven van de gevaren van cybercrime. Bij klanten van Fastbyte wordt dit als fijn ervaren, zodat alle medewerkers getraind blijven en geïnformeerd worden over de trends en nieuwe bedreigingen die spelen omtrent phishing-e-mails.

Fastbyte helpt

Fastbyte is als partner van KnowBe4, gefocust om jouw medewerkers te testen om te kijken welk percentage vatbaar is voor phishing door middel van een gesimuleerde phishing-aanval. Om de medewerkers te trainen, is er een ruim aanbod van trainingsinhoud op het gebied van cyberbeveiliging, inclusief video’s, modules en herinneringsmails. Na de trainingen, kunnen geautomatiseerde phishing-aanvallen ingezet worden om de gebruikers te testen. Tot slot worden de resultaten in de vorm van een rapportage weergegeven. Deze rapportage kunnen vergeleken worden per gebruiker.

* Wij hebben alleen de top vijf beschreven
* Wij hebben de top drie beschreven, gebaseerd op wat relevant is voor Nederland

LEES OOK:

Phishing: hoe doen cybercriminelen het?

Investeer in betaalbare beveiliging tegen cyberaanvallen

< Naar het kennisbank overzicht