Om een tumultueus 2020 af te sluiten, dook Belgisch anti- phishingplatform Phished in haar database op zoek naar dé phishingtrends van het voorbije jaar. Wat waren de gevaarlijkste onderwerpen? Door welke zogezegde afzenders laten mensen zich het vaakst phishen? Phished zocht en vond antwoorden.
Het was een vruchtbaar jaar voor phishingcampagnes. Dat spiegelde zich eveneens af in het platform van Phished, dat geautomatiseerde simulaties stuurt naar bedrijven, instellingen en non- profitorganisaties. In totaal werden ruim 3 miljoen simulaties verzonden naar meer dan 300 organisaties over heel Europa. Uit deze data trok Phished enkele conclusies.
1 op 5 trapt in de val
In 2020 werd 22% van alle ontvangers gephisht door het geautomatiseerde platform. Deze berichten leidden naar veilige landingspagina’s met de boodschap dat ze in de val waren gelopen. Wanneer zo’n landingspagina evenwel bestond uit velden om persoonlijke informatie in te vullen, zoals een nagemaakte loginpagina, dan vulde bijna 25% gegevens in. Wie terechtkwam op een nagemaakte module voor tweefactorauthenticatie (2FA) liet zich in 10% van de gevallen in de luren leggen.
“We merkten dat, naarmate het aantal verstuurde simulaties steeg, de algemene tendensen toch standhielden,” zegt Arnout Van de Meulebroucke, expert cybersecurity en oprichter van Phished. “De cijfers bewijzen dat mensen nog steeds de zwakste schakel zijn binnen de bedrijfsbeveiliging. Ondanks de verhalen die steeds vaker naar buiten komen van grote datalekken, ransomware- aanvallen en bankfraude, blijven organisaties jaarlijks miljoenen euro’s verliezen aan menselijke fouten. Phishing awareness blijft pijnlijk afwezig.”
Opvallend: publieke sectoren bleken in 2020 kwetsbaarder dan privésectoren. Gemiddeld werden publieke medewerkers 5% vaker gephisht.
Door wie laten we ons vangen?
Wanneer we denken aan phishingmails, gaat het vaak over nabootsingen van bankmails, criminelen die zich uitgeven voor pakjesdiensten of imitaties van gekende webwinkels. Hoewel deze simulaties inderdaad erg goed scoren, zijn het imitaties van het eigen merk, bedrijf of organisatie die de kroon spannen. Als een mail afkomstig lijkt te zijn van een collega – zelfs één die de ontvanger niet persoonlijk kent – ligt de kans op slagen erg hoog.
“Door middel van ‘domain squatting’ en ‘spoofing’ leggen cybercriminelen hun doelwit het vaakst en het makkelijkst in de luren,” verklaart Arnout Van de Meulebroucke. “Niet moeilijk: als een bericht van een collega afkomstig lijkt, krijgt het meteen een grote geloofwaardigheid en legitimiteit. Dergelijke voorbeelden van spear phishing zijn veel moeilijker te herkennen dan een groots opgezette campagne die geen specifiek doelwit heeft. Ironisch genoeg moet je je collega’s dus het meest wantrouwen.”
De populairste thema’s van 2020
Actualiteit doet het steeds erg goed voor cybercriminelen. Mensen willen weten waar ze aan toe zijn en liefst weten ze dat zo snel mogelijk. Het is daarom geen verrassing dat simulaties die claimden meer informatie te verschaffen over coronamaatregelen, vele slachtoffers wisten te maken. Andere populaire topics betroffen een ‘geblokkeerde toegang’ tot cloudoplossingen of problemen met wachtwoorden.
“De magische combinatie voor hackers is steeds dezelfde: een tijdsgebonden onderwerp waar mensen zenuwachtig over zijn en die druk op hen legt. Actualiteitsgebonden items over onzekere onderwerpen, of een bericht dat hen op een fout lijkt te wijzen: mensen kunnen ze niet verdragen en willen meteen actie ondernemen,” zegt Arnout Van de Meulebroucke.
Opletten in 2021
“Voor 2021 verwachten we een sterke toename van de huidige trends,” stelt Arnout Van de Meulebroucke. “De uitrol van het coronavaccin en de onduidelijkheid die daarrond bestaat – wie moet zich wanneer laten vaccineren? – zal er bijvoorbeeld al voor zorgen dat coronatopics nog een tijdlang sterk staan. Na de gezondheidscrisis volgt dan de economische crisis die veel geldgebonden onzekerheid zal aanwakkeren en eveneens een bron van vele phishingcampagnes zal worden.”
De opdracht voor komend jaar is dus duidelijk: organisaties moeten sterk inzetten op awareness bij hun medewerkers. Ook phishing kent de laatste jaren een exponentiële groei en zonder ingrijpende tegenbeweging zullen deze campagnes steeds meer slachtoffers maken, met grote verliezen tot gevolg.
Arnout Van de Meulebroucke besluit: “Een eenmalige workshop helpt niet op vlak van phishing. Mensen hebben nood aan doorgedreven opleidingen en herhaling. Alleen zo blijft de boodschap hangen en zullen ze niet alleen phishingmails kunnen herkennen, maar ook hun koelbloedigheid bewaren indien ze toch ingaan op een malafide bericht.”