Organisaties met 2.000 of meer medewerkers lopen het grootste risico om slachtoffer te worden van laterale phishing, waarbij phishingmails worden verzonden naar mailboxen in de organisatie vanaf een intern account dat al door de aanvallers is gecompromitteerd. Dit blijkt uit een nieuwe Threat Spotlight van Barracuda.
Laterale phishing-aanvallen zijn goed voor iets minder dan de helft (42%) van alle gerichte e-maildreigingen tegen organisaties met 2.000 of meer medewerkers. Bij bedrijven met maximaal 100 medewerkers is slechts 2% van alle doelgerichte e-maildreigingen een laterale phishing-aanval. Een mogelijke verklaring waarom dit type phishing-aanvallen vaker voorkomt bij grotere bedrijven, zou te maken kunnen hebben met het gegeven dat veel logingegevens van dit soort bedrijven waarschijnlijk al te koop zijn op het dark web. Grotere bedrijven zijn een aantrekkelijk doelwit voor cybercriminelen omdat ze in potentie een groter rendement bieden op hun investering.
Verder blijkt uit het onderzoek dat kleinere bedrijven (maximaal 100 medewerkers) het grootste risico lopen om slachtoffer te worden van externe phishing-aanvallen. Over de afgelopen 12 maanden waren deze aanvallen verantwoordelijk voor 71% van de gerichte e-maildreigingen tegen kleinere bedrijven, vergeleken met 41% bij de grootste bedrijven. Voor het onderzoek analyseerde Barracuda van begin juni 2023 tot eind mei 2024 gerichte e-mailaanvallen tegen organisaties van verschillende groottes.
Vergeleken met grotere bedrijven hebben kleinere bedrijven daarnaast ongeveer drie keer zo vaak te maken met aanvallen gericht op afpersing. Bij deze groep waren afpersingsaanvallen 7% van de gerichte incidenten, vergeleken met 2% voor bedrijven met 2.000 medewerkers of meer.
“Alle bedrijven, ongeacht hun grootte, zijn kwetsbaar voor e-maildreigingen, maar wel op verschillende manieren”, zegt Alain Luxembourg, Vice President Benelux and Nordics bij Barracuda. “Grotere bedrijven met veel mailboxen en medewerkers bieden aanvallers meer potentiële toegangspunten en meerdere communicatiekanalen om schadelijke berichten te verspreiden. Daarnaast is de kans groter dat medewerkers deze e-mailberichten vertrouwen als de berichten vanuit de eigen organisatie lijken te komen, zelfs als de afzender bij hen onbekend is. Voor kleinere bedrijven is daarentegen de kans kleiner dat ze een gelaagde securityaanpak hanteren en is de kans groter dat e-mailfilters verkeerd zijn geconfigureerd door een gebrek aan interne expertise en tools.”
Om beter voorbereid te zijn op doelgerichte e-maildreigingen, is het aan te raden om cybersecurity awareness trainingen te volgen waarin laterale phishing aan bod komt en waarbij medewerkers wordt geleerd om verdachte e-mails te herkennen. Meerlaagse, door AI ondersteunde security is cruciaal voor het detecteren en herstellen van geavanceerde aanvallen en om de impact ervan te beperken. Kleinere bedrijven kunnen daarnaast overwegen hulp te vragen aan een managed service provider om hun security te versterken.