"Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje. We het op prijs as u uw gegevens kunt bijwerken." Is dit wel of geen phishing? De meeste mensen zeggen phishing te herkennen en hier niet in te trappen. Toch was deze zin onderdeel van een geslaagde phishing aanval waarna een groot geldbedrag naar de phishers werd overgemaakt. In deze blog ga ik in op het belang van doorlopende awareness campagnes over phishing.
Spearphishing, whaling, vishing; phishing-bingo
Klik niet op verdachte links en reageer niet op ongevraagde e-mails. Dat oude advies is en blijft een nuttig en vast onderdeel van iedere cybersecurity awareness training. Natuurlijk maken phishers nog steeds gebruik van aanvallen met een groot volume, in de hoop dat er altijd wel mensen zijn die toch in de phishing e-mails trappen. Maar phishers zitten natuurlijk niet stil en ontwikkelen methodes die meer succes hebben.
Naast phishing zijn ook datalekken aan de orde van de dag. Phishers maken gretig gebruik van deze gelekte informatie en stellen profielen van bedrijven en medewerkers op. Daarmee kunnen ze steeds gerichtere en overtuigendere phishing aanvallen uitvoeren, ook wel spearphishing genoemd. Richt de phisher zich met deze spearphishing aanvallen op de personen met de meeste bevoegdheden binnen een bedrijf dan hebben we het over whaling en is de kans op schadelijke gevolgen groot.
Maar ook aanvallen via social media, of spraakoproepen (vishing, van voice phishing) worden steeds gangbaarder. Of wat dacht u van aanvallen via de bestanden delen functie van cloudopslag zoals OneDrive? Door corona en thuiswerken zijn we steeds meer bestanden gaan delen via die methode, in plaats van als bijlage bij een e-mail. Daar spelen phishers op in door bestanden met een phishinglink, of macro’s die ransomware installeren, te uploaden naar deze cloudopslag en te delen.
Kortom, phishers zitten niet stil en blijven inspelen op beschikbare online-informatie en communicatiemogelijkheden. Medewerkers van organisaties moeten dan ook doorlopend gewezen worden op deze nieuwe gevaren. Awareness is geen eenmalige exercitie, juist doorlopende campagnes verdienen de aanbeveling.
Stem awareness trainingen af op de doelgroep
Niet alle afdelingen binnen een organisatie lopen dezelfde gevaren bij phishing aanvallen. Bij de HR-afdeling ligt het lekken van gevoelige gegevens op de loer, bij de financiële afdeling juist frauduleuze transacties en bij de IT-afdeling weer het gevaar op het buitmaken van accountgegevens met vergaande rechten. Vaak heeft elke afdeling zijn eigen type medewerker en gevoeligheden.
Voor het opzetten van effectieve awareness campagnes is het dan ook nodig om de doelgroep en bijpassende gevaren goed te kennen, om de informatie optimaal op de doelgroep af te kunnen stemmen. Op die manier blijft de kennis beter hangen. Door in te spelen op de werkzaamheden van afdelingen is de training relevanter en minder droog.
Test de kennis van uw medewerkers
Het doel van doorlopende campagnes is om kennis over phishingaanvallen bij te brengen en ervoor te zorgen dat uw medewerkers hier niet intrappen. Zonder de effectiviteit van de campagnes te meten, is bijsturen en verbeteren echter niet goed mogelijk. Phishingsimulaties zijn hierbij een goede hulp. Door jaarlijks of halfjaarlijks een phishingaanval te simuleren en de respons binnen de organisatie te meten, is goed zichtbaar te maken hoe het staat met de awareness van de organisatie, en jaar-op-jaar voortgang te meten. Dit is de feedback die nodig is om awareness campagnes te verbeteren en te blijven afstemmen op de doelgroep.
Kortom, phishers zitten niet stil en blijven nieuwe methoden ontwikkelen. Medewerkers in organisaties moeten hiervan doorlopend bewust worden gemaakt. Daarvoor dienen awarenesscampagnes op de juiste doelgroep afgestemd te worden. Met phishingsimulaties kan het niveau van bewustzijn van medewerkers in een organisatie inzichtelijk gemaakt worden, en jaar-op-jaar trends geïdentificeerd worden.
