De helft van alle phishing-mails bevat HR-gerelateerde onderwerpen. Dit blijkt uit onderzoek van knowBe4. Phishing is op dit moment een van de meest gebruikte methoden voor cyberaanvallen op organisaties over de hele wereld. Cybercriminelen verfijnen hun strategieën voortdurend. Dit doen ze door op de hoogte te blijven van trends om eindgebruikers en organisaties een stap voor te zijn.
Verwarring wekken
Door phishing-e-mails van realistische en geloofwaardige onderwerpen te voorzien, wekken cybercriminelen de interesse van nietsvermoedende medewerkers. Die zijn zo te beïnvloeden. Ze azen op emoties en proberen onrust, verwarring, paniek of zelfs opwinding te veroorzaken. En op die manier iemand te verleiden op een link of schadelijke bijlage te klikken. Uit het onderzoek van KnowBe4 blijkt dat bijna één op de drie gebruikers waarschijnlijk op een verdachte link klikt. Of ingaat op een frauduleus verzoek.
Logisch nadenken
Phishing-tactieken veranderen voortdurend. Onderwerpen die afkomstig lijken te zijn van HR en betrekking hebben op kledingvoorschriften, opleidingen en vakanties nemen toe. Deze onderwerpen zijn effectief. Dit, omdat ze iemand kunnen aanzetten tot een reactie voordat hij of zij logisch nadenkt over de legitimiteit van de e-mail. Dit omdat ze ook invloed hebben op het privéleven en de werkdag van een medewerker.
Inspelen op actualiteit
Uit het onderzoek blijkt ook dat phishing-e-mails met als onderwerp vakantie worden gebruikt. Onderwerpen die verwijzen naar nationale feestdagen zoals Bevrijdingsdag, vakanties en roosterwijzigingen worden ingezet als lokaas. Het rapport weerspiegelt verder de trend van het gebruik van meldingen van IT-afdelingen en van online diensten en onderwerpen die zijn gerelateerd aan belastingen.
Misbruik van vertrouwen
De phishing-trend die naar voren komt uit het onderzoek is vooral zorgwekkend omdat 50% van deze e-mails afkomstig lijkt te zijn van HR. Dat stellen de onderzoekers. HR is een vertrouwde afdeling van veel, zo niet alle organisaties. Deze vermomde e-mails maken misbruik van het vertrouwen van medewerkers en zetten aan tot acties die desastreuze gevolgen kunnen hebben voor organisaties.
