Phishing-e-mails teisteren organisaties over de hele wereld. Nieuw onderzoek toont aan dat bijna 19% van deze berichten door de filters van Microsoft Defender glipt. Dit is een belangrijke indicatie waarom technologie en e-mailfilters niet de enige methoden zouden moeten zijn voor bescherming tegen schadelijke e-mails. Ook blijkt uit het onderzoek dat een verschuiving van persoonlijke naar zakelijke e-mailonderwerpen plaatsvindt. Denk hierbij aan interne verzoeken en updates van HR, IT en managers. De onderwerpregel van de mail adresseren deze persoonlijke boodschap al, om de lezer te verleiden de mail te openen.
Te snel handelen
Zakelijke phishing-e-mails blijven effectief omdat ze de werkdag en de routine van een gebruiker kunnen beïnvloeden. Uit de resultaten van de phishing-analyse blijkt dat 40% van de e-mailonderwerpen betrekking heeft op HR. Hierdoor krijgen gebruikers het gevoel dat ze snel moeten handelen, waardoor ze minder tijd nemen om de legitimiteit van de e-mail in twijfel te trekken.
Uit de phishing-analyse van dit jaar blijkt ook dat phishing-links in de hoofdtekst van een e-mail de belangrijkste aanvalsvector voor dit kwartaal zijn. Deze gecombineerde tactieken kunnen verstrekkende gevolgen hebben voor organisaties. Ze leiden immers tot een groot aantal cyberaanvallen met ransomware door compromittering van zakelijke e-mails.
Prioriteit geven aan training
“Nu phishing e-mails steeds verfijnder worden, is het meer dan ooit noodzakelijk dat organisaties prioriteit geven aan training op het gebied van security awareness voor alle medewerkers”, aldus Stu Sjouwerman, CEO van securityspecialist KnowBe4. “Phishing e-mails die zijn vermomd als interne communicatie zijn gevaarlijk omdat ze de aandacht van gebruikers weten te trekken en meestal aanzetten tot actie.
Security awareness-training helpt medewerkers met de bestrijding van phishing en kwaadaardige e-mails door ze te leren waarop ze moeten letten. Het is de sleutel tot het realiseren van een gezonde dosis scepsis. Zo kan een organisatie beter worden beschermd en een sterkere security culture opbouwen.”
