Dit was phishing in 2021

Actua

2021 was alweer een bewogen cybersecurity jaar, met 4,5 miljoen meldingen bij het Centrum voor Cybersecurity België. Nog nooit hebben phishingcriminelen zo vaak geprobeerd om geld te stelen met misleidende mails, sms'jes of andere onlinefraude. Het phishingrapport van Phished geeft antwoord op de belangrijkste vragen: Door welke berichten laten mensen zich vangen? Hoe gaan Belgen om met phishingberichten? Klikken ze meer of minder dan gemiddeld?

""
Corona en phishing bepaalden mee 2021. © Foto Ibrahim Boran, Unsplash

Phishing is niet alleen door de coronacrisis gevaarlijk geworden. Nee, het vormt vooral een grote bedreiging omdat het steeds overtuigender wordt. Steeds meer mensen hebben moeite om valse berichten te onderscheiden van legitieme communicatie.

3 opvallende conclusies uit het 2021 Phishing Vulnerability Report van Phished:

  • 1 op 4 Belgen vult persoonlijke informatie in op nagemaakte landingspagina.
  • Vishing en smishing zullen in 2022 een nog grotere impact hebben.
  • Steeds meer ongewenste kalenderuitnodigingen en fraude op basis van QR-codes.

Opgelet voor valse overheidscommunicatie

In 2020 was de wereldwijde coronacrisis de motor van de grote toename aan phishingaanvallen. In 2021 heeft die trend zich doorgezet.

"Dat heeft voornamelijk te maken met de manier waarop de verschillende overheden communiceerden," stelt Arnout Van de Meulebroucke, CEO van cybersecurity awareness-expert Phished. Hij refereert naar de talloze waarschuwingen waaronder Overheid waarschuwt voor nieuwe phishingmails die vanuit My e-Box lijken te komen.

"De overheden maakten het voorbije jaar opvallend vaker gebruik van e-mail en sms-berichten om de bevolking op de hoogte te brengen van nieuwe maatregelen en vaccinaties. Deze twee kanalen zijn uitermate vatbaar voor phishing ."

23% klikt op phishingberichten

De testen en trainingen via het geautomatiseerde Phished-algoritme tonen aan dat er behoorlijk geklikt wordt op phishingberichten. In 2021 liet maar liefst 23 procent van alle Belgische werknemers zich phishen. In tegenstelling tot echte phishing , leiden deze berichten van Phished naar veilige landingspagina’s met de boodschap dat ze in de val waren gelopen.

Wanneer zo’n landingspagina evenwel bestond uit velden om persoonlijke informatie in te vullen, zoals een nagemaakte loginpagina, dan vulde bijna 25 procent gegevens in.

👉 Phished leidt medewerkers op om beter gewapend te zijn tegen phishing . Lees hun verhaal Phished stuurt betere phishingmails dan cybercriminelen... en hoe je dat bedrijf helpt

Verdachte e-mailbijlagen

Hoewel deze cijfers al wijzen op een stelselmatige problematiek onder de Belgische beroepsbevolking, maakt Arnout zich het meest zorgen over het feit dat maar liefst 7 procent van alle werknemers een verdachte e-mailbijlage opent. 

"Het openen van een malafide bijlage levert onmiddellijk gevaar op. Want wanneer er bij phishing meestal nog een extra stap volgt voor de echte schade wordt berokkend, kunnen bijlagen meteen zware gevolgen hebben", benadrukt Van de Meulebroucke.

""
Liefst 7 procent van alle werknemers opent verdachte e-mailbijlages. Deze leveren onmiddellijk gevaar op.
Arnout Van de Meulebroucke, CEO van Phished

Belgen laten zich wel iets minder vangen aan phishing na het openen van frauduleuze mails dan het wereldwijde gemiddelde. Globaal ligt dit op 53 procent, terwijl de Belg eindigt op 47 procent. 

"Dat komt omdat de Belg minder dan gemiddeld e-mails opent op zijn of haar smartphone, waar het moeilijker is om de herkomst van een potentiële phishingmail te herkennen", legt Arnout uit.

""
Aantal phishingpogingen steeg sterk in 2021. © Foto Samantha Deleo_Unsplash

Publieke sectoren bleken ook in 2021 kwetsbaarder dan privésectoren. Gemiddeld werden publieke medewerkers 5 procent vaker gephisht. Dit ligt een eind boven het globale gemiddelde van 3 procent.

Door welke berichten laten we ons vangen?

Belgen laten zich het meest vangen door phishingberichten over:

  1. COVID-19 (thuiswerk, testing, vaccinatie)
  2. HR-gerelateerd (boetes, ontslag, verlof, gevoelige inhoud)
  3. Supplies (Leveringen, Amazon, bol.com, Coolblue)
  4. IT-gerelateerd (wachtwoorden, VPN, IT-ondersteuning)
  5. Office-gerelateerd (Microsoft, Gmail, Sharepoint)
  6. Management (bv. spear phishing , CEO-fraude)
  7. Finance-gerelateerd ( bv. invoices)
  8. Nieuws
""

Gevaarlijkere phishing in 2022

Phished ziet vier tendenzen die zich in 2022 sterker zullen doorzetten.

  1. Deepfakes, ofwel nabootsingen van gekende personen, zullen ervoor zorgen dat voice phishing (‘vishing’) overtuigender wordt en nog veel meer slachtoffers kan maken. 
  2. Smishing zal, onder impuls van overheidscommunicatie en sms-jes van pakketdiensten, zijn opmars verderzetten.
  3. Ongewenste kalenderuitnodigingen, waarbij hackers je agenda volspammen met meeting invites en fraude op basis van QR-codes, zullen ons het komende jaar steeds meer teisteren. 
  4. De opkomst van ‘bitcoin mules’ helpen phishingaanvallers nog meer verdwijnen in de anonimiteit, waardoor hackers steeds moeilijker te vatten zijn.
👉 Kies voor een volledig cybersecurity verbetertraject, inclusief het verhogen van de awareness. Lees Check het laagdrempelig verbetertraject en de kmo-portefeuille

Wapen je met opleidingen

De opdracht voor komend jaar is duidelijk: organisaties moeten sterk inzetten op awareness bij hun medewerkers.

Helaas is dit niet opgelost met een eenmalige workshop. "Studies tonen aan dat zelfs een doorgedreven (eenmalige) opleiding na maximaal zes maanden volledig vergeten is", weet Arnout.

"Mensen hebben nood aan doorgedreven herhaalde opleidingen. Alleen zo blijft de boodschap hangen en zullen ze niet alleen phishingmails kunnen herkennen, maar ook hun koelbloedigheid bewaren indien ze toch ingaan op een malafide bericht."

TwitterLinkedIn