In de afgelopen drie jaar is het aantal phishingaanvallen fors toegenomen. Verreweg de meeste aanvallen vinden plaats via e-mail. De oplichter doet zich veelal voor als een ander bedrijf om slachtoffers te maken. Bedrijven treffen allerlei maatregelen om zich tegen phishing te beschermen.
Dat blijkt uit onderzoek van Capterra. Het softwarebedrijf ondervraagde 470 medewerkers in verschillende sectoren in Nederland naar hun ervaringen met phishingaanvallen.
Spoofing en kwaadaardige bijlages
Phishing is een manier waarop hackers of cybercriminelen proberen om geld of data te stelen van nietsvermoedende slachtoffers. Ze doen zich vaak voor als een betrouwbare instantie, zoals een bank of overheidsinstantie. In werkelijkheid zijn de daders niets meer dan oplichters. Phishingberichten bevatten vaak malafide URL’s die de lezer doorsturen naar nagemaakte websites om inloggegevens of andere informatie te achterhalen. Dit noemen we ook wel spoofing.
Soms bevatten phishingberichten bijlages. Op het eerste oog lijkt het alsof iemand een document of spreadsheet opstuurt. Zodra iemand de attachment opent, gaat het mis. Dan blijkt dat de bijlage gijzelsoftware of andere vorm van malware bevat die zich op de computer van het slachtoffer nestelt. De gevolgen kunnen een immense impact hebben op de dagelijkse bedrijfsvoering.
Uit een peiling van Capterra blijkt dat 93 procent van de ondervraagde respondenten denkt dat het aantal phishingaanvallen de afgelopen drie jaar is toegenomen. De meesten (40 procent) zeggen dat het om een toename van 10 tot 20 procent gaat. Eén op de vijf werknemers (21 procent) schat dat de stijging van het aantal phishingaanvallen een derde of meer is.
E-mail meest gebruikte methode voor inzet phishingaanval
Om de aandacht van de ontvanger te trekken, doet de oplichter vaak alsof hij nog geld tegoed heeft. Hij verstuurt een nepfactuur, of dreigt met een boete of incasso als er niet snel betaald wordt. Verreweg de meeste phishingaanvallen vinden plaats via e-mail en worden ook wel Business Email Compromise of BEC-fraude genoemd. In 16 procent van de gevallen stuurt de oplichter een sms-bericht.
De op-twee-na meest gebruikte methode om een phishingaanval uit te voeren, is via de telefoon. Dat gebeurt in 15 procent van de gevallen. Slachtoffers worden dan opgebeld door iemand die bijvoorbeeld voordoet als monteur en toegang nodig heeft tot een computer, of inloggegevens nodig heeft om een probleem op te lossen. Het is een vorm van social engineering waar werknemers gevoelig voor blijken te zijn. Slechts 8 procent van de ondervraagden zegt in het verleden via sociale media te zijn benaderd.
Cybercriminelen die hun slachtoffer benaderen, doen zich meestal voor als een medewerker van een ander bedrijf. Uit onderzoek van Capterra blijkt dat dit in 40 procent van de gevallen gebeurt. Ruim een kwart (27 procent) zegt dat criminelen hen probeerden op te lichten door te zeggen dat er een pakketje voor hen klaarstaat, of dat ze een prijs hadden gewonnen. Een nepbericht van een zogenaamde collega is eveneens een veelgebruikte methode om slachtoffers te maken: dat gebeurde de afgelopen jaren in 24 procent van de gevallen.
Zo beschermen bedrijven zich tegen phishingaanvallen
Het aantal medewerkers dat zegt daadwerkelijk slachtoffer te zijn geworden van phishing, ligt verrassend laag. Van alle respondenten zegt 5 procent dat ze ooit een link in een phishingmail heeft geopend. Slechts 1 procent geeft eerlijk toe dat hij of zij bedrijfsinformatie heeft gedeeld via deze URL.
Ondanks dat het percentage slachtoffers laag ligt, kunnen de gevolgen niet te overzien zijn. De meesten zijn bang dat phishing kan leiden tot verlies van bedrijfsdata of financiële schade. Infectie met kwaadaardige software en reputatieschade komen respectievelijk op plaats drie en vier van mogelijke gevolgen van phishingaanvallen. De kans dat cybercriminelen bedrijfsgegevens stelen en deze delen met de buitenwereld, wordt het kleinst geacht.
Bedrijven nemen uiteenlopende maatregelen om zichzelf tegen phishing te beschermen. De meest genoemde methode is door antivirussoftware te installeren of met encryptieprogramma’s te werken (60 procent). Het regelmatig updaten van beveiligingssoftware (57 procent), hanteren van een strikt wachtwoordbeleid en opstellen van richtlijnen voor e-mailbeveiliging (44 procent) worden daarna het vaakst genoemd. Het installeren en gebruikmaken van VPN-software is het minst populair.
