De meeste mensen zeggen phishing te herkennen en hier niet in te trappen. Toch worden jaarlijks duizenden bedrijven in België geconfronteerd met de gevolgen van een geslaagde phishingaanval. De schade varieert van een financieel verlies, inactiviteit gedurende een bepaalde periode, het verlies van data of het betalen van een ransom om opnieuw toegang te krijgen tot de computersystemen.
Spearphishing, whaling, vishing…
what’s in a name?
Controleer wie de afzender is, klik niet op verdachte links en reageer niet op ongevraagde e-mails. Dat oude advies is en blijft een nuttig en vast onderdeel van iedere cybersecurity awareness training. Natuurlijk maken phishers nog steeds gebruik van aanvallen met een groot volume, in de hoop dat er altijd wel mensen zijn die toch in de phishing e-mails trappen. Maar phishers zitten niet stil en gebruiken ook methodes die meer succes hebben.
Voor gerichte aanvallen maken phishers gretig gebruik van de publieke informatie
die over de onderneming te vinden is via de website en de sociale media en stellen profielen van bedrijven en medewerkers op. Daarmee kunnen erg gerichte en overtuigende phishing aanvallen uitvoeren, ook wel spearphishing genoemd. Richt de phisher zich met deze spearphishing aanvallen op de personen met de meeste bevoegdheden binnen een bedrijf dan spreken we over whaling en is de kans op schadelijke gevolgen groter.
Maar ook aanvallen via de telefoon (vishing, van voice phishing) zijn steeds talrijker. Of wat dacht je van aanvallen via de bestanden delen functie van cloudopslag zoals OneDrive? Door corona en thuiswerken zijn we steeds meer bestanden gaan delen via die methode, in plaats van als bijlage bij een e-mail. Daar spelen phishers op in door bestanden met een phishinglink, of macro’s die ransomware installeren, te uploaden naar deze cloudopslag en te delen.
Kortom, phishers zitten niet stil en blijven inspelen op beschikbare online-informatie en communicatiemogelijkheden.
Ook Mr. Franklin doet aan phishing!
De zwakste schakel van een veiligheidsbeleid binnen een onderneming is steeds de medewerkers. Opleidingen en awareness-trainingen zijn aldus noodzakelijk om het risico op phishingaanvallen te verminderen maar deze volstaan niet.
Om medewerkers binnen een onderneming te trainen organiseert Mr. Franklin phishing simulaties. Het doel van doorlopende simulaties is om kennis over phishingaanvallen bij te brengen en ervoor te zorgen dat uw medewerkers hier niet intrappen. Zonder de effectiviteit van de campagnes te meten, is bijsturen en verbeteren echter niet mogelijk.
Phishing simulaties zijn hierbij een goede hulp. Door wekelijks een phishing-aanval te simuleren en de respons binnen de onderneming bij te houden, is het mogelijk de toestand van awareness van de onderneming en haar werknemers individueel te meten.
Conclusie
Phishers zitten niet stil, dus blijf ook niet bij de pakken zitten. Met phishing simulaties kan het niveau van bewustzijn van medewerkers in een organisatie inzichtelijk gemaakt worden en kunnen risico’s binnen de onderneming geïdentificeerd worden. Daarenboven zorgt de doorlopende training ervoor dat werknemers veel bewuster omgaan met hun mailbox en smartphone en veel minder risico lopen om gephished te worden.
Mr.Franklin is jouw expert binnen het IT-recht & cybersecurity. Neem vrijblijvend contact met ons op voor meer informatie of vragen.
Comments