15 maa
Bij ThreadStone voeren we regelmatig phishing-campagnes uit voor opdrachtgevers. We maken dan een phishing-e-mail die niet van echt is te onderscheiden. Zo hebben we onlangs een mail verzonden waarin we ons voordeden als e-mailprovider die de gebruikers waarschuwt dat hun mailbox bijna vol is. Via een link konden zij meteen een upgrade uitvoeren – want natuurlijk was er haast geboden.
Het doel van dit soort phishing-mails is om gebruikersnamen en wachtwoorden te achterhalen van gebruikersaccounts om zo in het systeem in te breken. Veel medewerkers hebben bovendien een archief in hun e-mail dat zeer waardevol is.
Onze phishingcampagnes zijn een waardevol instrument voor management en medewerkers: het management krijgt een beter beeld van de weerbaarheid en alertheid van medewerkers, de medewerkers krijgen nuttige kennis aangereikt en worden bewuster. Door de kennis die hiermee wordt opgebouwd kan een volgende stap worden gemaakt naar gedragsverandering. Want met kennis alleen ben je er niet. Iedereen weet bijvoorbeeld dat je niet te hard mag rijden in het verkeer, niet mag bumperkleven en geen mobiele telefoon achter het stuur mag gebruiken. Het gaat erom dat je die dingen in de praktijk ook niet doet.
Net als structureel vulnerability management zouden bedrijven er ook goed aan doen om structureel aandacht te besteden aan kennis en bewustzijn, oftewel awareness van hun medewerkers. Die twee gaan wat ons betreft hand in hand.
Omdat cijfers vaak meer overtuigen, staan hieronder de schadebedragen van phishing in het betalingsverkeer, afkomstig van een factsheet van de betaalvereniging.
| 2017 | € 1,05 M |
| 2018 | € 3,81 M |
| 2019 | € 7,94 M |
| 2020 | € 12,8 M |
| 2021 | € 10,8 M |
Ten opzichte van 2017 is de phishing-schade in vijf jaar vertienvoudigd. Een gewaarschuwd mens telt voor twee – en in het geval van cybercrime voor een veelvoud van dat getal in euro’s. Tel uit uw winst en neem aandacht voor awareness net zo serieus als vulnerability management. We adviseren daarin om meer te doen dan alleen periodieke phishing-camapgnes en te kijken naar een awarenessprogramma dat langer loopt en werkelijk aanzet tot gedragsverandering.