Martijn Kregting - 30 juli 2021

Elke medewerker kan doelwit spear phishing zijn

Elke medewerker kan doelwit spear phishing zijn image

Een gemiddelde organisatie is jaarlijks het doelwit van ruim 700 social engineering aanvallen. 77 procent van de Business Email Compromise (BEC)-aanvallen richt zich op medewerkers die geen financiële of leidinggevende functie hebben. In 43 procent van de phishing-aanvallen doen de aanvallers zich voor als afkomstig van Microsoft. Dat zijn enkele conclusies uit de zesde editie van het spearphishing-rapport van security-aanbieder Barracuda.

Het rapport schetst hoe spearphishing-aanvallen zich ontwikkelen en welke mensen binnen organisaties het doelwit zijn van deze aanvallen. Het rapport ‘Spear Phishing: Top Threats and Trends Vol. 6 – Insights into attackers’ evolving tactics and who they’re targeting’ biedt inzichten in recente trends op het gebied van spearphishing aanvallen en geeft aan wat organisaties kunnen doen om zich te beschermen. Ook laat het rapport de relatie zien tussen de koers van cryptovaluta en phishing/imitatie aanvallen.

Alle medewerkers doelwit speerphishing

Behalve de meest recente trends in spearphishing, laat het rapport zien welke mensen binnen organisaties het meest gekozen doelwit zijn. Het geeft aan dat alle medewerkers, niet alleen top-executives, waakzaam moeten zijn voor spearphishing-aanvallen. Ook worden enkele nieuwe trucs onthult die aanvallers gebruiken om de verdediging te omzeilen. Verder bevat het rapport een aantal best practices en biedt het inzichten in technologieën die organisaties zouden moeten inzetten om zich tegen deze aanvallen te verdedigen.

"Cybercriminelen worden steeds slimmer in het selecteren van hun doelwitten", zegt Alain Luxembourg, regional director Benelux voor Barracuda. "Op zoek naar een zwakke plek in de organisatie richten ze zich vaak op medewerkers die geen financiële of leidinggevende functie hebben. Door zich te richten op medewerkers met een lagere functie, kijken ze of ze op die manier de organisatie binnen kunnen komen. Daarna proberen ze zich omhoog te werken, naar waardevollere doelwitten. Daarom is het belangrijk dat alle medewerkers beschermd en getraind worden, niet alleen functionarissen waarvan wordt aangenomen dat zij de meest waarschijnlijke doelwitten van aanvallen zullen zijn."

Belangrijkste bevindingen

Tussen mei 2020 en juni 2021 hebben onderzoekers van Barracuda ruim 12 miljoen spearphishing- en social engineering-aanvallen geanalyseerd. Deze aanvallen richtten zich op ruim drie miljoen mailboxen bij meer dan 17.000 organisaties wereldwijd. Enkele bevindingen zijn:

  • 1 op de 10 social engineering aanvallen zijn Business Email Compromise (BEC)-aanvallen. Daarbij proberen criminelen toegang te krijgen tot mailboxen binnen de organisatie. Als dat lukt, kunnen ze bijvoorbeeld waardevolle informatie verzamelen, CEO-fraude aanvallen plegen of proberen ze de logingegevens van andere gebruikers buit te maken.
  • Bij 43 procent van de aanvallen doen de aanvallers zich voor als Microsoft.
  • Een organisatie is jaarlijks gemiddeld het doelwit van ruim 700 social engineering-aanvallen.
  • Ruim drie kwart van de Business Email Compromise (BEC) aanvallen richt zich op medewerkers die geen financiële of leidinggevende functie hebben.
  • 1 op de 5 BEC-aanvallen richt zich op medewerkers in een salesfunctie.
  • Gemiddeld ontvangt een CEO ieder jaar 57 gerichte phishing-mails.
  • IT-medewerkers ontvangen ieder jaar gemiddeld 40 gerichte phishing-mails
Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024