Phishing e-mail HR- en IT-afdelingen meest effectief

Zakelijke phishing-e-mails zijn vooral effectief omdat ze, als ze onbeantwoord blijven, mogelijk van invloed kunnen zijn op de dagelijkse werkzaamheden van de gebruiker. Hierdoor zijn medewerkers snel geneigd om te reageren. Er wordt echter te vaak pas nagedacht over de legitimiteit van de e-mail als het al te laat is, merkt KnowBe4 op.

De meeste mensen weten wel dat ze beter niet kunnen doorklikken in een sms waarin een bestelling van 1.800 euro wordt bevestigd die ze nooit hebben geplaatst, zo stelt de aanbieder van een platform voor security awareness en gesimuleerde phishing. Maar wat als het bericht van personeelszaken afkomstig is en gaat over een aankomend functioneringsgesprek? En wat als de bijlage een ontwerp is van een strategisch plan waarin hun naam wordt genoemd?

De bron van zo'n e-mail kan worden verborgen met een vervalst domein en de bedrijfsnaam en het bedrijfslogo - soms zelfs de naam van de werknemer - kunnen in de body van de e-mail zijn opgenomen. De meeste e-mails bevatten een phishing-hyperlink of een PDF-bijlage.

Menselijke fouten

“We weten dat meer dan 80 procent van de wereldwijde cyberincidenten het gevolg is van menselijke fouten,” aldus Stu Sjouwerman, KnowBe4's CEO, in een toelichting. “Het trainen van het personeel in security awareness is één van de minst kostbare en meest effectieve methoden om geslaagde social engineering-aanvallen te voorkomen."

De training biedt volgens Sjouwerman medewerkers de mogelijkheid om verdachte e-mails snel te herkennen, zelfs als deze afkomstig lijken te zijn van een interne bron. "Het moment waarop de medewerker een e-mail in twijfel trekt, is een cruciaal en vaak over het hoofd gezien element van de security-cultuur waarmee het risico op een geslaagde aanval aanzienlijk wordt verkleind.”

KnowBe4 heeft de phishing-methoden en onderwerpen van e-mails waarop het meest wordt geklikt op een rij gezet. De helft van de geopende e-mails heeft een onderwerp met betrekking tot personeelszaken, zoals updates over het vakantiebeleid, wijzigingen in de kledingvoorschriften en functioneringsgesprekken. IT-verzoeken, zoals wachtwoordverificaties die onmiddellijk uitgevoerd moeten worden, zijn een andere populaire categorie. Een totaaloverzicht van alle testresultaten is beschikbaar via de KnowBe4 Phishing by Industry Benchmarking Infographic.