2021 Phishing Intelligence Report: Dit was phishing in 2021

Leuven, 15 december 2021 – Phished, een toonaangevende leverancier van AI-gestuurde trainingssoftware voor cyberbeveiliging, heeft de resultaten bekendgemaakt van zijn Phishing Intelligence Report 2021, ‘This Was Phishing in 2021’. Het rapport, dat gegevens analyseerde van meer dan 100 miljoen phishing-simulaties, onthulde dat wereldwijd bijna een kwart (22%) van de werknemers hun organisatie waarschijnlijk blootstelt aan het risico van een cyberaanval via een geslaagde phishing-poging.

De analyse van de brede en diverse dataset laat zien hoe kwetsbaar de gemiddelde werknemer is voor phishing-aanvallen en biedt inzicht in belangrijke trends, zoals welke onderwerpen leiden tot de meest succesvolle phishing-aanvallen en welke topics het meest waarschijnlijk werknemers misleiden.

Uit de gegevens blijkt dat van de werknemers die een phishingbericht openen, meer dan de helft (53%) waarschijnlijk op een schadelijke link in het bericht zal klikken. Wanneer om gegevens wordt gevraagd, bijvoorbeeld op een vervalste inlogpagina, geeft bijna een kwart (23%) van de ontvangers hun gegevens op. Als een bericht een bijlage bevat, zal 7% van alle ontvangers deze downloaden en openen.

“Hoewel deze cijfers al wijzen op een systematisch probleem bij de werkende bevolking, is het misschien nog wel het meest verontrustend dat maar liefst 7% van alle werknemers een verdachte e-mailbijlage opent”, zegt  Arnout Van de Meulebroucke, CEO van Phished. “Terwijl phishing – meestal – een extra stap vereist vooraleer de echte schade wordt aangericht, kan een kwaadaardige bijlage onmiddellijk ernstige gevolgen hebben.”

Uit het Phishing Intelligence Report, waarin simulatiegegevens van organisaties uit zowel de private als de publieke sector werden geanalyseerd, bleek voorts ook nog dat werknemers in de publieke sector 3% meer kans hebben om het slachtoffer te worden van een geslaagde phishingpoging dan werknemers in organisaties uit de private sector.

Wereldwijd leidden COVID-19-gerelateerde onderwerpen in 2021 het vaakst tot succesvolle phishingaanvallen. Dit omvatte berichten rond thuiswerken, testfaciliteiten voor het coronavirus en vaccinaties, waarbij nepnieuws en misinformatiecampagnes kwaadwillenden voedden om in te spelen op de algemene ongerustheid over de risico’s van vaccins en neveneffecten. Daarna waren phishingberichten rond de technologie en IT in verband met thuiswerken het succesvolst in het aanmoedigen van werknemers om op links te klikken en gegevens te onthullen. Dit omvatte berichten rond populaire samenwerkingsplatforms, evenals technische ondersteuning voor wachtwoorden en virtuele privénetwerken (VPN’s).

Deze overige conclusies trok Phished:

• De gegevens tonen aan dat phishing een belangrijke aanvalsvector blijft voor cybercriminelen die zich richten op organisaties in zowel de private als de publieke sector wereldwijd. 2021 creëerde een perfecte cyberbeveiligingsstorm, waarbij aanvallers profiteerden van de toegenomen overheidscommunicatie rond de COVID-19-crisis, terwijl de phishingberichten zelf overtuigender werden. Werknemers – die zich zorgen maken over de wereldwijde gezondheidscrisis – hebben moeite om deze berichten van legitieme communicatie te onderscheiden.
• De verschuiving naar thuiswerken heeft geleid tot een groter risico, nu veel werknemers hun smartphones gebruiken om e-mails te openen. Smartphones maken het over het algemeen moeilijker om de herkomst van een e-mail te herkennen, wat betekent dat werknemers vatbaarder zijn voor phishing.
• In 2022 zullen we deze trend waarschijnlijk zien doorzetten, omdat cybercriminelen steeds geraffineerder worden in hun aanvallen. COVID-19 zal ook in 2022 een populair onderwerp zijn voor aanvallers, maar er zijn een aantal nieuwe trends in op komst.
• Ongewenste agenda-uitnodigingen, waarbij aanvallers je agenda spammen met uitnodigingen voor vergaderingen, komen steeds vaker voor, terwijl fraude met QR-codes ook iets is waarvan Phished verwacht dat het in het nieuwe jaar vaker zal voorkomen.
• Het meest verontrustend is misschien wel het feit dat phishing door “deep fakes” overtuigender kan worden en dat spraak een nieuwe aanvalsvector kan worden.
  De opdracht voor komend jaar is duidelijk: organisaties moeten sterk inzetten op awareness bij hun medewerkers. Phishing kent de laatste jaren een exponentiële groei en zonder ingrijpende tegenbeweging zullen deze campagnes steeds meer slachtoffers maken, met grote verliezen tot gevolg.

Arnout Van de Meulebroucke besluit: “Een eenmalige workshop helpt niet op vlak van phishing. Studies tonen aan dat zelfs een doorgedreven (eenmalige) opleiding na maximaal zes maanden volledig vergeten is. Mensen hebben nood aan doorgedreven herhaalde opleidingen. Alleen zo blijft de boodschap hangen en zullen ze niet alleen phishingmails kunnen herkennen, maar ook hun koelbloedigheid bewaren indien ze toch ingaan op een malafide bericht.”

Voor het volledige rapport kunt u terecht op volgende URL: https://go.phished.io/phishing-vulnerability-rapport-2021