State of the Phish Report: aantal gerichte aanvallen neemt toe

Proofpoint heeft zijn jaarlijkse State of the Phish-rapport uitgebracht. In het rapport wordt dieper ingegaan op de kennis, kwetsbaarheid en weerstand van gebruikers met betrekking tot phishing. Uit het rapport komt naar voren dat bijna 90 procent van de ondervraagde organisaties wereldwijd het doelwit was van Business Email Compromise (BEC)- en spear phishing-aanvallen. Dit geeft aan dat cybercriminelen zich blijven richten op individuele eindgebruikers. Daarnaast gaf 78 procent aan dat trainingen op het gebied van veiligheidsbewustzijn de kwetsbaarheid van werknemers voor phishing verminderen.

Het State of the Phish-rapport bevat gegevens van bijna 50 miljoen gesimuleerde phishing-aanvallen bij Proofpoint-klanten in het afgelopen jaar. Daarnaast bevat het rapport antwoorden van meer dan zeshonderd informatiebeveiligers in de VS, Australië, Frankrijk, Duitsland, Japan, Spanje en het Verenigd Koninkrijk. Het rapport analyseert ook fundamentele kennis over cybersecurity van meer dan 3.500 werkende volwassenen die in dezelfde zeven landen zijn ondervraagd.

In hoeverre eindgebruikers verdachte e-mails rapporteren is ook onderzocht in het rapport van dit jaar. Het aantal gerapporteerde berichten steeg het afgelopen jaar aanzienlijk. Eindgebruikers meldden meer dan negen miljoen verdachte e-mails in 2019, een stijging van 67 procent ten opzichte van 2018. Deze toename is een positieve ontwikkeling voor informatiebeveiligers, aangezien Proofpoint ziet dat aanvallers steeds meer overgaan naar gerichte, gepersonaliseerde aanvallen in plaats van grootschalige aanvallen. Gebruikers moeten steeds waakzamer worden om geavanceerde phishing te identificeren. Meldingssystemen stellen werknemers in staat om informatiebeveiligers te waarschuwen voor potentieel gevaarlijke berichten die de verdediging van de organisatie hebben weten te omzeilen.

De belangrijkste bevindingen van het State of the Phish-rapport zijn:

• Meer dan de helft (55 procent) van de ondervraagde organisaties had in 2019 te maken met ten minste één succesvolle phishing-aanval. Informatiebeveiligers rapporteerden een hoge frequentie van social engineering-aanvallen via diverse methoden: 88 procent van de organisaties wereldwijd maakte melding van spear-phishing-aanvallen, 86 procent meldde BEC-aanvallen, 86 procent social media-aanvallen, 84 procent sms-phishing (smishing), 83 procent voice phishing (vishing) en 81 procent meldde kwaadaardige USB-sticks.

• 65 procent van de ondervraagde informatiebeveiligers zei dat hun organisatie in 2019 te maken had met ransomware. 33 procent van die organisties koos ervoor om het geldbedrag te betalen, terwijl 32 procent dat niet deed. Van degenen die met aanvallers onderhandelden, kreeg 9 procent te maken met nieuwe geldeisen. 22 procent kreeg nooit toegang tot hun gegevens, zelfs niet na het betalen van het bedrag.

• Veel werkende volwassenen maken geen gebruik van best practices op het gebied van cybersecurity. 45 procent geeft toe dat wachtwoorden worden hergebruikt, meer dan 50 procent beschermt thuisnetwerken niet met een wachtwoord en 90 procent geeft aan dat ze door de werkgever verstrekte apparaten gebruiken voor persoonlijke activiteiten. Bovendien was 32 procent van de werkende volwassenen onbekend met virtual private network (VPN)-diensten.

• De kennis over gangbare cybersecurity-termen ontbreekt bij veel gebruikers. In het onderzoek werd aan werkende volwassenen gevraagd om de definities van de volgende cybersecurity termen te geven: phishing (61 procent juist), ransomware (31 procent juist), smishing (30 procent juist), en vishing (25 procent juist). Deze bevindingen laten zien dat sommige gebruikers te weinig kennis hebben en dat security-teams die proberen hun medewerkers te informeren over deze bedreigingen rekening moeten houden met een potentiële taalbarrière. Het is cruciaal voor organisaties om effectief te communiceren met gebruikers en hen in staat te stellen een sterke laatste verdedigingslinie te zijn.

• Millennials blijven onderpresteren ten opzichte van andere leeftijdsgroepen op het gebied van basiskennis over phishing en ransomware. Dit is een waarschuwing dat organisaties er niet vanuit moeten gaan dat jongere werknemers van nature kennis hebben van cybersecurity. Millennials hadden slechts op één onderdeel de beste kennis: smishing.

• Organisaties zijn gebaat bij consequentiemodellen. Wereldwijd neemt 63 procent van de organisaties corrigerende maatregelen bij gebruikers die herhaaldelijk fouten maken rond phishing-aanvallen. De meeste informatiebeveiligers zeggen dat de bewustwording van werknemers is verbeterd door de invoering van een consequentiemodel.

“Effectieve training in veiligheidsbewustzijn moet zich toespitsen op de onderwerpen en het gedrag die het belangrijkst zijn voor de missie van een organisatie”, aldus Joe Ferrara, Senior Vice President en General Manager Security Awareness Training bij Proofpoint. “We bevelen een mensgerichte aanpak van cybersecurity aan door organisatiebrede trainingen voor veiligheidsbewustzijn te combineren met gerichte, risicogestuurde voorlichting. Het doel is om gebruikers in staat te stellen aanvallen te herkennen en te rapporteren.”