Onderzoek: 23% gebruikers opent phishingmails
Maar liefst 23% van de mensen die een phishingmail ontvangt opent die ook en 11% klikt op e-mailbijlagen, een stijging ten opzichte van vorige jaren, zo laat beveiligingsbedrijf Verizon in een nieuw rapport weten. Het aantal mensen dat naar phishingsites gaat en daar wachtwoorden invult daalde wel.
Volgens de onderzoekers zou een phishingcampagne van 10 e-mails meer dan 90% kans hebben om ook daadwerkelijk een slachtoffer te maken. En dat kan snel gebeuren. Verizon stelt aan de hand van informatie van twee partners die phishingtests uitvoeren dat de helft van de gebruikers binnen 60 minuten de links in de phishingmails had geopend. De eerste phishingmail werd al na 1 minuut en 22 seconden geopend. Organisaties krijgen dan ook het advies om personeel beter te onderwijzen, e-mails te filteren en de mogelijkheden voor detectie en response te verbeteren.
Een ander advies dat bedrijven krijgen is om hun software te patchen. 99,9% van alle aangevallen kwetsbaarheden is namelijk al meer dan een jaar oud, wat aantoont dat organisaties nog steeds geen beveiligingsupdates installeren. Zo werden er vorig jaar nog aanvallen gedetecteerd op kwetsbaarheden die uit 1999 stammen. De meeste lekken die in 2014 werden aangevallen bleken uit 2007 te stammen.
Kwestie van logisch nadenken en niet te veel Alberto Stegeman kijken ;-)...
Het percentage wordt namelijk veel hoger bij gerichte aanvallen.
Wij hebben tests uitgevoerd waarbij medewerkers aan hen persoonlijk gerichte mails kregen die zeer realistisch waren:
- vanaf een domein wat erg leek op een bekende track/trace-site
- met een opmaak die 1-op-1 die van PostNL was
- met het bericht dat er een pakje voor de medewerker was verzonden
- en of ze op de link wilden klikken voor de track/trace.
De e-mailadressen waren geconstrueerd op basis van LinkedIn-gegevens.
Zo'n mail krijgt een 'click-ratio' van meer dan 90%...
Dit geeft mijns inziens aan dat het werken aan awareness wel moet (tegen de 'eenvoudige'/'kneuterige' mails van Nigerianen, etc.), maar niet helpt tegen enigzins gerichte aanvallen. Daarvoor zul je toch andere maatregelen moeten treffen...
Verder zien die phishingmails er steeds beter uit waarbij ik me kan voorstellen dat er mensen zijn die er intrappen. Vooral dus nieuwe gebruikers die de digitale wereld nog niet zo kennen.
Ik open nog geen link in een mail van familie of bekenden.. En daar moet de voorlichting op gebaseerd zijn.
De huidige software laat de gebruiker hopeloos in de steek. Zie: http://eccentric-authentication.org/blog/2014/11/30/spot-the-differences.html
Het kan beter!
Met een goede toepassing van DNSSEC, DANE en een browser die het eccentric-authentication protocol spreekt kan de browser zelfstandig controleren of een link correct is of een scammer.
Dit protocol biedt geen bescherming tegen malware die -- eenmaal binnen -- op zoek gaat naar de user's private keys. Daarvoor moeten we betere windowsen, osxen en androids bouwen.
De techniek is beschikbaar, nu gaat het om de wil om het toe te passen.
Zie: http://eccentric-authentication.org/Usable-Security.pdf
58% - https://www.security.nl/posting/41314/Journalisten+klikken+massaal+op+phishingmail
37% - https://www.security.nl/posting/392852/Canadese+ambtenaren+klikken+massaal+tijdens+phishingtest
23% - https://www.security.nl/posting/24532/23%25+consumenten+trapt+in+spear-phishingaanvallen
14% - https://www.security.nl/posting/14583/
Laten we het erop houden dat hoe beter de aanval hoe meer er geklikt wordt.
Enige oplossingen:
Providers zouden simpelweg altijd exact moeten vermelden waar een link naar toegaat, ook op mobieltjes.
Of alleen plain text mail gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.