Het totaal percentage werknemers dat klikt op een phishingmail gaat niet de lucht in omdat we thuiswerken. Maar de verschillen tussen sommige werknemers veranderen wel.
Ongeveer twintig procent van de werknemers trapt al eens in een zeer gerichte phishingmail. Dat stelt het Leuvense Phished, dat zich toelegt op security awareness, op basis van eigen onderzoek. Het bedrijf stuurde tussen 6 en 27 januari zo’n vijftigduizend phisingmails uit. Tussen 2 maart en 24 maart gebeurde hetzelfde, maar er kwam geen verschuiving in de totaalcijfers.
“De onderwerpen waarop mensen klikken en de tijdstippen veranderen, maar het totaal aantal mensen dat doorklikt is gelijkaardig,” vertelt Arnout Van de Meulebroucke, oprichter en COO van Phished. Zijn bedrijf stuurt werknemers per profiel zeer gerichte phishingmails in opdracht van hun werkgever om hen zo te trainen en sensibiliseren over het risico.
Phished spreekt van een succesvolle phishing zodra een slachtoffer doorklikt op de mail. “Vanaf dan kunnen ze in principe geïnfecteerd worden. Dat het cijfer zo hoog ligt is omdat we al specifiek mikken op de zwakke plekken van mensen en we zo’n drieduizend verschillende berichten hebben om uit te sturen. Sommigen krijgen een marketingmail, anderen iets anders en daarbij gaan we stapsgewijs hoger in moeilijkheidsgraad.”
De mails in kwestie komen voor de helft terecht bij Belgische ontvangers. Een kleine veertig procent bij ontvangers in het Verenigd Koninkrijk en de rest in Nederland. Nederland en het VK zijn weliswaar later begonnen met massaal thuiswerken, maar volgens Van de Meulebroucke lopen de trends in grote lijnen gelijk.
De statistieken in de afbeelding zijn een combinatie van de Belgische, Britse en Nederlandse respondenten. De cijfers onder de grafiek vermeld slaan wel enkel op de Belgische resultaten.
HR, management en sales klikt vaker
Hoewel het totaalcijfer ongewijzigd blijft, merkt Van de Meulebroucke wel verschillen onder verschillende types van Belgische werknemers. “Onder mensen die op een HR-afdeling werken zien we een verdubbeling (van 12,11 procent naar 23,61 procent, nvdr). Mogelijk omdat zij net veel persoonlijk contact hebben met mensen en nu vaker van thuis uit en digitaal communiceren.”
“Zelf ben ik ook verrast van de verhoging onder salesmensen. Die zijn doorgaans vaak op de baan maar ook hier zien we een stijging van negen procent (van 19,22 procent naar 28,50 procent, nvdr).” Ook onder werknemers in finance (van 21,08 procent naar 30,39 procent), management (19,13 procent naar 26 procent), legal (van 15,57 procent naar 17,01 procent) en operations (14,02 procent naar 17,99 procent) is er een stijging merkbaar.
De daling ligt volgens Phished dan weer vooral bij algemene kantoormedewerkers (office) en R&D. Bij die eerste groep ligt het doorklikpercentage in januari op 23,06 procent en nu op 13,76 procent. Bij R&D zakt het van 12,08 procent naar 8,86 procent. “We hebben daar geen eenduidige verklaring voor, maar we vermoeden dat het deels te verklaren is door mensen die technisch werkloos zijn en momenteel hun mails minder goed opvolgen,” zegt Van de Meulebroucke.
Donderdag phishingdag
De cijfers van Phished leren ons tot slot ook dat de timing wanneer een phisingmail het vaakst wordt aangeklikt anders ligt sinds we massaal thuiswerken. In maart openen we mails gemiddeld later op de dag ten opzichte van januari. Maar in beide gevallen blijft donderdag de dag waarop we het vaakst doorklikken op een phishingmail.
Fout opgemerkt of meer nieuws? Meld het hier