Dit was phishing in 2020, volgens Phished

Om een tumultueus 2020 af te sluiten dook Belgisch anti-phishingplatform Phished in zijn database op zoek naar dé phishingtrends van het voorbije jaar. Wat waren de gevaarlijkste onderwerpen? Door welke zogezegde afzenders laten mensen zich het vaakst foppen?

Het was een vruchtbaar jaar voor phishingcampagnes. Dat spiegelde zich eveneens af in het platform van Phished, dat geautomatiseerde simulaties stuurt naar bedrijven, instellingen en non-profitorganisaties. In totaal werden ruim drie miljoen simulaties verzonden naar meer dan driehonderd organisaties over heel Europa. Uit deze data trok Phished enkele conclusies.

Een op vijf trapt in de val

In 2020 werd 22 procent van alle ontvangers gephisht door het geautomatiseerde platform. Deze berichten leidden naar veilige landingspagina’s met de boodschap dat ze in de val waren gelopen. Wanneer zo’n landingspagina evenwel bestond uit velden om persoonlijke informatie in te vullen, zoals een nagemaakte loginpagina, dan vulde bijna 25 procent argeloos gegevens in. Wie terechtkwam op een nagemaakte module voor tweefactorauthenticatie (2FA) liet zich in tien procent van de gevallen in de luren leggen.

‘We merkten dat, naarmate het aantal verstuurde simulaties steeg, de algemene tendensen toch standhielden’, zegt Arnout Van de Meulebroucke, expert cybersecurity en oprichter van Phished. ‘De cijfers bewijzen dat mensen nog steeds de zwakste schakel zijn binnen de bedrijfsbeveiliging. Ondanks de verhalen die steeds vaker naar buiten komen van grote datalekken, ransomware-aanvallen (met gijzelsoftware, nvdr) en bankfraude, blijven organisaties jaarlijks miljoenen euro’s verliezen door menselijke fouten. Phishing awareness blijft pijnlijk afwezig.’

Opvallend: publieke sectoren bleken in 2020 kwetsbaarder dan privésectoren. Gemiddeld werden publieke medewerkers vijf procent vaker gephisht.

Door wie laten we ons vangen?

Wanneer we denken aan phishingmails, gaat het vaak over nabootsingen van bankmails, criminelen die zich uitgeven voor pakjesdiensten of imitaties van gekende webwinkels. Hoewel deze simulaties inderdaad erg goed scoren, zijn het imitaties van het eigen merk, bedrijf of organisatie die de kroon spannen. Als een mail afkomstig lijkt te zijn van een collega – zelfs één die de ontvanger niet persoonlijk kent – ligt de kans op slagen erg hoog.

‘Door middel van domain squatting en spoofing leggen cybercriminelen hun doelwit het vaakst en het makkelijkst in de luren’, verklaart Van de Meulebroucke. ‘Niet moeilijk: als een bericht van een collega afkomstig lijkt, krijgt het meteen een grote geloofwaardigheid en legitimiteit. Dergelijke voorbeelden van spear phishing zijn veel moeilijker te herkennen dan een groots opgezette campagne die geen specifiek doelwit heeft. Ironisch genoeg moet je je collega’s dus het meest wantrouwen.’

De populairste thema’s van 2020

Actualiteit doet het steeds erg goed voor cybercriminelen. Mensen willen weten waar ze aan toe zijn en liefst weten ze dat zo snel mogelijk. Het is daarom geen verrassing dat simulaties die claimden meer informatie te verschaffen over coronamaatregelen, vele slachtoffers wisten te maken. Andere populaire topics betroffen een ‘geblokkeerde toegang’ tot cloudoplossingen of problemen met wachtwoorden.

‘De magische combinatie voor hackers is steeds dezelfde: een tijdsgebonden onderwerp waar mensen zenuwachtig over zijn en die druk op hen legt. Actualiteitsgebonden items over onzekere onderwerpen, of een bericht dat hen op een fout lijkt te wijzen: mensen kunnen ze niet verdragen en willen meteen actie ondernemen’, zegt de Phished-oprichter.

2021: Na corona de economische crisis

Voor 2021 verwacht hij een sterke toename van de huidige trends: ‘De uitrol van het coronavaccin en de onduidelijkheid die daarrond bestaat – wie moet zich wanneer laten vaccineren? – zal er bijvoorbeeld al voor zorgen dat coronatopics nog een tijdlang sterk staan. Na de gezondheidscrisis volgt dan de economische crisis die veel geldgebonden onzekerheid zal aanwakkeren en eveneens een bron van vele phishingcampagnes zal worden.’

In samenwerking met Dutch IT-channel.