HR- en seizoensgebonden e-mails zijn succesvolste bij phishing
Phishing is nog steeds één van de meest gebruikte methoden om kwaadaardige aanvallen op organisaties over de hele wereld uit te voeren. Slachtoffers van phishingaanvallen klikken het vaakst op berichten die afkomstig lijken te zijn van HR en seizoensgebonden e-mails over bijvoorbeeld Halloween of de herfst.
Dit blijkt uit het Q3 2023 phishing-rapport van KnowBe4. In de afgelopen twee kwartalen werden de volgende onderwerpen vaak gebruikt in e-mails die afkomstig leken te zijn van HR:
- Berichten over kledingvoorschriften, opleidingsmogelijkheden en meldingen over vakanties. Deze zijn effectief omdat ze iemand aanzetten tot een reactie voordat hij of zij logisch nadenkt over de legitimiteit van de e-mail.
- Seizoensgebonden onderwerpen werden dit kwartaal ook veel gebruikt in phishing-e-mails. Vier op de vijf onderwerpen hadden betrekking op Halloween en herfstartikelen. Daarnaast laat het rapport een consistente trend zien van onderwerpen die van het IT-teams lijken te komen.
Een van de meest voorkomende aanvalsmethoden
Phishing is nog steeds één van de meest gebruikte methoden om kwaadaardige aanvallen op organisaties over de hele wereld uit te voeren. Uit het 2023 Phishing by Industry Benchmarking-rapport van KnowBe4 blijkt zelfs dat bijna één op de drie gebruikers waarschijnlijk op een verdachte link klikt of ingaat op een frauduleus verzoek. Cybercriminelen blijven innovatief en verfijnen hun strategieën. Ze blijven op de hoogte van de huidige trends en ontwikkelingen en zetten die in om de aandacht van gebruikers te trekken. Dit leidt ertoe dat cybercriminelen meer overtuigende onderwerpen gebruiken om geloofwaardiger over te komen. Ze spelen zo tegelijkertijd in op emoties door urgentie, verwarring en verdriet op te roepen, zodat medewerkers op een kwaadaardige link klikken of een bijlage downloaden.
“De aanhoudende trend om e-mails te vermommen alsof ze afkomstig zijn van een interne afdeling zoals HR is vooral gevaarlijk voor organisaties omdat ze afkomstig lijken te zijn van een vertrouwde, betrouwbare bron”, zegt Stu Sjouwerman, CEO van KnowBe4. “Cybercriminelen maken misbruik van het vertrouwen van werknemers en creëren kwetsbaarheden binnen een organisatie die mogelijk desastreuze gevolgen hebben. KnowBe4's rapporten benadrukken het belang van security awareness training die eindgebruikers informeert over de nieuwste en meest voorkomende cyberdreigingen. Security is niet alleen de verantwoordelijkheid van het IT-team, maar van iedereen in een organisatie. Hoewel er een tekort is aan security-professionals, is het belangrijk dat medewerkers zich bewust zijn van de gevaren, om zo een menselijke firewall te vormen. Goed opgeleid personeel is essentieel voor het bevorderen van een sterke security culture en is de beste verdediging voor een organisatie om online veilig te blijven.”
Alle resultaten van het phishing-rapport zijn door KnowBe4 verzameld in de onderstaande infographic.