Hoe schadelijk is phishing voor jouw organisatie?
Phishing is nog steeds erg actief binnen de bedrijfswereld en verschillende organisaties. Cybercriminelen hanteren naast de traditionele phishing-technieken ook heel wat nieuwe methoden. Zo is de voorbije maanden gebleken dat phishing via Whatsapp, sms en Messenger ook heel wat succes boekt voor cybercriminelen. Daarnaast stelen ze ook inloggegevens via gerichte phishing om toegang te krijgen tot de cruciale Cloud services.
In een vorige blog stonden we stil bij hoe phishing binnen je organisatie net gebeurt. In deze blog geven we je een diepere kijk op hoe schadelijk phishing wel kan zijn voor jouw organisatie.
Enkele belangrijke cijfers omtrent phishing
Het internationale APWG, of het Anti-Phishing Working Group, rapporteerde enkele interessante resultaten inzake phishing trends gedurende het tweede kwartaal van 2020. Deze resultaten duiden op de nog steeds grote aanwezigheid van phishing binnen organisaties en de gevolgen ervan. We zetten even enkele belangrijke punten op een rijtje:
- Het gemiddelde verlies van overschrijvingen via business e-mail neemt toe: de gemiddelde poging tot frauduleuze overschrijving was zo’n slordige $80.183, een sterke stijging ten opzichte van de ongeveer $54.000 in het eerste kwartaal.
- Het aantal phishing-sites dat men detecteerde in het tweede kwartaal van 2020 was 146.994.
- Phishing gericht op gebruikers van webmail en Software-as-a-Service (SaaS) bleek de grootste focus, gevolgd door aanvallen gericht op gebruikers van social media-kanalen Facebook en Whatsapp.
Spear Phishing staat aan kop
Uit recente statistieken van ‘Phished’, een Leuvense start-up die phishingmails simuleert om zo werknemers te sensibiliseren voor de gevaren van phishing, blijkt dat zo’n 20% tot 50% van medewerkers op een valse mail klikken. Nu, phishing mag dan wel bekend staan onder de vorm van valse e-mail, het is net zo effectief via andere communicatiekanalen zoals sms, Whatsapp en Messenger. Dat bleek onder meer uit de resultaten van verschillende onderzoeken omtrent foutieve corona gerelateerde phishing-berichten.
Naast het hanteren van verschillende kanalen, specialiseren cybercriminelen zich tegenwoordig ook verder in de manier waarop ze via phishing mensen doelbewust targeten. De recentste trend in het verzenden van phishing gaat bijvoorbeeld niet zozeer om het kanaal of platform, maar om de manier waarop ze specifiek mensen benaderen. Spear phishing, want zo heet deze nieuwste vorm van phishing, hanteert berichten en mails die dezelfde kenmerken vertonen van vertrouwde, officiële instituten, organisaties of overheidsdiensten. Zo leiden ze je om de tuin naar een nepwebsite vol malware. Spear phishing is gericht op specifieke personen, organisaties en bedrijven om zo gegevens te stelen voor criminele doeleinden of malware op computer van de gebruiker te installeren.
Gevolgen van phishing voor jouw organisatie?
Cybercriminelen doen aan phishing om verschillende redenen. De meest gekende motivaties voor phishing zijn:
- Stelen van (gevoelige) data
- Log-in gegevens te pakken krijgen om toegang te hebben tot Cloud-omgevingen en andere platformen
- Het infecteren van ransomware
- Het infecteren van andere malware
- Financiële fraude plegen
Naast bovenstaande gevaren, kan phishing ook andere nare gevolgen hebben voor jouw organisatie. Meer bepaald op financieel vlak. Phishing leidt immers ook vaak tot een langdurige downtime voor je medewerkers, boetes op vlak van privacywetgevingen met betrekking tot persoonlijke gegevens, juridische kosten, verloren omzet door de veroorzaakte downtime, schade aan betrouwbare reputatie met een verlies van klanten tot gevolg, enzovoort.
Phishing is dus een waar gevaar voor je organisatie en het loont de moeite om te investeren in het tegengaan van dergelijke cyberaanvallen. Naast het inzetten op een sterke beveiliging op IT-technisch vlak is het ook belangrijk om je werknemers te sensibiliseren omtrent de gevaren van phishing. Trainingen over het herkennen en het behandelen van phishing over de verschillende kanalen heen, kunnen immers een grote impact hebben op een voorzichtiger gedrag van je medewerkers. Bovendien maakten we onlangs een video samen met Microsoft over dit topic en mogelijke oplossingen tijdens hun Microsoft Security Week 2020: "You have migrated to O365 but have you thought about security?".
Wens je meer informatie over het bestrijden van phishing binnen je organisatie? Of zoek je een partner in het beveiligen van je IT-infrastructuur? Neem dan snel contact op met ons! Met onze Phish+ oplossing geniet jouw organisatie niet alleen van een activatie en configuratie van Office 365 Advanced threat protection, maar ook van standaard pop-up visuals omtrent phishing om de awareness bij je medewerkers te vergroten.