1 Arnout Van de Meulebroucke.

Phishing in 2021? Leuvens bedrijf zocht het uit

LEUVEN - Phishing blijft een hot topic dat nog steeds aan kracht wint. Dat blijkt uit het 2021 Phishing Intelligence Report van het Leuvense cybersecuritybedrijf Phished, waarin de gegevens van 100 miljoen phishing-simulaties wereldwijd worden geanalyseerd. De coronacrisis heeft daar uiteraard een belangrijk aandeel in, maar het gaat verder dan dat: phishing wordt simpelweg steeds overtuigender, waardoor meer mensen moeite hebben om deze berichten te onderscheiden van legitieme communicatie.

In 2020 was de wereldwijde coronacrisis de motor van de grote toename aan phishingaanvallen. In 2021 heeft die trend zich duidelijk doorgezet: “Dat heeft voornamelijk te maken met de manier waarop de verschillende overheden communiceerden,” stelt Arnout Van de Meulebroucke, CEO van cybersecuritybedrijf Phished. “Ze maakten het voorbije jaar opvallend vaker gebruik van e-mail en sms-berichten om de bevolking op de hoogte te brengen van onder meer nieuwe maatregelen en vaccinaties. Twee dragers die uitermate vatbaar zijn voor phishing.”

In 2021 werd 23% van alle Belgische werknemers gephisht door het geautomatiseerde Phished-algoritme. Deze berichten leidden naar veilige landingspagina’s met de boodschap dat ze in de val waren gelopen. Wanneer zo’n landingspagina evenwel bestond uit velden om persoonlijke informatie in te vullen, zoals een nagemaakte loginpagina, dan vulde bijna 25% gegevens in. “Hoewel deze cijfers al wijzen op een stelselmatige problematiek onder de Belgische beroepsbevolking, maak ik me nog het meest zorgen over het feit dat maar liefst 7% van alle werknemers een verdachte e-mailbijlage opent. Terwijl er bij phishing – meestal – nog een extra stap volgt voor de echte schade wordt berokkend, kan een malafide bijlage meteen zware gevolgen hebben,” benadrukt Van de Meulebroucke.

Wereldwijde gemiddelde

Belgen laten zich wel iets minder vangen aan phishing na het openen van frauduleuze mails dan het wereldwijde gemiddelde. Globaal ligt dit op 53%, terwijl de Belg eindigt op 47%. “Dat komt omdat de Belg minder dan gemiddeld e-mails opent op zijn of haar smartphone, waar het moeilijker is om de herkomst van een potentiële phishingmail te herkennen,” legt Van de Meulebroucke uit. Publieke sectoren bleken ook in 2021 kwetsbaarder dan privésectoren. Gemiddeld werden publieke medewerkers 5% vaker gephisht – een eind boven het globale gemiddelde van 3%.

Wie phishing zegt, denkt vaak aan e-mails die vragen om een financiële transactie uit te voeren. Hoewel deze berichten wel degelijk vele slachtoffers maken, zien we dit soort campagnes minder vaak voorbijkomen dan berichten over hr, de distributieketen, IT, Office en managementgerelateerde berichten.

Opletten in 2022

De voorbije weken maakten reeds duidelijk dat coronagerelateerde onderwerpen ook in de wereld van phishing nog niet aan het einde van hun cyclus zitten. Zolang het virus door de maatschappij blijft razen, is de verwachting dat phishingberichten over dit topic dat eveneens zullen doen. “Uiteraard zien we daarnaast nog enkele andere ‘nieuwe’ tendensen de kop opsteken,” zegt Van de Meulebroucke. “Zo zullen ‘deepfakes’, nabootsingen van gekende personen, ervoor zorgen dat voice phishing (‘vishing’) overtuigender wordt en nog veel meer slachtoffers kan maken. Smishing zal, onder impuls van overheidscommunicatie en sms’jes van pakketdiensten, eveneens zijn opmars verderzetten. Ongewenste kalenderuitnodigingen, waarbij hackers je agenda volspammen met meeting invites en fraude op basis van QR-codes, zullen ons het komende jaar ook meer teisteren. Tot slot mogen we niet vergeten dat de opkomst van ‘bitcoin mules’ phishingaanvallers nog meer helpen verdwijnen in de anonimiteit, waardoor hackers steeds moeilijker te vatten zijn.”

Doorgedreven opleidingen 

De opdracht voor komend jaar is duidelijk: organisaties moeten sterk inzetten op awareness bij hun medewerkers. Phishing kent de laatste jaren een exponentiële groei en zonder ingrijpende tegenbeweging zullen deze campagnes steeds meer slachtoffers maken, met grote verliezen tot gevolg. “Een eenmalige workshop helpt niet op vlak van phishing. Studies tonen aan dat zelfs een doorgedreven (eenmalige) opleiding na maximaal 6 maanden volledig vergeten is. Mensen hebben nood aan doorgedreven herhaalde opleidingen. Alleen zo blijft de boodschap hangen en zullen ze niet alleen phishingmails kunnen herkennen, maar ook hun koelbloedigheid bewaren indien ze toch ingaan op een malafide bericht”, besluit Arnout Van de Meulebroucke.