Volgens de meeste managers en reguliere werknemers bij bedrijven in Nederland is het aantal phishing-aanvallen, waarbij cybercriminelen nepberichten berichten sturen om data of geld te bemachtigen, de afgelopen jaren flink toegenomen. Dat blijkt uit onderzoek van Capterra. Wat zijn de gevolgen en hoe kunnen mkb-bedrijven aanvallen herkennen?
In dit artikel
- 93% denkt dat het aantal phishing-aanvallen is gestegen in de afgelopen drie jaar
- De meeste phishing-aanvallen komen via de e-mail
- Verlies bedrijfsdata en financiële schade meest genoemde gevolgen van phishing-aanvallen
- Meer dan de helft van de bedrijven maakt volgens senior managers niet regelmatig een back-up van gegevens
- Doen bedrijven genoeg om zich in te dekken tegen phishing?
In absolute aantallen zijn vooral kleinere bedrijven, waaronder een groot aantal zzp’ers, die getroffen worden door incidenten met gijzelsoftware. Dat blijkt uit de Cybersecuritymonitor die het CBS jaarlijks publiceert. Van de ruim 6000 bedrijven die zeiden getroffen te zijn door een aanval had de overgrote meerderheid minder dan 250 medewerkers.
Met gijzelsoftware blokkeren of versleutelen cybercriminelen bestanden op je computer, en vragen vervolgens losgeld om weer toegang te krijgen tot de data. Eén van de manieren om software je computer in te smokkelen is via een zogenaamde "phishing-aanval".
Phishing is een manier waarop cybercriminelen je data of geld stelen, bijvoorbeeld door een nepbericht per mail te sturen dat eruitziet alsof het afkomstig is van een betrouwbare bron, zoals een bank of een overheidsinstantie. Zodra je op de link of de bijlage in het bericht klikt, wordt je computer geïnfecteerd of wordt je naar een nepwebsite geleid waar ze trachten je data of geld afhandig te maken.
In een recent onderzoek van Capterra zegt een ruime meerderheid van de ondervraagde medewerkers bij bedrijven die te maken hebben gehad met phishing-aanvallen, dat deze afgelopen jaar zijn toegenomen. Om erachter te komen welke technieken cybercriminelen het meest gebruiken om toegang te krijgen tot hun systemenen en hoe bedrijven zich beschermen tegen dit soort aanvallen, ondervroeg Capterra 470 werkwerkers bij bedrijven in verschillende sectoren in heel Nederland. De respondenten moesten voor hun dagelijkse werk een computer gebruiken en op het werk een poging tot phishing hebben meegemaakt.
De volledige methodologie vind je onderaan dit artikel.
93% denkt dat het aantal phishing-aanvallen is gestegen in de afgelopen drie jaar
Uit de eerder genoemde Cybersecuritymonitor 2022 blijkt dat het aantal cyberincidenten in vergelijking met de voorgaande jaren is gedaald. Daarbij moet wel worden aangetekend dat het hierbij gaat om succesvolle aanvallen die daadwerkelijk schade hebben aangericht.
Als het gaat om het aantal phishing-pogingen, denkt de overgrote meerderheid van de respondenten in het Capterra-onderzoek dat het de afgelopen drie jaar is gestegen. Zo denkt 40% van de ondervraagden dat het aantal pogingen tussen de 10% en 20% is gestegen en zegt 22% dat het zelfs met 21% tot 30% is gestegen.
De meeste phishing-aanvallen komen via de e-mail
Er zijn verschillende manieren voor cybercriminelen om een phishing-aanval te plegen. Denk bijvoorbeeld aan een nepmail met een factuur, een boete, een incasso of een melding van een leverantie. Maar er zijn ook andere manieren om computers te besmetten met malware of gevoelige informatie zoals wachtwoorden of inloggegevens te stelen: slachtoffers bellen en zich voordoen als een bedrijf of organisatie die toegang tot jouw computer nodig heeft of een nep-bericht verzenden via sociale media of sms.
Verreweg de meest genoemde methode is via een nep e-mail. Bijna alle respondenten (94%) melden dat er op die manier een poging tot phishing is gedaan bij hun bedrijf. De tweede meest genoemde methode is via een sms-berichtje (16%) en via de telefoon (15%). Slechts 8% zegt via sociale media te zijn benaderd.
Wat zijn de meest gebruikte nepberichten bij een phishing-aanval?
Om een phishing-aanval af te kunnen slaan, helpt het als je bedrijf op de hoogte is van de soorten nepberichten die je kunt verwachten. Hieronder vind je een overzicht van de meest genoemde nepberichten die respondenten hebben ontvangen. Verreweg de meest genoemde methode is dat een cybercrimineel zich voordoet als een bedrijf (40%).
Daarnaast zegt 27% van de respondenten dat ze een bericht of berichten hebben ontvangen waarin werd gemeld dat ze een prijs hadden gewonnen en 27% dat er een pakketje afgeleverd zou worden.
Het komt ook voor dat cybercriminelen zich voordoen als een bank (25%), als één van je collega’s (24%) of als een overheidsinstelling (22%). Waarschuwingen voor de volksgezondheid worden het minst gemeld (13%), wellicht omdat die iets minder effectief zijn tegenwoordig.
Welke stappen moeten werknemers nemen om een phishing-aanval te herkennen en te voorkomen?
Valse mails worden steeds professioneler in elkaar gezet en zijn niet altijd makkelijk te herkennen. Het Digital Trust Center van het ministerie van Economische Zaken geeft een aantal tips waarmee je medewerkers een phishingbericht kunnen herkennen. Dit zijn de belangrijkste acties die je medewerkers altijd zouden moeten ondernemen als ze een mail ontvangen:
1. Controleer het adres van de afzender
De naam van de afzender kan exact dezelfde zijn als die van een bekende bank of webshop, maar vaak is het gebruikte e-mailadres vaag of een afgeleide van een e-mailadres.
2. Let op de begroeting
Als ze worden aangesproken in zeer algemene termen, zoals 'Geachte heer/mevrouw' of 'Geachte klant', moeten medewerkers opletten.
3. Let op taalgebruik en vormgeving
Hoewel valse e-mails er vaak professioneel uitzien, kunnen ze gecontroleerd worden op onregelmatigheden.
4. Verstrek geen persoonlijke informatie
In veel valse e-mails kunnen medewerkers in de verleiding komen om op een link te klikken, bijvoorbeeld om hun persoonsgegevens te ‘controleren’, ‘bij te werken’ of ‘aan te vullen’.
5. Wees voorzichtig met e-mails waar heel veel haast bij is
Veel nep-e-mails proberen mensen onder druk te zetten door middel van laatste waarschuwingen of noodmeldingen.
6. Rapporteer altijd verdachte e-mails
Zodra medewerkers een verdachte e-mail hebben gedetecteerd, zorg er dan voor dat ze deze niet alleen verwijderen, maar ook rapporteren, zodat het bedrijf de phishing-pogingen kan volgen. Veel e-mail beveiligingssoftware biedt ook de mogelijkheid om bepaalde afzenders op de zwarte lijst te zetten.
Verlies bedrijfsdata en financiële schade meest genoemde gevolgen van phishing-aanvallen
Zoals bij elke cyber-inbreuk kunnen de gevolgen van phishing-aanvallen variëren. Het financiële verlies kan bijvoorbeeld enorm zijn. Volgens het meest recente rapport van de Nederlandse Vereniging van Banken (NVB) verloren alle banken vorig jaar in totaal 61 miljoen euro door succesvolle phishing-aanvallen op hun klanten.
Het aantal respondenten in het onderzoek van Capterra dat zegt daadwerkelijk slachtoffer te zijn geworden van een succesvolle phishing-aanval is laag. De meeste respondenten (65%) zeggen dat ze zich realiseerden dat er een phishing-aanval werd gepleegd en het vervolgens hebben doorgegeven aan de bevoegde personen in het bedrijf, zoals het IT-team. Daarnaast zegt 42% dat ze het bericht of de betreffende berichten eenvoudigweg hebben genegeerd of verwijderd.
Van alle respondenten heeft 5% de link in een bericht geopend. Slechts 1% zegt ook daadwerkelijk bedrijfsinformatie te hebben gedeeld, ofwel via een website, een berichtje, een formulier of de telefoon.
Hoewel het om relatief kleine percentages gaat, kunnen de gevolgen voor de betreffende bedrijven groot zijn. Van de respondenten die één of meerdere keren slachtoffer zijn geworden van een succesvolle aanval, geven de meesten aan dat dit heeft geleid tot verlies van bedrijfsgegevens of financiële schade.
Meer dan de helft van de bedrijven maakt volgens senior managers niet regelmatig een back-up van gegevens
Om dataverlies te voorkomen is het absoluut belangrijk dat bedrijven regelmatig back-ups maken van hun data. Volgens de Kamer van Koophandel zouden bedrijven idealiter elke dag een back-up van hun gegevens moeten maken. Dit gebeurt echter niet altijd. Van alle ondervraagde senior- en executive managers zegt 47% dat ze regelmatig gegevensback-ups maken en een ramp-herstelplan maken.
Veruit de meest genoemde maatregel om tegen phishing-aanvallen te beschermen is het installeren van antivirusprogramma’s en encryptie (60%). Andere vaak genoemde methoden zijn het regelmatig updaten van cybersecuritysoftware (57%), het regelmatig updaten van de bedrijfssoftware (54%) en het volgen van een vastgesteld wachtwoordbeleid (50%). Het gebruik van VPN-software wordt het minst genoemd (37%).
Hoe kunnen bedrijven zich indekken tegen phishing-aanvallen?
Naast het regelmatig back-uppen van alle gegevens, zijn er verschillende manieren waarop je je als bedrijf kunt indekken tegen phishing-aanvallen. Dit zijn de belangrijkste:
1. Installeer goede beveiligingssoftware
Beveiligingssoftware is je eerste verdedigingslinie tegen phishing-aanvallen. Antivirusprogramma's, spamfilters en firewallprogramma's zijn behoorlijk effectief.
2. Werk de software regelmatig bij
Door software up-to-date te houden met de nieuwste beveiligingspatches en updates, verklein je ook de kans dat je betrokken raakt bij phishing-fraude. Plan regelmatig updates en monitor continu de status van alle software en apparatuur.
3.Bescherm externe werknemers
Het opstellen van BYOD-beleid (Bring Your Own Device) is essentieel om e-mail te beschermen tegen phishing-aanvallen als je werknemers hebt die op afstand werken. Verplicht encryptie voor externe medewerkers en verbind ze via een VPN met jouw server om toegang tot phishing-sites te voorkomen.
4. Zorg voor een goed wachtwoordbeleid
Zorg ervoor dat er beleid is om het verlopen van wachtwoorden af te dwingen, samen met regels voor toegestane wachtwoorden. Minimale wachtwoordlengte, cijfers en speciale tekens helpen bij het creëren van complexe wachtwoorden die moeilijker te hacken zijn. Er is software beschikbaar om alle wachtwoorden te beheren.
5. Zorg voor twee factor-authenticatie
Er zijn twee of meer inloggegevens vereist om in te loggen op bedrijfsaccounts. Door meervoudige authenticatie in te zetten, voorkom je dat hackers de inloggegevens van een gebruiker hebben gecompromitteerd.
Doen bedrijven genoeg om zich in te dekken tegen phishing?
Uit het onderzoek van Capterra kan worden geconcludeerd dat het aantal succesvolle phishing-aanvallen bij bedrijven relatief laag is. Daaruit kan worden afgeleid dat bedrijven op dit moment voldoende doen om zich te beschermen.
Aan de andere kant: een aanval hoeft maar één keer succesvol te zijn om tot enorme financiële schade en verlies van data te leiden. Om dat te voorkomen zouden meer bedrijven regelmatig back-ups van hun gegevens moeten maken en juiste software moeten installeren om de kans op schade zo klein mogelijk te houden.
In ons tweede onderzoeksartikel, dat binnenkort wordt gepubliceerd, zullen we ons meer richten op maatregelen die bedrijven kunnen nemen om phishing-aanvallen te voorkomen, zoals het trainen van hun werknemers, en geven we meer algemene cybersecurity tips voor het mkb.
Methodologie
Om deze gegevens te verzamelen, interviewde Capterra in augustus 2023 470 werknemers bij bedrijven in Nederland. Daarvan waren 339 reguliere werknemers en bekleedden 131 een managementfunctie. De kandidaten moesten aan de volgende criteria voldoen:
- Tussen de 18 en 65 jaar oud zijn;
- Een fulltime of parttime dienstverband hebben;
- Gebruikt een computer voor hun werk, tenminste soms;
- Moest de juiste definitie van een phishing-aanval kunnen identificeren nadat hem een definitie werd getoond;
- Moet bekend zijn geweest met het concept van een phishing-aanval voordat hij of zij aan het onderzoek deelnam;
- Moet een phishing-aanval op het werk hebben ontvangen (die niet als test door het bedrijf is verzonden).
