Uit een analyse van Verizon van 1600 cyberbeveiligingsincidenten en 800 inbreuken bleek dat phishing betrokken was bij 90% van de succesvolle aanvallen. Ondanks jaren van phishing-bewustzijnstraining worden werknemers nog steeds voor de gek gehouden. Verizon heeft zelfs een sectie opgenomen in het Data Breaches Investigations Report(DBIR) van dit jaar met de titel "Val de mensen aan". Waarom? Mensen zijn je zwakste schakel. Je kunt een nieuwe regel maken om een geautomatiseerde webapplicatieserver aanval te blokkeren, maar je kunt de menselijke natuur niet uitschakelen.
Wie is het doelwit? Iedereen.
Social engineering-aanvallen waren vroeger het probleem van iemand anders, althans dat dachten veel mensen. Tegenwoordig is het een probleem voor iedereen. Verizon ontdekte dat elke sector zeer kwetsbaar was voor deze aanvallen. Hoewel werknemers bij fabrikanten het meest waarschijnlijk slachtoffer werden, had elke sector een aanzienlijk percentage. Als je bedenkt dat er maar één werknemer hoeft te worden misleid door één e-mail van de vele die ze in een jaar kunnen ontvangen, komt het percentage uit op meer dan 60% kans dat een company jaarlijks slachtoffer company .
Veel werknemers meerdere keren slachtoffer
Verizon heeft niet alleen gekeken naar gegevens over inbreuken, maar ook het succespercentage van phishing geëvalueerd in een gecontroleerd onderzoek. Hiervoor heeft Verizon een database samengesteld van drie miljoen users 2280 organisaties. Vervolgens hebben ze 14.000 campagnes uitgevoerd. De resultaten waren dat "7,3% van users meerdere gegevensleveranciers met succes werd ge-phished – hetzij via een link, hetzij via een geopende bijlage... ongeveer 15% van alle unieke users eenmaal slachtoffer waren geworden, trapte ook een tweede keer in de val."
Social Engineering en Spear Phishing kosten slachtoffers veel geld
Deze gesimuleerde phishingaanvallen waren algemeen en ongericht. De meer toegespitste spear phishing-aanvallen hebben echter een slagingspercentage dat ongeveer negen keer hoger ligt. Volgens de gegevens van Verizon trapten 219.000 van de drie miljoen werknemers in een generieke phishing-zwendel, maar dat aantal zou kunnen oplopen tot 1,8 miljoen bij spear phishing of social engineering-aanvallen. Deze laatste aanpak kost de aanvaller meer moeite, maar de beloning kan groot zijn. "De gegevens van dit jaar bevatten veel incidenten waarbij iemand zich voordeed als een leidinggevende om iemand geld over te laten maken (soms bedragen van zes cijfers) van de bedrijfsrekeningen."
Verizon noemt deze meer geavanceerde social engineering-aanvallen pretexting en zegt dat deze aanvallen "bijna altijd gericht zijn (en daarom was meer dan de helft van de markeringen afkomstig van de financiële afdeling), wat betekent dat actoren hun onderzoek doen om de juiste medewerker te identificeren en een geloofwaardig verhaal te verzinnen." Wat is de favoriete methode om de aanval in te zetten? Je raadt het al. "E-mail was de belangrijkste communicatiemethode, goed voor 88% van de financiële pretexting-incidenten."
Menselijke Firewalls werken Firewalls . Je hebt geautomatiseerde bescherming nodig.
De gegevens zijn consistent. E-mailaanvallen op mensen omzeilen uw netwerkbeveiliging en er is maar één medewerker nodig die in de val trapt company uw company gevaar company . Niet alleen valt 7% van de medewerkers ten prooi aan phishingaanvallen en meer dan 60% aan spear phishing, uit de gegevens van Verizon blijkt ook dat een aanzienlijk aantal medewerkers een tweede keer in de val trapt. Daarom is geautomatiseerde bescherming zo belangrijk.
Bij Graphus ondersteunen we het gebruik van phishingtrainingen en tools zoals DMARC en SPF, maar we beseffen ook dat deze maatregelen niet alle aanvallen kunnen tegenhouden. Daarom Graphus de Trust Graph van Graphus een extra beschermingslaag en detecteert deze social engineering-aanvallen voordat er een incident plaatsvindt.
