20 procent werknemers klikt op phishing-mails

Eén op vijf werknemers laat zich tijdens een test vangen door een phishingmail, ongeacht de sector waarin een bedrijf opereert. Wanneer de mails gesofisticeerder worden of inspelen op het karakter van mensen, gaat dat aantal flink de hoogte in.

Werknemers die geconfronteerd worden met een algemene phising-mail, laten zich in 20 procent van de gevallen vangen en klikken op de link. Richt een cybercrimineel zich tot zijn slechtoffer met een geavanceerde spear phishing-aanval, dan loopt dat aantal zelfs op tot 30 procent. Dat blijkt uit de cijfers van Phished, een bedrijf uit het Leuvense dat zich specialiseert in het versturen van valse phishingcampagnes in samenwerking met bedrijven in een poging werknemers alerter te maken voor de gevaren.

Iedereen kwetsbaar

Phished merkt op dat de sector waarin een bedrijf actief is of het opleidingsniveau van het doelwit weinig belang heeft. In zowat alle campagnes ligt de klikratio rond de 20 procent. Daarbij merken we wel op dat het onderzoek geen cijfers geeft over het aantal mensen dat ook daadwerkelijk gevoelige gegevens zou kwijtgeven via een phishing-link. Vermoedelijk zullen heel wat mensen nog merken dat er iets niets pluis is na het klikken. In een bedrijfsomgeving die niet up to date is met onvoldoende beveiliging kan een drive by-download er anderzijds al voor zorgen dat het te laat is.

Voor al mails die inspelen op de inherente goedheid van mensen, hebben succes. Het gaat daarbij om emails waarbij iemand om hulp wordt gevraagd. Denk aan een mail die afkomstig lijkt van een collega, waarin die vraagt of een bepaalde pagina voor jou wil laden omdat hij of zij problemen ondervindt. Vier op de tien trapte daar in. Ook berichten met de vraag een factuur te verifiëren, doen het goed met een klikpercentage van 29 procent.

Mobiel gevaar

Het onderzoek toont aan dat mensen het kwetsbaarst zijn wanneer ze mails op hun mobiel toestel openen. Tijdens de simulaties klikt 32 procent van de ontvangers dan op een malafide link. Dat komt volgens Phished omdat je op je mobiel toestel minder aandacht besteedt aan de inhoud van een mail.

Bewustmaking en training bieden soelaas. Mensen moeten weten dat hackers bijvoorbeeld mailadressen kunnen spoofen zodat een bericht van een collega of baas afkomstig lijkt. Verder raadt Phished training aan, wat niet toevallig het verdienmodel van het bedrijf is. De organisatie claimt dat een jaar van campagnes het klikpercentage tot één procent doet dalen. Door mensen te confronteren met de phishing-links waar ze verkeerdelijk op geklikt hebben, kweken ze in theorie extra alertheid.