PR
16 december 2021 / Verdieping

2021 Phishing Intelligence Report: Phishing in 2021

2021 was alweer een bewogen jaar en dat toont zich onder meer in de phishingstatistieken. Phished ging opnieuw op onderzoek uit: door welke berichten laten de meeste mensen zich vangen? Hoe gingen ze om met phishingberichten? Hoe verhoudt de Belg zich ten opzichte van een globaal gemiddelde? Vast staat dat mensen nood hebben aan doorgedreven en herhaalde opleidingen om tegen phishing gewapend te blijven.


Attachments
  • 1 op 4 Belgen vult persoonlijke informatie in op nagemaakte landingspagina
  • ‘Vishing’ en ‘smishing’ zullen volgend jaar nog grotere impact hebben
  • Ongewenste kalenderuitnodigingen en fraude op basis van QR-codes worden aandachtspunt in 2022

Phishing blijft een hot topic dat nog steeds aan kracht wint. De coronacrisis heeft daar uiteraard een belangrijk aandeel in, maar het gaat verder dan dat: phishing wordt simpelweg steeds overtuigender, waardoor meer mensen moeite hebben om deze berichten te onderscheiden van legitieme communicatie.

Overheidscommunicatie

In 2020 was de wereldwijde coronacrisis de motor van de grote toename aan phishingaanvallen. In 2021 heeft die trend zich duidelijk doorgezet: “Dat heeft voornamelijk te maken met de manier waarop de verschillende overheden communiceerden,” stelt Arnout Van de Meulebroucke, CEO van cybersecurity awareness-expert Phished. “Ze maakten het voorbije jaar opvallend vaker gebruik van e-mail en SMS-berichten om de bevolking op de hoogte te brengen van onder meer nieuwe maatregelen en vaccinaties. Twee dragers die uitermate vatbaar zijn voor phishing.”

In 2021 werd 23% van alle Belgische werknemers gephisht door het geautomatiseerde Phished-algoritme. Deze berichten leidden naar veilige landingspagina’s met de boodschap dat ze in de val waren gelopen. Wanneer zo’n landingspagina evenwel bestond uit velden om persoonlijke informatie in te vullen, zoals een nagemaakte loginpagina, dan vulde bijna 25% gegevens in.

Hoewel deze cijfers al wijzen op een stelselmatige problematiek onder de Belgische beroepsbevolking, maak ik me nog het meest zorgen over het feit dat maar liefst 7% van alle werknemers een verdachte e-mailbijlage opent.

Verdachte e-mailbijlagen

“Hoewel deze cijfers al wijzen op een stelselmatige problematiek onder de Belgische beroepsbevolking, maak ik me nog het meest zorgen over het feit dat maar liefst 7% van alle werknemers een verdachte e-mailbijlage opent. Terwijl er bij phishing – meestal – nog een extra stap volgt voor de echte schade wordt berokkend, kan een malafide bijlage meteen zware gevolgen hebben,” benadrukt Van de Meulebroucke.

Belgen laten zich wel iets minder vangen aan phishing na het openen van frauduleuze mails dan het wereldwijde gemiddelde. Globaal ligt dit op 53%, terwijl de Belg eindigt op 47%. “Dat komt omdat de Belg minder dan gemiddeld e-mails opent op zijn of haar smartphone, waar het moeilijker is om de herkomst van een potentiële phishingmail te herkennen,” legt Van de Meulebroucke uit.

Publieke sectoren bleken ook in 2021 kwetsbaarder dan privésectoren. Gemiddeld werden publieke medewerkers 5% vaker gephisht – een eind boven het globale gemiddelde van 3%.

Door welke berichten laten we ons vangen?

Wie phishing zegt, denkt vaak aan e-mails die vragen om een financiële transactie uit te voeren. Hoewel deze berichten wel degelijk vele slachtoffers maken, zien we dit soort campagnes minder vaak voorbijkomen dan berichten over HR, de distributieketen, IT, Office en managementgerelateerde berichten.

De volledige lijst voor België:

  1. COVID-19 (thuiswerk, testing, vaccinatie)
  2. HR-gerelateerd (boetes, ontslag, verlof, gevoelige inhoud)
  3. Supplies (Leveringen, Amazon, bol.com, Coolblue)
  4. IT-gerelateerd (wachtwoorden, VPN, IT-ondersteuning)
  5. Office-gerelateerd (Microsoft, Gmail, Sharepoint)
  6. Management (bv. spear phishing, CEO-fraude)
  7. Finance-gerelateerd ( bv. invoices)
  8. Nieuws

Opletten in 2022

De voorbije weken maakten reeds duidelijk dat coronagerelateerde onderwerpen ook in de wereld van phishing nog niet aan het einde van hun cyclus zitten. Zolang het virus door de maatschappij blijft razen, is de verwachting dat phishingberichten over dit topic dat eveneens zullen doen.

“Uiteraard zien we daarnaast nog enkele andere ‘nieuwe’ tendensen de kop opsteken,” zegt Van de Meulebroucke. Zo zullen ‘deepfakes’, nabootsingen van gekende personen, ervoor zorgen dat voice phishing (‘vishing’) overtuigender wordt en nog veel meer slachtoffers kan maken. Smishing zal, onder impuls van overheidscommunicatie en SMSjes van pakketdiensten, eveneens zijn opmars verderzetten.”

“Ongewenste kalenderuitnodigingen, waarbij hackers je agenda volspammen met meeting invites en fraude op basis van QR-codes, zullen ons het komende jaar steeds meer teisteren. Tot slot mogen we niet vergeten dat de opkomst van ‘bitcoin mules’ phishingaanvallers nog meer helpen verdwijnen in de anonimiteit, waardoor hackers steeds moeilijker te vatten zijn.”

Maar één oplossing

De opdracht voor komend jaar is duidelijk: organisaties moeten sterk inzetten op awareness bij hun medewerkers. Phishing kent de laatste jaren een exponentiële groei en zonder ingrijpende tegenbeweging zullen deze campagnes steeds meer slachtoffers maken, met grote verliezen tot gevolg.

Arnout Van de Meulebroucke besluit: “Een eenmalige workshop helpt niet op vlak van phishing. Studies tonen aan dat zelfs een doorgedreven (eenmalige) opleiding na maximaal zes maanden volledig vergeten is. Mensen hebben nood aan doorgedreven herhaalde opleidingen. Alleen zo blijft de boodschap hangen en zullen ze niet alleen phishingmails kunnen herkennen, maar ook hun koelbloedigheid bewaren indien ze toch ingaan op een malafide bericht.”