Phished homepage computer screen
16 april 2021 / Verdieping

Van 50% gephisht naar 5%: hoe Phished werkt en waarom

Een bedrijf dat start met het Phished-platform scoort vaak ‘hoog’ op de initiële nulmeting. Na één jaar weet Phished dat terug te brengen tot minder dan 5%. Hoe doen we dat en waarom is het zo efficiënt?


Wie nooit in contact komt met de risico’s van het digitale leven, zal de gevaren nooit herkennen wanneer ze er oog in oog mee komen te staan. Concreet: wie nooit in aanraking komt met phishingaanvallen, zal ze niet herkennen en er niet op de juiste manier mee kunnen omgaan. Elke nulmeting die Phished uitvoert, bevestigt dit.

Let wel: het gaat dan om goed uitgewerkte phishinggevallen, waarbij de aanvaller zijn huiswerk grondig heeft gemaakt. We hebben het dus niet over de veelvoorkomende en doorzichtige e-mails over seksdates, viagra of gewonnen prijzen. Ook de Afrikaanse koningshuizen die geld willen uitdelen, vallen uit de boot.

Hacker hacked klein computer

Tussen 20% en 50%

Een goed uitgewerkt phishingbericht speelt in op de dagelijkse realiteit van zijn ontvanger. Dat betekent dat ook erg algemene ‘massamails’ erg overtuigend kunnen overkomen. Zo is het bijvoorbeeld erg makkelijk om duizenden ontvangers tegelijk te bereiken met een e-mail die afkomstig lijkt te zijn van een pakjesdienst. Het enige dat een hacker dan hoeft te doen is zijn bericht mooi opmaken – zo identiek mogelijk aan het origineel – en een placeholder in te voegen die automatisch per ontvanger de juiste voor- of achternaam invult.

Een bericht van een pakjesdienst behoort tegenwoordig tot de leefwereld van haast iedereen. Hoewel ze tamelijk generisch zijn, slaagt Phished erin om met dergelijke berichten 20% van alle ontvangers in de luren te leggen bij een nulmeting.

Met spear phishing lokt Phished steevast minstens 35% van alle ontvangers in de val bij een nulmeting, en vaak gaat dit cijfer zelfs richting 50%

Spear phishing speelt nog meer in op herkenbaarheid en, voornamelijk, autoriteit. Massamails zijn vaak meer gepersonaliseerd dan mensen denken, maar bij spear phishing is dat nog veel meer het geval. Hier gaat de aanvaller kijken naar zo veel mogelijk persoonlijke informatie die kan verwerkt worden in de phishingpoging. Hiervoor wordt gebruik gemaakt van sociale media, Google-resultaten,…

In het geval van spear phishing zal een hacker vaak een collega of leidinggevende imiteren. We zijn geprogrammeerd om onze medewerkers zo goed mogelijk te helpen: hun succes is immers ook dat van ons. Als zo’n bericht er overtuigend uitziet omdat het misschien een verwijzing bevat naar onze laatste vakantietrip, dan zijn we erg snel overtuigd dat het om een echt bericht gaat en zullen we meteen willen helpen. Met dit soort phishing lokt Phished steevast minstens 35% van alle ontvangers in de val bij een nulmeting, en vaak gaat dit cijfer zelfs richting 50%.

Hoe bereiken we 5%?

Onderzoek toont aan dat zelfs wie een doorgedreven cybersecurity- of phishingtraining krijgt, na uiterlijk zes maanden weer even vatbaar is als daarvoor. Zelfs wie één keer per maand wordt getest, blijft erg vatbaar voor hacks en dataverlies. Daarom is het belangrijk dat mensen meermaals per maand worden getest om hun kennis actief, relevant en up-to-date te houden.

De resultaten van het Phished-platform tonen duidelijk aan dat regelmatige phishingsimulaties – en microlearnings via de Phished Academy – het aantal geslaagde phishingaanvallen laten terugvallen tot minder dan 5%, binnen het jaar. Door regelmatig contact met verschillende soorten cyberaanvallen, binnen een veilige en gecontroleerde omgeving, doen medewerkers ervaring op, leren ze juiste reflexen aan en bouwen ze het nodige zelfvertrouwen op om op een juiste manier om te gaan met (mogelijke) gevaren.

Ervaar het zelf

Onze ervaring leert dat ondernemingen altijd denken dat ze beter voorbereid zijn dan ze werkelijk zijn. Vraag een demo en ervaar Security Awareness Training die echt werkt.