In 2021 kreeg maar liefts 75% van de bedrijven over de hele wereld te maken met een phishing-aanval! Phishing blijft daarmee een van de grootste gevaren voor de veiligheid en het welzijn van uw bedrijf, omdat het de belangrijkste methode is om allerlei soorten cyberaanvallen uit te voeren.
Eén phishing-e-mail kan er verantwoordelijk voor zijn dat een bedrijf bezwijkt onder ransomware en te maken krijgt met kostbare downtime en reputatieschade. Het kan er ook toe leiden dat een gebruiker onbewust de inloggegevens van een e-mailaccount van het bedrijf overhandigt, die de hacker vervolgens gebruikt om gerichte aanvallen naar klanten te sturen.
Phishing maakt gebruik van menselijke fouten, en sommige phishing-e-mails gebruiken geraffineerde tactieken om de ontvanger ertoe te brengen om informatie prijs te geven of een netwerk met malware te infecteren.
Mobiele phishing bedreigingen zijn in 2021 explosief gestegen met 161%.
De beste beveiliging tegen de voortdurende risico’s van phishing zijn :
- E-mailfiltering
- DNS-filtering
- Next-generation antivirus & anti-malware
- Voortdurende bewustmakingstraining van werknemers op het gebied van cyberbeveiliging
Om uw werknemers goed te trainen en ervoor te zorgen dat uw IT-beveiliging wordt bijgewerkt om de nieuwste bedreigingen het hoofd te bieden, moet u weten welke nieuwe phishing-gevaren er op u afkomen.
Hier volgen de nieuwste phishing-trends waarvoor u moet oppassen.
1. Phishing wordt steeds vaker via SMS verzonden
Minder mensen zijn wantrouwig tegenover SMS-berichten dan tegenover onverwachte e-mailberichten. De meeste phishing-trainingen zijn meestal gericht op de e-mailvorm van phishing, omdat die altijd al het meest voorkwam.
Maar cybercriminelen profiteren nu van de algemene beschikbaarheid van mobiele telefoonnummers en maken gebruik van SMS-berichten om phishingaanvallen uit te voeren. Deze vorm van phishing (soms ook wel "smishing" genoemd) neemt enorm in omvang toe.
Uw bedrijf phishing-vrij?
De tactieken voor phishing worden steeds verfijnder waardoor het vaak erg moeilijk is om verdachte berichten te herkennen.
Lees ons eBook en leer phishing herkennen.
Mensen ontvangen meer SMS-berichten dan vroeger, grotendeels doordat detailhandelaren en dienstverlenende bedrijven hun SMS-berichten pushen voor bijvoorbeeld verkoop- en leveringsberichten.
Dit maakt het voor phishing via SMS nog gemakkelijker om te doen alsof het om een verzendbericht gaat en een gebruiker op een verkorte URL te laten klikken.
2. Het aantal gevaarlijke e-mails neemt toe
Ransomware is de afgelopen jaren een steeds grotere bedreiging geworden, vooral omdat het veel geld oplevert voor de criminele groepen die cyberaanvallen uitvoeren. Een nieuwe, opkomende aanvalsvorm begint behoorlijk lucratief te worden en neemt dus ook toe.
Business e-mail compromise (BEC) is in opkomst en wordt door aanvallers gebruikt om geld te verdienen aan oplichting met bijvoorbeeld cadeaubonnen of valse overschrijvingsverzoeken.
Wat BEC zo gevaarlijk (en lucratief) maakt, is dat wanneer een crimineel toegang krijgt tot een zakelijke e-mailaccount, hij zeer overtuigende phishing-berichten kan sturen naar werknemers, klanten en verkopers van dat bedrijf. De ontvangers zullen het bekende e-mailadres onmiddellijk vertrouwen, waardoor deze e-mails een krachtig wapen zijn voor cybercriminelen.
3. Kleine en middelgrote bedrijven zijn steeds vaker het doelwit van spear phishing
Er bestaat niet zoiets als te klein zijn om te worden aangevallen door een hacker. Kleinere bedrijven zijn vaak het doelwit van cyberaanvallen omdat ze over het algemeen minder IT-beveiliging hebben dan grotere bedrijven.
43% van alle inbreuken op gegevens is gericht op kleine en middelgrote bedrijven. En 40% van de kleine bedrijven die het slachtoffer worden van een aanval, ondervindt ten minste acht uur downtime als gevolg daarvan.
Spear-phishing is een gevaarlijkere vorm van phishing omdat het zeer doelgericht is en dus niet algemeen. Het is het type dat wordt ingezet bij een aanval met BEC.
Vroeger werd spear-phishing gebruikt voor grotere bedrijven, omdat het meer tijd kost om een gerichte en op maat gemaakte aanval op te zetten. Maar nu grote criminele groepen en door bepaalde landen gesteunde hackers hun aanvallen nog efficiënter maken, kunnen ze als het ware iedereen aanvallen.
Het gevolg is dat kleine bedrijven meer op maat gerichte phishing-aanvallen krijgen die voor hun gebruikers moeilijk als oplichting te herkennen zijn.
4. Het gebruik van "initial access brokers" om aanvallen effectiever te maken
We hebben het net gehad over het feit dat grote criminele groepen hun aanvallen voortdurend professionaliseren om ze nog effectiever te maken. Zij behandelen cyberaanvallen als een business-model en werken er voortdurend aan om ze nog winstgevender te maken.
Een van de manieren waarop ze dit doen is door gebruik te maken van externe specialisten die ‘Initial Access Brokers’ worden genoemd. Dit is een specifiek soort hacker die zich alleen richt op het verkrijgen van de eerste inbraak in een netwerk of bedrijfsaccount.
Het toenemende gebruik van deze experts maakt phishing-aanvallen nog gevaarlijker en moeilijker op te sporen voor gebruikers.
5. Bedrijfsimitatie wordt steeds vaker gebruikt
Nu gebruikers steeds voorzichtiger worden met e-mails van onbekende afzenders, maken phishing-aanvallers steeds vaker gebruik van bedrijfsimitatie. Hierbij ziet een-e-mail eruit als een legitieme e-mail van een bedrijf dat de gebruiker kent of waarmee hij zelfs zaken doet.
Amazon is een veelvoorkomend doelwit van bedrijfsimitatie, maar het gebeurt ook bij kleinere bedrijven. Er zijn bijvoorbeeld gevallen geweest waarin klantenlijsten van hostingbedrijven werden gekraakt en die bedrijven e-mails verstuurden waarin ze zich voordeden als het hostingbedrijf en de gebruikers vroegen in te loggen op een account om een dringend probleem op te lossen.
Omdat bij dergelijke aanvallen vaker gebruik wordt gemaakt van bedrijfsimitaties, moeten gebruikers alle e-mails wantrouwen, niet alleen die van onbekende afzenders. Maak uw medewerkers bewust van securityrisico’s door ze continu te trainen op het herkennen van cyberdreigingen.
Is uw bedrijf voldoende beschermd tegen phishingaanvallen?
Het is belangrijk om een gelaagde aanpak te gebruiken als het gaat om de verdediging tegen een van de grootste gevaren voor het welbevinden van uw bedrijf. Ga aan de slag met een Cybersecurity-audit om uw huidige beveiligingsbeleid te evalueren en manieren te detecteren om dit te verbeteren.
Zorgen over uw IT-security?
Cheops helpt u graag met een security assessment en een concreet plan van aanpak.