image

Onderzoek: 23% gebruikers opent phishingmails

dinsdag 14 april 2015, 08:39 door Redactie, 6 reacties

Maar liefst 23% van de mensen die een phishingmail ontvangt opent die ook en 11% klikt op e-mailbijlagen, een stijging ten opzichte van vorige jaren, zo laat beveiligingsbedrijf Verizon in een nieuw rapport weten. Het aantal mensen dat naar phishingsites gaat en daar wachtwoorden invult daalde wel.

Volgens de onderzoekers zou een phishingcampagne van 10 e-mails meer dan 90% kans hebben om ook daadwerkelijk een slachtoffer te maken. En dat kan snel gebeuren. Verizon stelt aan de hand van informatie van twee partners die phishingtests uitvoeren dat de helft van de gebruikers binnen 60 minuten de links in de phishingmails had geopend. De eerste phishingmail werd al na 1 minuut en 22 seconden geopend. Organisaties krijgen dan ook het advies om personeel beter te onderwijzen, e-mails te filteren en de mogelijkheden voor detectie en response te verbeteren.

Een ander advies dat bedrijven krijgen is om hun software te patchen. 99,9% van alle aangevallen kwetsbaarheden is namelijk al meer dan een jaar oud, wat aantoont dat organisaties nog steeds geen beveiligingsupdates installeren. Zo werden er vorig jaar nog aanvallen gedetecteerd op kwetsbaarheden die uit 1999 stammen. De meeste lekken die in 2014 werden aangevallen bleken uit 2007 te stammen.

Image

Reacties (6)
14-04-2015, 08:54 door moschinooo
Veel van de gebruikers bij onze klanten zijn zich er gewoon niet van bewust wat je allemaal kan aanrichten als je op een simpel linkje klikt. Bij nieuwe klanten bieden wij altijd een training aan, zodat de gebruiker wel bewust wordt van dit soort SPAM/phising en andere troep.

Kwestie van logisch nadenken en niet te veel Alberto Stegeman kijken ;-)...
14-04-2015, 09:56 door Anoniem
Die 23% is waarschijnlijk bij een van die 'kneuterige' phishingmails van 'banken', 'paypal', 'google', etc. waar ik er dagelijks een aantal van krijg.

Het percentage wordt namelijk veel hoger bij gerichte aanvallen.

Wij hebben tests uitgevoerd waarbij medewerkers aan hen persoonlijk gerichte mails kregen die zeer realistisch waren:
- vanaf een domein wat erg leek op een bekende track/trace-site
- met een opmaak die 1-op-1 die van PostNL was
- met het bericht dat er een pakje voor de medewerker was verzonden
- en of ze op de link wilden klikken voor de track/trace.
De e-mailadressen waren geconstrueerd op basis van LinkedIn-gegevens.

Zo'n mail krijgt een 'click-ratio' van meer dan 90%...

Dit geeft mijns inziens aan dat het werken aan awareness wel moet (tegen de 'eenvoudige'/'kneuterige' mails van Nigerianen, etc.), maar niet helpt tegen enigzins gerichte aanvallen. Daarvoor zul je toch andere maatregelen moeten treffen...
14-04-2015, 13:18 door Anoniem
Awareness gaat het inderdaad niet halen, een goed opgezette phishing- of trojan- mail is niet meer te onderscheiden van 'echte' mail, en dat is minstens ten dele de schuld van 'legitieme' bedrijven die hun mailings door derden laten verzorgen en dan ook nog verwachten dat gebruikers braaf de als pdf-bijlage verstuurde factuur openen.
14-04-2015, 13:43 door Zeurkool
Een stijging kan te maken hebben met het gestegen aantal senioren die een pc hebben aangeschaft.

Verder zien die phishingmails er steeds beter uit waarbij ik me kan voorstellen dat er mensen zijn die er intrappen. Vooral dus nieuwe gebruikers die de digitale wereld nog niet zo kennen.
Ik open nog geen link in een mail van familie of bekenden.. En daar moet de voorlichting op gebaseerd zijn.
14-04-2015, 16:45 door Anoniem
Waarom de arme gebruiker proberen op te voeden als je het probleem kunt elimineren?

De huidige software laat de gebruiker hopeloos in de steek. Zie: http://eccentric-authentication.org/blog/2014/11/30/spot-the-differences.html

Het kan beter!

Met een goede toepassing van DNSSEC, DANE en een browser die het eccentric-authentication protocol spreekt kan de browser zelfstandig controleren of een link correct is of een scammer.

Dit protocol biedt geen bescherming tegen malware die -- eenmaal binnen -- op zoek gaat naar de user's private keys. Daarvoor moeten we betere windowsen, osxen en androids bouwen.

De techniek is beschikbaar, nu gaat het om de wil om het toe te passen.

Zie: http://eccentric-authentication.org/Usable-Security.pdf
14-04-2015, 19:37 door Anoniem
Relevante eerdere artikelen:

58% - https://www.security.nl/posting/41314/Journalisten+klikken+massaal+op+phishingmail
37% - https://www.security.nl/posting/392852/Canadese+ambtenaren+klikken+massaal+tijdens+phishingtest
23% - https://www.security.nl/posting/24532/23%25+consumenten+trapt+in+spear-phishingaanvallen
14% - https://www.security.nl/posting/14583/

Laten we het erop houden dat hoe beter de aanval hoe meer er geklikt wordt.

Enige oplossingen:
Providers zouden simpelweg altijd exact moeten vermelden waar een link naar toegaat, ook op mobieltjes.
Of alleen plain text mail gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.