De traditionele inbreker heeft het niet makkelijk in de corona pandemie. Waar we vroeger vaak weg van huis waren, speelt ons leven in en na dit coronatijdperk zich veelal in en rond het huis af. Thuiswerken is de norm en een activiteit buitenshuis is een zeldzaamheid. En dat zorgt voor een kwart minder inbraken, een positieve statistiek. Helaas zitten criminelen niet stil en worden ook zij steeds innovatiever. Steeds meer verschuift het speelveld zich van het traditionele fysieke inbreken naar digitaal inbreken. Vooral voor midden grote bedrijven is dit een groeiend probleem. Denk hierbij aan zorginstellingen, retail organisaties, nutsbedrijven en lokale overheden.

Maar hoe kan het dat er nog zoveel digitaal wordt ingebroken? We kennen allemaal de teksten ‘Vermijd het openen van bijlages van onbekenden, klik niet op verdachte linkjes en voer niet zo maar je gebruikersnaam en wachtwoord in’. En daarnaast heeft iedere werknemer wel een zekere vorm van security awareness training gehad. Maar toch blijkt het niet genoeg om phishingmails te herkennen. Waarom niet? Dit leggen we uit aan de hand van de volgende vijf punten:

1. Cybercriminelen worden steeds slimmer
Misschien een open deur, maar cybercriminelen worden steeds geraffineerder. Vroeger kon je een phishingmail nog herkennen aan slecht taalgebruik, maar tegenwoordig moet je toch op andere zaken letten. Een klik op een verkeerde link of het invullen van je gegevens is snel gebeurd. Niet voor niets zie je bijna dagelijks op nu.nl of op de NOS dat er weer een datalek is ontstaan. Een datalek is prima voeding voor iedere kwaadwillende op het internet. Cybercriminelen maken dankbaar gebruik van iedere vorm van gelekte data en creëren daarmee een voedingsbodem voor verdere aanvallen. Phishing is voor hun de perfecte manier om op grote schaal data buit te maken.

2. Social media gebruik neemt toe
Social media wordt steeds meer gebruikt. We gebruiken tegenwoordig naast WhatsApp, Facebook en Instagram ook LinkedIn, TikTok, Twitter en Pinterest. Een geweldige voedingsbodem voor kwaadwillenden. Cybercriminelen gebruiken meerdere informatiebronnen om hun aanval zo goed mogelijk voor te bereiden. Ze halen je naam en contacten van Facebook, je e-mailadres en telefoonnummer van LinkedIn, je laatste foto’s van je Instagram en weten door Pinterest van welk type interieur je houdt. Ieder stukje informatie wat jij op het internet achterlaat is voor hen te gebruiken. En dat merk je ook in het bedrijfsleven. Aanvallen op bedrijven waar gebruik wordt gemaakt van privé-informatie van werknemers komen steeds vaker voor. Ze doen zich bijvoorbeeld voor als de nieuwe collega die net is begonnen en zijn inloggegevens nog niet heeft. Of als de CEO en ze vragen om een groot bedrag over te maken naar een rekening. Dit alles natuurlijk onder tijdsdruk, waardoor een werknemer eerder geneigd is deze actie uit te voeren.

3. Security awareness wordt vaak ingezet als éénmalige oefening
Cybercriminelen zitten niet stil. Ze gebruiken een breed scala aan tools om gegevens bij medewerkers te ontfutselen. Medewerkers van organisaties hebben er dan ook baat bij om continu gewezen te worden op al deze nieuwe gevaren. Helaas gebruiken organisaties security awareness vaak als éénmalige oefening of bieden ze dit aan via e-learning. Maar security awareness leent zich niet om in één keer te leren. Het zijn juist de doorlopende programma’s die het verschil maken. Het doel van doorlopende campagnes is namelijk om kennis over cyber aanvallen bij te brengen, te borgen en ervoor te zorgen dat medewerkers hier niet intrappen. Naast het continue leren is ook het meten voor de organisatie van belang. Zonder de effectiviteit van de campagnes te meten, is bijsturen en verbeteren namelijk niet goed mogelijk.

4. Iedere medewerker volgt dezelfde opleiding
Veel bedrijven vinden dat iedereen dezelfde opleiding moet volgen, maar ze maken daarin een grote denkfout. Een keeper van een voetbalelftal doet toch ook andere oefeningen dan een spits? Natuurlijk is een security awareness programma niet voor iedere medewerker hetzelfde. Het is juist belangrijk om de training af te stemmen op de specifieke doelgroep. Een financiële afdeling moet bijvoorbeeld getraind worden op het herkennen van frauduleuze transacties, terwijl een medewerker van de receptie zijn of haar aandacht moet hebben bij het herkennen van aanvallen via de telefoon, het zogenaamde Vishing. Eén ding hebben medewerkers echter gemeen: e-mail. Elke medewerker mailt en daarom is een phishing simulatie één van de weinige tools die je kan inzetten voor al jouw medewerkers.

5. Phishingmail simulaties worden te weinig ingezet
Oefening baart kunst is een vaak gebruikt spreekwoord. Alleen wat gaat je oefenen op het gebied van security awareness? Hoe kan je jouw medewerkers nu het beste trainen op het herkennen van een phishingmail? Simpel, door ze periodiek een nep phishingmail te sturen. Train jezelf en jouw medewerkers op het herkennen van een phishingmail. Een phishing simulatie is dan ook de perfecte tool om jouw organisatie op scherp te zetten. Helaas wordt deze methode door veel organisaties nog te weinig ingezet. Wil je meer weten over een phishing simulatie en hoe dit jouw organisatie kan helpen? Klik dan hier.

Veilig Bewust programma
Met ons Veilig Bewust platform helpen wij organisaties hun awareness programma vorm te geven. Door verschillende producten over tijd in te zetten en hierin flexibel te zijn, trainen wij organisaties om zich beter te beschermen tegen cybercriminelen. Continue aandacht voor security awareness.

Wil je meer weten over ons Veilig Bewust programma? Of ben je benieuwd hoe wij jouw organisatie bewuster maken van de gevaren online? Onze security awareness specialist Jorrit de Ruiter helpt je graag. Maak nu een afspraak voor een demonstratie of een vrijblijvend gesprek. Luister je liever eerst? Op Youtube is ons webinar ‘Security awareness hét focuspunt voor organisaties in 2022’ terug te kijken.