2021 Phishing Intelligence Report: Dit was phishing in 2021

Coronacrisis en overheidscommunicatie duwen aantal phishingaanvallen verder omhoog

Leuven, 15 december 2021 – 2021 was alweer een bewogen jaar en dat toont zich onder meer in de phishingstatistieken. Phished ging opnieuw op onderzoek uit: door welke berichten laten de meeste mensen zich vangen? Hoe gingen ze om met phishingberichten? Hoe verhoudt de Belg zich ten opzichte van een globaal gemiddelde? Vast staat dat mensen nood hebben aan doorgedreven en herhaalde opleidingen om tegen phishing gewapend te blijven.

  • 1 op 4 Belgen vult persoonlijke informatie in op nagemaakte landingspagina
  • ‘Vishing’ en ‘smishing’ zullen volgend jaar nog grotere impact hebben
  • Ongewenste kalenderuitnodigingen en fraude op basis van QR-codes worden aandachtspunt in 2022
  • Volledig rapport valt onderaan dit persbericht te raadplegen

Phishing blijft een hot topic dat nog steeds aan kracht wint. Dat blijkt uit het 2021 Phishing Intelligence Report van Phished, waarin de gegevens van 100 miljoen phishing-simulaties wereldwijd worden geanalyseerd. De coronacrisis heeft daar uiteraard een belangrijk aandeel in, maar het gaat verder dan dat: phishing wordt simpelweg steeds overtuigender, waardoor meer mensen moeite hebben om deze berichten te onderscheiden van legitieme communicatie.

Overheidscommunicatie
In 2020 was de wereldwijde coronacrisis de motor van de grote toename aan phishingaanvallen. In 2021 heeft die trend zich duidelijk doorgezet: “Dat heeft voornamelijk te maken met de manier waarop de verschillende overheden communiceerden,” stelt Arnout Van de Meulebroucke, CEO van cybersecurity awareness-expert Phished. “Ze maakten het voorbije jaar opvallend vaker gebruik van e-mail en SMS-berichten om de bevolking op de hoogte te brengen van onder meer nieuwe maatregelen en vaccinaties. Twee dragers die uitermate vatbaar zijn voor phishing.”

“Overheden maakten het voorbije jaar opvallend vaker gebruik van e-mail en SMS-berichten, twee dragers die uitermate vatbaar zijn voor phishing.” - Arnout Van de Meulebroucke, CEO Phished.

In 2021 werd 23% van alle Belgische werknemers gephisht door het geautomatiseerde Phished-algoritme. Deze berichten leidden naar veilige landingspagina’s met de boodschap dat ze in de val waren gelopen. Wanneer zo’n landingspagina evenwel bestond uit velden om persoonlijke informatie in te vullen, zoals een nagemaakte loginpagina, dan vulde bijna 25% gegevens in.

Verdachte e-mailbijlagen
“Hoewel deze cijfers al wijzen op een stelselmatige problematiek onder de Belgische beroepsbevolking, maak ik me nog het meest zorgen over het feit dat maar liefst 7% van alle werknemers een verdachte e-mailbijlage opent. Terwijl er bij phishing – meestal – nog een extra stap volgt voor de echte schade wordt berokkend, kan een malafide bijlage meteen zware gevolgen hebben,” benadrukt Van de Meulebroucke.

Belgen laten zich wel iets minder vangen aan phishing na het openen van frauduleuze mails dan het wereldwijde gemiddelde. Globaal ligt dit op 53%, terwijl de Belg eindigt op 47%. “Dat komt omdat de Belg minder dan gemiddeld e-mails opent op zijn of haar smartphone, waar het moeilijker is om de herkomst van een potentiële phishingmail te herkennen,” legt Van de Meulebroucke uit.

Publieke sectoren bleken ook in 2021 kwetsbaarder dan privésectoren. Gemiddeld werden publieke medewerkers 5% vaker gephisht – een eind boven het globale gemiddelde van 3%.

Door welke berichten we ons vangen?
Wie phishing zegt, denkt vaak aan e-mails die vragen om een financiële transactie uit te voeren. Hoewel deze berichten wel degelijk vele slachtoffers maken, zien we dit soort campagnes minder vaak voorbijkomen dan berichten over HR, de distributieketen, IT, Office en managementgerelateerde berichten.

De volledige lijst voor België:

  1. COVID-19 (thuiswerk, testing, vaccinatie)
  2. HR-gerelateerd (boetes, ontslag, verlof, gevoelige inhoud)
  3. Supplies (leveringen, Amazon, bol.com, Coolblue)
  4. IT-gerelateerd (wachtwoorden, VPN, IT-ondersteuning)
  5. Office-gerelateerd (Microsoft, Gmail, Sharepoint)
  6. Management (spear phishing, CEO-fraude)
  7. Finance-gerelateerd (invoices)
  8. Nieuws

Opletten in 2022
De voorbije weken maakten reeds duidelijk dat coronagerelateerde onderwerpen ook in de wereld van phishing nog niet aan het einde van hun cyclus zitten. Zolang het virus door de maatschappij blijft razen, is de verwachting dat phishingberichten over dit topic dat eveneens zullen doen.

“Uiteraard zien we daarnaast nog enkele andere ‘nieuwe’ tendensen de kop opsteken,” zegt Van de Meulebroucke. "Zo zullen ‘deepfakes’, nabootsingen van gekende personen, ervoor zorgen dat voice phishing (‘vishing’) overtuigender wordt en nog veel meer slachtoffers kan maken. Smishing zal, onder impuls van overheidscommunicatie en SMSjes van pakketdiensten, eveneens zijn opmars verderzetten.”

“Ongewenste kalenderuitnodigingen, waarbij hackers je agenda volspammen met meeting invites en fraude op basis van QR-codes, zullen ons het komende jaar steeds meer teisteren. Tot slot mogen we niet vergeten dat de opkomst van ‘bitcoin mules’ phishingaanvallers nog meer helpen verdwijnen in de anonimiteit, waardoor hackers steeds moeilijker te vatten zijn.”

“Ongewenste kalenderuitnodigingen en fraude op basis van QR-codes zullen ons het komende jaar steeds meer teisteren." - Arnout Van de Meulebroucke, CEO Phished.

Maar één oplossing
De opdracht voor komend jaar is duidelijk: organisaties moeten sterk inzetten op awareness bij hun medewerkers. Phishing kent de laatste jaren een exponentiële groei en zonder ingrijpende tegenbeweging zullen deze campagnes steeds meer slachtoffers maken, met grote verliezen tot gevolg. 

Arnout Van de Meulebroucke besluit: “Een eenmalige workshop helpt niet op vlak van phishing. Studies tonen aan dat zelfs een doorgedreven (eenmalige) opleiding na maximaal zes maanden volledig vergeten is. Mensen hebben nood aan doorgedreven herhaalde opleidingen. Alleen zo blijft de boodschap hangen en zullen ze niet alleen phishingmails kunnen herkennen, maar ook hun koelbloedigheid bewaren indien ze toch ingaan op een malafide bericht.”

Voor het volledige rapport kunt u terecht op volgende URL: https://go.phished.io/rapport-phishing-vulnerability-2021, of u kunt het hieronder downloaden.

BENL_2021 Phishing Intelligence Report

PDF - 2.5 Mb
Arnout Van de Meulebroucke, CEO van cybersecurity awareness-expert Phished
Arnout Van de Meulebroucke, CEO van cybersecurity awareness-expert Phished

Over Phished
Phished zet in op de menselijke kant van cyberveiligheid. De AI-gedreven trainingssoftware koppelt gepersonaliseerde en realistische phishingsimulaties aan het opleidingstraject van de Phished Academy. Op deze manier leren medewerkers correct omgaan met online gevaren. Zo zijn werknemers voorbereid op cyberaanvallen, waardoor gegevens, activa en de reputatie van organisaties beter beschermd zijn.

Contact
Jens De Wit
jens@phished.io
+32 494 58 53 79

 

Persberichten in je mailbox

Door op "Inschrijven" te klikken, bevestig ik dat ik het Privacybeleid gelezen heb en ermee akkoord ga.

Over Evoke

Scoren in de pers boost sales en Evoke helpt bedrijven hierbij. Samen met de klant halen we nieuws uit hun onderneming om dit onder de aandacht van de media te brengen. In de vorm van een persbericht, klantengetuigenis of opiniestuk, of via een interview of persconferentie, verstrekken we het nieuws duidelijk en gebruiksklaar aan de juiste journalist(en). Zo leest of leert het brede publiek in een geloofwaardig kader over onze klanten in de krant, op de radio of op televisie.

Neem contact op met

Tour & Taxis Havenlaan 86C bus 15 1000 Brussel

+32 (0)2 740 43 32

info@evokepr.be

www.evokepr.be