©Freepik
Phishing neemt toe maar die irritante anti-phising-training help nauwelijks
Phishing neemt steeds gewiekstere vormen aan en de onverwachte 'trainingen' die veel bedrijven en scholen uitvoeren om ons tegen phishing te wapenen, blijken amper zin te hebben of zelfs averechts te werken.
Het meest bekende voorbeeld van domme phishing is het mailtje van een Nigeriaanse prins die veel geld belooft. Daar trappen we niet meer in, maar in gewiekstere phishing wel. Vorig jaar waren er in Nederland alweer meer succesvolle phishing-trucs. En ook onder bedrijven nemen de problemen, meldt Verizon in zijn jaarlijkse cyber-analyse. Vorig jaar was phishing de aanleiding van 14 procent van de succesvolle aanvallen op bedrijven, drie keer zoveel als het jaar ervoor.
Je zou dan denken: we moeten mensen nog beter wapenen en alert maken op geraffineerde phishing-aanvallen. Maar dat lijkt ook niet werken. IT-afdelingen van scholen en bedrijven proberen mensen op scherp te zetten met nep-phishing-mails, en die worden dus al bijna net zo goed (en vreemd) als echte phishing. The Wallstreet Journal noemt voorbeelden als een alarmerend mailtje over een ontsnapte puppy op het parkeerterrein of een bonus voor werknemers – logisch dat je op zo'n mailtje klikt.
En toch lijkt dat weinig zin te hebben, blijkt uit verschillende onderzoeken. Onderzoekers van universiteit ETH Zurich concludeerden in 2021 al dat het veelvuldig versturen van nep-phishing als training er niet voor zorgt dat mensen er ook alerter op worden. In sommige gevallen werkt het zelfs averechts, omdat mensen regelmatig op 'phishing' klikken, maar dan alleen een waarschuwing krijgen.
'Niet effectief en efficiënt'
Recenter onderzoek van de University of California, San Diego wijst op een succesdaling van slechts 2 procent bij phising na intensieve training van werknemers. "Dit is gewoon een ineffectieve en inefficiënte manier om gebruikers wijzer te maken", aldus onderzoeker Grant Ho.
Helaas hebben de onderzoekers geen alternatief om mensen bewuster te maken van de gevaren van phishing. Veel bedrijven blijven daarom maar trainingen doen, maar moeten daarvoor naar steeds extremere onderwerp-zinnetjes voor hun nep-mailtjes grijpen. Het gekste voorbeeld: afgelopen zomer stuurde de IT-afdeling van University of California zijn personeel en studenten een mailtje over een ebola-uitbraak. Binnen de kortste keren ontstond paniek, die de universiteit moest sussen. Daarmee leek de nep-mail van de IT-afdeling geslaagd, maar of mensen er alerter op phishing door worden…
Meer nieuws over phishing en mis niets met onze Bright-app.