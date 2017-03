Het is nog steeds veel te gemakkelijk om werknemers erin te luizen met een phishingaanval. Dat stelde beveiligingsbedrijf MWR Infosecurity vast. Het bedrijf simuleerde 100 phishingcampagnes bij 48 grote bedrijven, in totaal goed voor één miljoen gebruikers. De resultaten zijn ontluisterend: als een phisher zijn strategie goed heeft uitgekiend, kan hij ruim één op de tien overhalen om niet alleen zijn gebruikersnaam en wachtwoord in te voeren, maar eveneens om een bestand te downloaden.

Een bedrijfsnetwerk is maar zo sterk als zijn zwakste schakel. Indien een hacker erin slaagt om ransomware op een enkel toestel te krijgen binnen een bedrijf, kan dat voldoende zijn om het hele netwerk op de knieën te krijgen. Bij de grote bedrijven uit de studie zou dat neerkomen op een fikse rekening aan losgeld.

Risico’s

Uit het onderzoek blijkt dat de risico’s het kleinst zijn bij het ontvangen van een factuur. Voldoende mensen blijken een kwaadwillige e-mail met vervalste factuur te herkennen, zelfs wanneer die van een ander e-mailadres binnen het bedrijf komt. Dat betekent voornamelijk dat gebruikers niet snel geneigd zijn om een verdacht bestand te downloaden dat rechtstreeks in hun inbox terechtkomt. 5 op 1000 werknemers openden uiteindelijk het bestand.

Wanneer het bestand echter wordt aangereikt via een externe pagina, liggen de kaarten anders. Wie uitgenodigd wordt door zijn IT-helpdesk om zijn gegevens na te kijken voor de migratie naar een andere e-maildienst (het bedrijf zou zogezegd overstappen), ziet er blijkbaar geen graten in om zijn gegevens te verstrekken en een bestand te downloaden. 79 op 1000 werknemers openden een bestand.

Wanneer de HR-afdeling een beoordelingssysteem rondstuurt, strandt het aantal gedupeerden op 94 werknemers die een verdacht bestand openden. Voor een kortingsbon waren dat 104 werknemers. De winnaar was echter een vriendschapsverzoek voor een sociaal medium. 99 werknemers openden uiteindelijk een verdacht bestand. Het cijfer ligt lager dan bij de kortingsbon, maar het aantal mensen dat op de link naar de externe webpagina klikte, lag hier het hoogst. Vaak is dat voor een gerichte hack voldoende om een computer te injecteren met malware.

Foute naam

MWR laat verder optekenen dat slechts drie procent van alle gecontacteerde werknemers de (gesimuleerde) aanvallen rapporteerde. Niet alleen zijn werknemers dus te weinig bezig met veiligheidscontroles wanneer ze e-mails ontvangen, ze laten eveneens na om anderen op de hoogte te brengen.

Het viel MWR overigens op dat er zelfs flagrante fouten in een e-mail of op een webpagina mogen staan, zonder dat deze een belletje doen rinkelen. Zo kwam het in de simulaties regelmatig voor dat een e-mailadres slechts vaagweg leek op het officiële domein van het bedrijf, of werd de naam van het bedrijf verkeerd geschreven.

Luie wachtwoorden

Ten slotte merkte MWR op dat wachtwoordhygiëne nog te vaak wordt achterwege gelaten. 60 procent van de gebruikers volgde exact de minimumvereisten die een bedrijf vooropzette. Dat betekent dat gebruikers slechts het absolute minimum doen om een veilig wachtwoord in te stellen. Bovendien bevatte 13,6 procent van alle wachtwoorden een cijfercombinatie tussen 1940 en 2040. Daarvan eindigde maar liefst de helft op 2016, het jaar waarin het wachtwoord werd aangemaakt.

