Het merendeel van de organisaties (67 procent) is niet bestand tegen een aanval van phishingmail, blijkt uit het jaarlijks terugkerende onderzoek van adviesbureau voor de digitale wereld LBVD April Awareness.
16 procent van de medewerkers die de phisingmail ontving, klikte op de link. Daarvan vulde 56 procent hun gebruikersnaam en wachtwoord in.
Phisingmail
In maart 2016 kregen alle medewerkers van de organisaties die meededen aan de April Awareness phishingmail toegestuurd. De organisaties kozen vooraf uit twee scenario’s, waarmee ze hun medewerkers ‘aan de haak wilden slaan’. Medewerkers hadden de keuze wel of niet te klikken op de in de mail verwerkte phishinglink. Klikkers kwamen eerst op een inlogpagina en daarna op een landingspagina terecht. Op deze pagina ontdekten ze dat ze slachtoffer waren van een phishingsimulatie. Ook de ICT’er lijkt een zwakke schakel. Kwetsbaarheden in de browser zijn voor de medewerker niet altijd zichtbaar. Hij vertrouwt op de software en de beheerder van zijn systeem. Die beheerder moet zich bewust zijn van zijn rol in de veiligheidsketen en zorgen voor een zo min mogelijk kwetsbaar systeem.
> Lees ook Iedereen wordt ooit slachtoffer van cybercrime
> Lees ook Veilig ondernemen: 10 tips
Oud
Ook bleek dat de verouderde Windows XP (4 procent) op nummer vier staat van de gebruikte besturingssystemen. Internet Explorer 10 (16 procent) en 8 (5 procent) staan op respectievelijk nummer twee en vier van meest gebruikte browsers. Shockwave Flash 20 (29 procent), 21 (17 procent) en 12 (9 procent) staan op positie twee, drie en vijf van meest voorkomende browser plugins. Dit betekent dat bij meer dan de helft (55 procent) van de ‘klikkers’ Shockwave Flash draaide op het moment van klikken.
Verouderde besturingssystemen, browsers en browser plugins zijn niet acceptabel voor hedendaagse organisaties, omdat deze vaak niet meer worden voorzien van beveiligingsupdates. Hierdoor bevatten ze vaak kwetsbaarheden die door cybercriminelen misbruikt kunnen worden. De door LBVD aangetroffen kwetsbaarheden zijn publiekelijk bekend en variëren van kritisch tot verwaarloosbaar.
Authentificatie
Ga versneld over op tweefactor authenticatie en maak medewerkers meer bewust te maken van phishing en andere internet-gevaren, luidt het advies van LBVD. “Daarnaast moeten organisaties browsers met hun plugins beter up-to-date houden en stoppen met het gebruik van software die bekendstaat als onveilig, zoals Shockwave Flash en Windows XP.”