De toename aan het aantal phishingaanvallen is voor een groot deel te wijten aan een tekort van IT-personeel. Driekwart van de aanvallen richt zich op de IT-medewerkers zelf. Slechts 30 procent van alle medewerkers doorloopt up-to-date beveiligingstraining.
Tachtig procent van de respondenten ziet een toename in het aantal phishingpogingen binnen hun organisatie en 74 procent van hen zegt dat hun organisatie het afgelopen jaar slachtoffer was van een phishingaanval. Bijna driekwart stelt dat IT-medewerkers zelf het doelwit waren van phishingpogingen en dat 47 procent daarvan had toegehapt. Veertig procent stelde bovendien de afgelopen maand aan een phishingaanval te zijn blootgesteld. Deze verontrustende cijfers komen uit een onderzoek van beveiligingsplatform Ivanti onder meer dan 1.000 buitenlandse IT-professionals.
“De aanvallen worden steeds geavanceerder,” stelt Daniel Spicer, Security VP van Ivanti. “Dat is deels te wijten aan het feit dat zelfs voorafgaand aan de pandemie daders hele e-mailinboxen hadden verzameld om een hele collectie te verkrijgen van waaruit betere, overtuigender phishing e-mails konden worden gemaakt, waarmee slachtoffers met ransomware konden worden besmet. ”
Te weinig en overwerkt IT-personeel
De toename is deels te wijten aan het vele werken op afstand, maar vermoeidheid van personeel en tekort aan IT-talent speelden ook een rol. Volgens het onderzoek zijn phishingaanvallen succesvoller wanneer ze zich richten op mobiele endpoints in plaats van op servers. Dat heeft mobiele datalekken groter en uiteindelijk duurder gemaakt.
“Veel van de traditionele dingen die we gebruiken tegen phishing, werken tegenwoordig niet zo goed,” legt Spicer uit. “Gebruikerstraining is niet zo effectief tegen geavanceerde phishingaanvallen. Een link bekijken voor erop te klikken is bijvoorbeeld niet meer zo’n goede methode, omdat de daders hun links beter maskeren.”
Bovendien is overwerkt IT-personeel achterop geraakt bij dergelijke educatieve inspanningen, volgens het onderzoek: 96 procent van de respondenten zei dat hun organisatie programma’s heeft om werknemers te leren phishing en ransomware te vermijden, maar slechts 30 procent van hen zei dat meer dan 80 procent van hun werknemers de training had voltooid.