F-Secure beschikt sinds dit jaar over extra expertise op het gebied van phishing en cybersecurity-onderzoek. Het bedrijf nam eerder namelijk voor 80 miljoen pond MWR InfoSecurity over,wat neerkomt op zo’n 89 miljoen euro. Voor ons reden om eens te volgen wanneer ze de eerste gezamenlijke resultaten publiekelijk maken. Die zijn inmiddels realiteit, met een onderzoek naar spam. Tijd voor een update, die Behavioural Science Lead Adam Sheenan van MWR InfoSecurity ons gaf.
Bij de presentatie van het rapport gaf het bedrijf aan dat de eerste e-mail die spam bevatte 40 jaar geleden verstuurd werd, wat de houdbaarheid van de aanvalsmethode aantoont. F-Secure baseert dit op een uitspraak van “the father of spam” Gary Turk, die claimt dat hij in 1978 een massamail stuurde naar 400 geadresseerden van ARPANET. Hij nodigde de gebruikers van de vroege versie van het internet uit voor een demo van een nieuwe computer. Spam was daarmee niet direct een fenomeen, maar inmiddels is dat wel anders.
F-Secure heeft de ontwikkelingen van de kwaadaardige boodschappen met interesse gevolgd. Het keek niet alleen naar het hoe en wat, maar ook naar de nummers. Dit om aan te tonen dat spam 40 jaar na dato nog steeds relevant is. Volgens het securitybedrijf kiezen cybercriminelen nu nog steeds het meest voor de aanvalsmethode, om malware de wereld in te sturen.
Nederlander trapt vaker in spam
Om deze stelling te onderbouwen stelde F-Secure de klikratio’s vast. Deze cijfers hebben betrekking op zowel het afgelopen halfjaar, als een wat langere periode. Daarnaast zijn de data onderverdeeld in verschillende soorten categorieën. Dan hebben we het bijvoorbeeld over regio’s, industrieën en de omvang van bedrijven.
De algemene conclusie naar aanleiding van het onderzoek is dat ontvangers vaker in spam-mails trappen. In de tweede helft van 2017 klikte 13,4 procent door op spamberichten. In 2018 is dat percentage al 14,2. Van de onderzochte spam-monsters bestond 46 procent uit datingscams en 23 procent uit e-mailberichten met kwaadaardige bijlagen. Daarnaast bevat 31 procent van de berichten links naar kwaadaardige websites.
Naast deze algemene cijfers maakte F-Secure niet heel veel data publiekelijk. Daarom vroegen we Sheenan om wat extra details. Zo deelde hij met ons dat de gemiddelde klikratio in Nederland over de afgelopen vijf jaar uitkomt op 15,3 procent. Dit is meer dan de categorie “het Verenigd Koninkrijk en de rest van de EU”, die een gemiddelde van 11,9 procent kent. Ook klikken Nederlanders vaker op spam dan Aziaten en Amerikanen, waar respectievelijke de percentages 14,1 en 14,6 gelden. Afrika doet het wel beduidend slechter met 28,8 procent.
Onderscheidende factoren
Een exacte reden voor waarom juist de Nederlander vaker in spam trapt, draagt F-Secure niet aan. Wel is er een algemene conclusie waarom de klikpercentages de afgelopen periode in de lift zitten. Zo stijgt de kans op het openen van een e-mail met twaalf procent als het bericht afkomstig lijkt van een bekende. Ook vergroot een onderwerpregel zonder fouten de slagingskans (4,5 procent), al betreft het een minder bepalend onderdeel. Bovendien zijn phishing-mails die urgentie suggereren effectiever.
Sheenan voegt hier nog aan toe dat de kwestie kwaliteit of kwantiteit niet per se voor spam geldt. Het is een kwestie van een kwalitatieve mail opstellen, om die vervolgens te sturen naar een groot aantal ontvangers. In principe is het dan alleen de vraag wat kwaliteit inhoudt. Voor de verspreiders van de spam geldt maar één ding: het slachtoffer misleiden. Als dat lukt dan kunnen we spreken over een kwalitatief hoge aanval. Daarom kunnen we stellen dat het toepassen van klikratio-verhogende technieken de kwaliteit laten toenemen.
Tegenover het groeiende succes van spam staat het feit dat andere methodes minder effectief worden. Althans, dat stelt F-Secure. Het bedrijf verwijst hierbij naar Adobe Flash, de plug-in die door steeds meer websites geblokkeerd wordt. Reden hiervoor is dat Flash gezien wordt als minder veilig, in vergelijking met alternatieven als HTML 5. De afname van Flash zorgt er volgens F-Secure voor dat kwaadwillenden minder snel geneigd zijn er misbruik van te maken. Hierdoor gaan ze op zoek naar andere methodes en komen ze uit bij spam.
Uitzondering
De genoemde ontwikkelingen lijken zo op het eerste gezicht vooral nadelig uit te pakken. Toch is er een categorie die minder vaak in spam trapt, namelijk small and medium enterprises (SME’s). In de tweede helft van 2017 kenden zij een klikratio van 20,4 procent, een jaar later komt die uit op 6,9 procent. F-Secure wijst erop dat het verschil voort zou kunnen komen uit de relatief weinig datapunten. Eerst werden nog 4.260 samples geanalyseerd, tegenover de 689 van nu. Deze percentages zijn overigens met name gebaseerd op grotere corporaties.
Overname maakt meer mogelijk
De onderzoeksresultaten zijn zoals gezegd deels het resultaat van de overname eerder dit jaar. F-Secure kocht hierdoor niet alleen een een partij die beschikt over een aantal security-diensten, maar beschikt zo ook over een aantal nieuwe cybersecurity-onderzoekers. Het is een voordeel dat MWR InfoSecurity beschikt over ervaring in vier continenten, al wordt het wereldwijde bereik niet ineens fors uitgebreid. Beide partijen vestigen zich namelijk in Europa.
Wel komen er voor F-Secure wat meer mogelijkheden voor het enterprise-segment bij. Het Finse bedrijf richt zich van oorsprong vooral op het midden- en kleinbedrijf, terwijl MWR InfoSecurity wat meer gericht is op de grotere bedrijven. Op productniveau zien we dit bij de gekochte partij terug in het threat hunting platform Countercept, dat proactieve aanvalsdetectie biedt. Er is ook Phisd, een oplossing die bedrijven helpt bij het detecteren en terugdringen van phishing en andere datagerelateerde aanvallen.
Logischerwijs zijn de onderzoekers van MWR InfoSecurity gespecialiseerd in de gebieden waar de oplossingen zich op richten. Dat zien we al direct terug in het recente onderzoek naar spam, waar de samenwerking tussen beide partijen duidelijk tot zijn recht komt. Wat dat betreft lijken de bevindingen een voorbode op meer inzichten die F-Secure en MWR InfoSecurity ons gaan bieden. We blijven het zoals gebruikelijk volgen hier op Techzine.
2 uur geleden
