‘Phishing op zakelijke e-mail steeds overtuigender’

Stay tuned, abonneer!

Business e-mail compromise (BEC), een type phishing-aanval dat gericht is op bedrijven en hun werknemers, is meer dan 20 keer zo effectief dan de gemiddelde phishing-e-mail, blijkt uit een rapport van Barracuda.

Het nieuwe rapport van Barracuda heet Spear Phishing: Top Threats and Trends Vol. 3 – Defending against business email compromise attacks. Volgens het rapport was het gemiddelde financiële verlies als gevolg van spear phishing-aanvallen per organisatie in het afgelopen jaar 270.000 dollar (ongeveer 245.000 euro). Spear phishing is het gericht aanvallen van bepaalde organisaties om data te bemachtigen. Bij ‘normale’ phishing-aanvallen worden vaak willekeurige doelen gekozen.

De BEC-tactiek heeft meer dan $26 miljard aan verliezen veroorzaakt in de afgelopen vier jaar, ondanks het feit dat het slechts zeven procent vormt van alle spear phishing-aanvallen. Bij dit soort aanvallen proberen criminelen zo goed mogelijk het gedrag van bedrijven na te bootsen. De nabootsing gaat zo ver dat er alleen mails verstuurd worden tijdens kantooruren. Ook worden er zo min mogelijk mensen tegelijk in een organisatie aangesproken, om niet verdacht over te komen. Iets meer dan 90 procent van de BEC-aanvallen vindt plaats op werkdagen, en gemiddeld richten de aanvallen zich op maximaal zes personen. In bijna alle gevallen (94,5 procent) werden er niet meer dan 25 personen aangesproken.

Dringende verzoeken leiden tot problemen

Meer dan vier vijfde van de e-mails bestaan uit dringende verzoeken, die mensen moeten verleiden tot overhaaste beslissingen. Volgens het rapport zijn die verzoeken vaak ook succesvol. Barracuda stelt namelijk dat de aanvallen hoge click-through rates (CTR) hebben, gemiddeld wel 10 procent. Voor BEC-aanvallen waarbij iemand binnen de organisatie nagebootst wordt, reikt de CTR zelfs tot 30 procent.

“Aanvallers blijven nieuwe manieren vinden om BEC-aanvallen overtuigender te maken, waardoor die uiteindelijk duurder en schadelijker worden voor bedrijven. Door de juiste voorzorgsmaatregelen te nemen en op de hoogte te blijven van de tactieken die cybercriminelen gebruiken, kunnen organisaties zich effectiever verdedigen tegen deze zeer gerichte aanvallen,” zegt Don MacLennan, SVP, Email Protection, Engineering and Product Management bij Barracuda.