Cybercriminelen komen (vaak) via medewerkers binnen. Eén kleine ingang is al genoeg om jouw digitale systemen binnen te dringen. Recent onderzoek toont aan dat medewerkers een serieus risico vormen voor de cyberweerbaarheid van jouw organisatie. Maar liefst 85% van alle cyberincidenten ontstaat door aanvallen op medewerkers. Zij zijn met stip hét favoriete doelwit van cybercriminelen. Hoe voorkom je dat een onschuldig lijkende e-mail leidt tot een serieus datalek? In dit artikel gaan we hier dieper op in.
Waarom zijn juist medewerkers een gewild doelwit?
Cyberaanvallen beginnen vaak met een slimme vorm van misleiding: social engineering. Deze tactiek maakt handig gebruik van menselijke eigenschappen zoals onwetendheid, angst, nieuwsgierigheid en vertrouwen. Oplichters weten jouw medewerkers te verleiden, zodat ze onbewust vertrouwelijke informatie prijsgeven of bepaalde acties uitvoeren. Het is een verraderlijke aanpak die in de wereld van cybercriminaliteit veelvuldig wordt toegepast. Maar liefst een kwart van de medewerkers is zelfs slachtoffer geweest van deze vorm van cybercrime. In de financiële sector liggen deze aantallen aanzienlijk hoger: meer dan vier op de tien medewerkers is slachtoffer geweest van social engineering.
Koploper van alle social engineering aanvallen is phishing
Phishing is de meest voorkomende vorm van social engineering die door cybercriminelen wordt toegepast. In Nederland heeft maar liefst 63% van de medewerkers hiermee te maken gehad, waarvan ongeveer 12% slachtoffer werd. Deze vorm van cybercrime houdt in dat criminelen zich voordoen als betrouwbare entiteiten – zoals bekende bedrijven, banken of overheidsinstellingen – om persoonlijke gegevens te bemachtigen. Dit gebeurt vaak via telefoongesprekken, e-mails en misleidende websites. Na phishing volgen smishing (phishing per sms) en Whatsapp-fraude, waar ongeveer 30% van de medewerkers mee in aanraking kwam en 6% slachtoffer werd.
Andere vormen van social engineering
Social engineering kent naast phishing, smishing en Whatsapp-fraude ook nog andere vormen.
- Business Email Compromise (BEC)
Een e-mail is zogenaamd afkomstig van iemand binnen de organisatie, terwijl cybercriminelen dit doen. - CEO-fraude
Criminelen imiteren de CEO, CFO of andere executives en geven medewerkers instructies om gegevens te delen of geld over te maken. - Helpdeskfraude
Criminelen stellen zich voor als helpdeskmedewerkers – zoals die van Microsoft of andere softwareleveranciers – en verzoeken gegevens te delen. - Voice solicitation
Cybercriminelen doen zich via de telefoon voor als iemand anders, zoals collega’s of een leidinggevende. - Nepfacturen
Je ontvangt valse facturen met gegevens die sterk lijken op die van een leverancier, vaak met een rekeningnummer dat slechts een paar tekens afwijkt. - Social media scams
Cybercriminelen creëren nep-accounts om connecties aan te gaan met medewerkers. Nadat er een band is opgebouwd, doen ze een verzoek, waarmee ze data stelen of toegang krijgen tot systemen.
Inzetten van technologie alleen is onvoldoende
Social engineering vormt ongetwijfeld een groot risico voor elke organisatie, waarbij cybercriminelen met minimale inspanningen zeer succesvol zijn. Het beschermen van jouw organisatie kan niet alleen worden vertrouwd op technologie; zelfs de meest geavanceerde systemen zijn niet opgewassen tegen onwetende medewerkers die onbewust de deur openen voor cybercriminelen. Om de risico’s te beperken is het belangrijk om jouw medewerkers bewust te maken van de gevaren van social engineering en hen te trainen om hun cybergedrag te veranderen.
Wil jij meer weten over hoe je dit aanpakt? Neem gerust contact met ons op voor een vrijblijvend advies of meld je aan voor de kennissessie ‘Hoe maak ik mijn medewerkers cyberweerbaar’ op 29 juni aanstaande.