Phishing blijft één van de grootste gevaren voor de veiligheid van zowel eindgebruikers als organisaties. Naarmate technologie zich verder ontwikkelt en phishing alsmaar complexer wordt, komt cyberbewustzijn steeds meer op de voorgrond te staan. Om je organisatie te ondersteunen bij het afweren van phishing-aanvallen, zetten we de vijf meest voorkomende phishing-trends voor je op een rijtje.
Ondanks dat phishing één van de oudste vormen van computercriminaliteit is, blijft het een uitdaging voor organisaties van elke grootte, in elke sector, om zich ertegen te wapenen. Zeker nu cybercriminelen experimenteren met nieuwe aanvalstechnieken, in toenemende mate nieuwe vormen van social engineering toepassen en nieuwe manieren om detectie te omzeilen omarmen.
In deze blog delen we de meest verontrustende phishing-trends voor het komende jaar en zoomen we in op hoe je je organisatie beter kunt beveiligen.
E-mails afkomstig van betrouwbare derde partijen
Aanvallers sturen steeds vaker phishing e-mails naar contacten van getroffenen en reageren vervolgens op de e-mailthread met speciaal samengestelde berichten en kwaadaardige URL’s.
E-mails met legitieme URL’s
Aanvallers hosten phishing-URL’s bij legitieme Cloud Service Providers, zoals Adobe, Dropbox, Google en Microsoft. Na meerdere omleidingen worden slachtoffers naar de laatste pagina geleid waar inloggegevens worden gestolen of kwaadaardige payloads worden gedownload op het apparaat. Hierdoor wordt het steeds moeilijker voor de eindgebruiker om kwaadaardige URL’s te onderscheiden van legitieme URL’s.
OneNote Malware
Aanvallers gebruiken OneNote om schadelijke software uit te voeren. Veelvoorkomende phishing-activiteiten die geregistreerd worden door Microsoft Defender-experts zijn vooral OneNote-bijlagen, URL’s die gebruikers stimuleren omOneNote-bijlagen te downloaden en PDF’s met URL’s die leiden tot het downloaden van OneNote-malware.
Phishing via OAuth-apparaatcodes
De aanvaller genereert een gebruikerscode, creëert vervolgens een phishing e-mail en voegt een link toe om de code aan te bieden. Hierdoor kan de aanvaller zich namens de gebruiker aanmelden.
Andere doelgerichte phishing-aanvallen
Microsoft-experts merkten ook doelgerichte phishing-pogingen op waarbij aanvallers gebruikersspecifieke details wisten te bemachtigen door middel van social engineering. Eens de gebruikersgegevens bemachtigd waren, werden er op maat gemaakte phishing-campagnes opgezet, steunend op look-alike domeinen waarop de gebruiker zich heeft geabonneerd eninhoud die overeenkomt met de interesses van de gebruiker. Dit verhoogt het slagingspercentage van de aanval.
Hoe je je cyberbeveiliging en -bewustzijn kunt verbeteren
De eerste stap bij het verdedigen van je organisatie tegen phishing-aanvallen is ervoor zorgen dat je werknemers zich bewust zijn van deze aanvalstechniek en weten waaruit dergelijke aanvallen bestaan. Het bijscholen van je werknemers is één van de beste verdedigingsmechanismes tegen phishing. Om de cyberweerbaarheid van je werknemers te verhogen, kun je gebruik maken van simulatietools. Dergelijke trainingsmechanismen kunnen je organisatie helpen bij het verlagen van de klikfrequentie en zo dus ook de kans op een mogelijke inbreuk.
Wil je meer weten over hoe de Attack Simulation Training van Microsoft je werknemers kan beschermen tegen phishingaanvallen? Onze Microsoft-experts vertellen je graag meer over de mogelijkheden en best practices met betrekking tot de installatie, implementatie en rapportage tijdens onze Microsoft Security Awareness Webinar.
Content afkomstig van het Microsoft Digital Defence Report. Klik HIER om het volledige rapport te raadplegen.