De Nederlandse Vereniging van Banken (NvB) meldde in november dat in de eerste helft van 2019 de schade door fraude in het betaalverkeer als gevolg van phishing en bankpasfraude met ongeveer een derde is toegenomen. Daarbij gaven de banken aan bijna twee maal zoveel meldingen van klanten te ontvangen over phishing via mobiele berichtendiensten zoals SMS en WhatsApp.

Grapperhaus schrijft verder in zijn Kamerbrief, die te vinden is op de website van de Tweede Kamer (PDF): "De toenemende digitalisering, de enorme schaalvoordelen daarvan en de mogelijkheid om overal ter wereld eenvoudig en snel contacten te leggen, hebben ook een keerzijde. Ook criminelen kunnen op grote schaal hun activiteiten via internet ontplooien. Zij doen dit ook steeds geraffineerder en door het goed inspelen op nieuwe ontwikkelingen, zoals het gebruik van betaalverzoeken."

"Phishing naar bancaire gegevens is een dynamisch en soms internationaal fenomeen met verschillende verschijnings- en organisatievormen. Het kan op kleine schaal gebeuren, bijvoorbeeld via de zogenaamde ‘1-cent-methode’, waarbij een slachtoffer via een link naar een valse bankensite wordt geleid en zo zijn inloggegevens aan de fraudeur prijsgeeft. Maar het kan ook op grote schaal gebeuren, waarbij (hele) grote groepen slachtoffers tegelijkertijd benaderd worden." De CEO-fraude bij Pathé is daar een goed voorbeeld van, maar ook de recente aanval met ransomware bij de Universiteit Maastricht startte met een phishing e-mailtje.

Ook de online handelsplaatsen geven aan dat de belangrijkste manier om phishing naar bancaire gegevens te voorkomen het voorlichten van gebruikers is over veilig handelen en het herkennen van phishing(pogingen), gaat Grapperhaus verder. "Marktplaats is doorlopend bezig met het ontwikkelen en toepassen van (al dan niet technische) maatregelen om phishing te bestrijden. Zo worden onder andere gebruikers gewaarschuwd op te letten zodra een link in een chatgesprek wordt ingevoerd, worden frauduleuze links in chatgesprekken geblokkeerd en biedt Marktplaats bescherming tegen phishing middels onder andere 2-factor authenticatie en een veilige betaaloplossing."

"Uiteindelijk is de meest effectieve manier om fraude door middel van phishing te bestrijden, het voorkómen daarvan", zegt Grapperhaus. "Dit begint met de alertheid van de mensen zelf, bijvoorbeeld bij het klikken op links." Om de awareness te vergroten, heeft het ministerie in 2019 met een aantal publieke en private partijen de publiekscampagne ‘Eerst checken, dan klikken’ gelanceerd. Awareways gaat daarin een stap verder, want awaress is slechts de eerste stap – gedragsverandering is het echte doel.

Awareways heeft in samenwerking met de Universiteit van Utrecht het concept informatiebewustzijn geoperationaliseerd, meetbaar gemaakt - je leest er meer over in deze blog. Het ontwikkelde model is een betrouwbare basis gebleken voor informatiebewust gedrag en geeft organisaties bovendien hele duidelijke inzichten in de factoren die daarop van invloed zijn, en de knoppen waaraan gedraaid kan worden.

Op basis van de meta-analyse op deze datasets zijn een aantal opvallende trends te onderscheiden. Bij veel organisaties is de attitude over het belang van informatiebeveiliging erg positief. Er is weliswaar een significante relatie tussen attitude en gedrag – een positievere attitude leidt tot beter gedrag –, maar er blijken toch een aantal andere factoren essentieel voor medewerkers om ook consequent veilig gedrag te vertonen. Die trend is in lijn met bevindingen op het gebied van milieu en gedrag, zoals bijvoorbeeld rond een thema als klimaatverandering. Mensen rapporteren dat ze het klimaat erg belangrijk vinden, maar dat leidt niet automatisch tot structurele gedragsverandering.

Een verschil tussen weten wat goed (voor je) is, en doen wat goed is; toch even de auto pakken voor de boodschappen.