Overzicht
Actueel
25 February 2020
Minister Grapperhaus: 'bestrijding phishing begint bij awareness'

Phishing blijft de meest voorkomende vorm van cyberfraude, en is bij uitstek een strategie waarin oplichters blijven doorontwikkelen. Incidenten met serieuze schadeposten zijn vrijwel dagelijks in het nieuws, en de Nederlandse Vereniging van Banken (NvB) berichtte eind 2019 dat de schade in de eerste helft van dat jaar door fraude in het betaalverkeer als gevolg van phishing en bankpasfraude met ongeveer een derde is toegenomen.

"Uiteindelijk is de meest effectieve manier om fraude door middel van phishing te bestrijden, het voorkómen daarvan", aldus minister Grapperhaus van Justitie en Veiligheid. Hij deed deze uitspraak in een Kamerbrief als reactie op de berichtgeving over de grote toename van bancaire fraude door middel van phishing. "Dit begint met de alertheid van de mensen zelf, bijvoorbeeld bij het klikken op links."

Voor Awareways is wel of niet klikken pas de eerste stap: van awareness naar gedragsverandering.

Leestijd: 2-3 minuten

Bancaire fraude door phishing

De Nederlandse Vereniging van Banken (NvB) meldde in november dat in de eerste helft van 2019 de schade door fraude in het betaalverkeer als gevolg van phishing en bankpasfraude met ongeveer een derde is toegenomen. Daarbij gaven de banken aan bijna twee maal zoveel meldingen van klanten te ontvangen over phishing via mobiele berichtendiensten zoals SMS en WhatsApp.

Grapperhaus schrijft verder in zijn Kamerbrief, die te vinden is op de website van de Tweede Kamer (PDF): "De toenemende digitalisering, de enorme schaalvoordelen daarvan en de mogelijkheid om overal ter wereld eenvoudig en snel contacten te leggen, hebben ook een keerzijde. Ook criminelen kunnen op grote schaal hun activiteiten via internet ontplooien. Zij doen dit ook steeds geraffineerder en door het goed inspelen op nieuwe ontwikkelingen, zoals het gebruik van betaalverzoeken."

"Phishing naar bancaire gegevens is een dynamisch en soms internationaal fenomeen met verschillende verschijnings- en organisatievormen. Het kan op kleine schaal gebeuren, bijvoorbeeld via de zogenaamde ‘1-cent-methode’, waarbij een slachtoffer via een link naar een valse bankensite wordt geleid en zo zijn inloggegevens aan de fraudeur prijsgeeft. Maar het kan ook op grote schaal gebeuren, waarbij (hele) grote groepen slachtoffers tegelijkertijd benaderd worden." De CEO-fraude bij Pathé is daar een goed voorbeeld van, maar ook de recente aanval met ransomware bij de Universiteit Maastricht startte met een phishing e-mailtje.

Ook de online handelsplaatsen geven aan dat de belangrijkste manier om phishing naar bancaire gegevens te voorkomen het voorlichten van gebruikers is over veilig handelen en het herkennen van phishing(pogingen), gaat Grapperhaus verder. "Marktplaats is doorlopend bezig met het ontwikkelen en toepassen van (al dan niet technische) maatregelen om phishing te bestrijden. Zo worden onder andere gebruikers gewaarschuwd op te letten zodra een link in een chatgesprek wordt ingevoerd, worden frauduleuze links in chatgesprekken geblokkeerd en biedt Marktplaats bescherming tegen phishing middels onder andere 2-factor authenticatie en een veilige betaaloplossing."

Van kennis naar gedrag

"Uiteindelijk is de meest effectieve manier om fraude door middel van phishing te bestrijden, het voorkómen daarvan", zegt Grapperhaus. "Dit begint met de alertheid van de mensen zelf, bijvoorbeeld bij het klikken op links." Om de awareness te vergroten, heeft het ministerie in 2019 met een aantal publieke en private partijen de publiekscampagne ‘Eerst checken, dan klikken’ gelanceerd. Awareways gaat daarin een stap verder, want awaress is slechts de eerste stap – gedragsverandering is het echte doel. 

Awareways heeft in samenwerking met de Universiteit van Utrecht het concept informatiebewustzijn geoperationaliseerd, meetbaar gemaakt - je leest er meer over in deze blogHet ontwikkelde model is een betrouwbare basis gebleken voor informatiebewust gedrag en geeft organisaties bovendien hele duidelijke inzichten in de factoren die daarop van invloed zijn, en de knoppen waaraan gedraaid kan worden.     

Op basis van de meta-analyse op deze datasets zijn een aantal opvallende trends te onderscheiden. Bij veel organisaties is de attitude over het belang van informatiebeveiliging erg positief. Er is weliswaar een significante relatie tussen attitude en gedrag – een positievere attitude leidt tot beter gedrag –, maar er blijken toch een aantal andere factoren essentieel voor medewerkers om ook consequent veilig gedrag te vertonen. Die trend is in lijn met bevindingen op het gebied van milieu en gedrag, zoals bijvoorbeeld rond een thema als klimaatverandering. Mensen rapporteren dat ze het klimaat erg belangrijk vinden, maar dat leidt niet automatisch tot structurele gedragsverandering.

Een verschil tussen weten wat goed (voor je) is, en doen wat goed is; toch even de auto pakken voor de boodschappen.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.
Neem contact op
Phishing simulatie

Awareways phishing-software biedt een online platform waarmee aanvallen op een simpele en kosteneffectieve manier kunnen worden gesimuleerd. Onze aanpak gaat veel verder dan klikgedrag; gedragsverandering is onze expertise.

Met andere woorden, dat moment van wel of niet klikken en 'voorkomen is beter dan genezen' is voor ons pas de start. We beschikken over eigen simulatiesoftware die medewerkers doorlopend en proactief traint, en zijn ervan overtuigd dat we met ons team van experts de juiste aanpak hebben om iedere organisatie weerbaar te maken tegen phishing en andere digitale dreigingen.

Voorkom metaalmoeheid (‘weer zo’n phishing e-mail, kan IT daar nou eens niet mee stoppen…?’) en informeer vrijblijvend naar onze mogelijkheden: info@awareways.com. We verzorgen alles van een eenmalige phishing actie mét impact tot doorlopende trainingen waarbij wij de campagne op basis van het resultaat bijsturen en voor concrete handvatten zorgen. 

Kijk ook eens naar

Praktijkvoorbeelden
Een overzicht van onze praktijkvoorbeelden.
Security Awareness Engine
De spil in jouw security awareness programma.
Nulmeting
Awareness in cijfers het kan echt.