Beheer

Security
Doelwit

'Awareness'maakt niet immuun tegen phishing

Goed nieuws voor cybercriminelen: de menselijke nieuwsgierigheid wint het online van gezond verstand.

© CC BY-SA 2.0,  Wesley Fryer
1 september 2016

Goed nieuws voor cybercriminelen: de menselijke nieuwsgierigheid wint het online van gezond verstand.

Mikko Hyppönen zei het onlangs al in AG Connect: mensen klikken ongezien overal op. Een Duits onderzoek bevestigt nog eens dat mensen die zichzelf goed op de hoogte achten van de risico's geen uitzondering op deze regel van Hyppönen vormen.

Onderzoekers van de Friedrich-Alexander-universiteit (FAU) in Erlangen-Nuremberg simuleerden 'spearfishing'-aanvallen via e-mail en Facebook tegen 1700 doelwitten: studenten aan de universiteit. Als afzender kozen ze willekeurig één uit de tien meest gebruikelijke namen in de generatie van hun doelwitpopulatie. Het onderwerp van de mail was een link naar foto's van een oudejaarsfeest, een week eerder. De nieuwsgierigheid die dat wekte bleek genoeg om ongeveer de helft van de ontvangers erin te doen tuinen.

In een eerste golf kregen de e-mailontvangers een bericht met persoonlijke aanhef en de ontvangers van een Facebookbericht een bericht met uitgebreide tijdlijn en profielgegevens. Dat verleidde 56 respectievelijk 38 procent van de ontvangers om op de link te klikken. In een tweede golf kregen de ontvangers meer informatie over het feest. De persoonlijke aanhef werd bij de e-mailgebruikers weggelaten. De Facebook-berichten bevatten een minimum aan profielinfo en geen tijdlijn of foto's. Daardoor daalde het percentage 'doorklikkers' bij de e-mailontvangers naar 20. De ontvangers van een Facebook-bericht klikten juist wat vaker: in 42 procent van de gevallen.

De onderzoekers stuurden hun onderzoekssubjecten vervolgens een vragenlijst. 78 procent gaf in reactie op de desbetreffende vraag aan, dat ze zichzelf goed op de hoogte vonden van de risico's van het klikken op links van onbekende herkomst en met onbekende bestemming. Opmerkelijk genoeg herinnerde een deel van de respondenten zich niet dat ze dat nog onlangs wel degelijk hadden gedaan. Van de eerste aanvalsgolf gaf 20 procent toe dat ze doorgeklit hadden, van de tweede 16 procent. De feitelijke doorklikratio voor de ontvangers van e-mail- en Facebook berichten gezamenlijk lag op 45 en 25 procent. Op de vraag waarom men had doorgeklikt op de link in het bericht over het oudejaarsfeest gaf het overgrote merendeel hetzelfde antwoord: nieuwsgierigheid.

'Met zorgvuldige planning en uitvoering kun je iedereen verleiden om op zo'n link te klikken', concludeert onderzoeksleider dr. Zinaida Benenson. 'Ik denk dat 100 procent beveiliging niet mogelijk is. Desondanks is wel verder onderzoek geboden naar manieren om gebruikers, zoals medewerkers van bedrijven, beter bedacht te maken op dit type aanvallen.'

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.