Mimecast: 1 op 7 Nederlanders lijdt financiële schade door phishing
Bedrijven moeten hun klanten beschermen tegen phishingmails en malafide websites. Dat vindt een meerderheid van de Nederlanders, zo blijkt uit de Monitor Phishing en Merkvertrouwen 2021 van cyberbeveiliger Mimecast. Het onderzoek toont aan dat cybercriminelen de Nederlandse consument op grote schaal bestoken met nepmailtjes. Vaak doen ze zich met behulp van een vals (‘gespooft’) e-mailadres voor als een bekend bedrijf.
Voor de Monitor Phishing en Merkvertrouwen 2021 vroeg Mimecast 1000 Nederlandse consumenten naar hun ervaringen met phishing en malafide websites. In 12 maanden tijd ontving ruim driekwart (78%) van hen een phishingmail. Bijna de helft (44%) van de consumenten opende een phishingmail, sommigen zelfs maandelijks (22%) of elke week (11%). Een groot deel van de Nederlanders kwam op nepsites terecht, bijvoorbeeld via zoekmachines (44%), social media (39%) of via een phishingmail (38%).
Een significant deel van de Nederlanders wordt daadwerkelijk slachtoffer van phishing of spoofing. Bijna een op de vijf (21%) respondenten stond persoonlijke gegevens af aan de cybercriminelen. 15% liep door de aanval financiële schade op.
Phishingmails herkennen
Veel Nederlanders voeren niet de juiste veiligheidscontroles uit om een phishingmail te herkennen. Zo checkt iets meer dan de helft de spelling van het e-mailadres (53%) en van de e-mail zelf (53%). 48% controleert de URL’s van de links in de e-mail. Nog minder mensen checken het onderwerp (40%) van de e-mail en de bestandsnaam van de bijlage (37%). Er zijn zelfs mensen (8%) die helemaal geen controles uitvoeren als ze een e-mail ontvangen.
Cybercriminelen passen allerlei trucjes toe om consumenten te misleiden. Zo ontving 50% van de Nederlanders een phishingmail over een gewonnen prijs. Ook geldbedragen (33%) en spectaculaire aanbiedingen (27%) worden vaak als lokmiddel ingezet. Andere populaire trucs zijn waarschuwingen dat de ontvanger direct zijn account moet controleren (30%), dat de persoon geen toegang meer heeft tot het account (25%), dat iemand probeert in te loggen op het account (23%) of dat er een probleem is met een bestelling (19%).
Bedrijven moeten phishing tegengaan
Het onderzoek richtte zich ook op de rol van het bedrijfsleven. Met name banken worden vaak geïmiteerd door cybercriminelen. 36 procent van de Nederlanders ontving in het afgelopen jaar een phishingmail uit naam van een bank. Ook webwinkels (22%), bezorgdiensten (20%), streamingdiensten (15%), nutsbedrijven (13%), verzekeraars (12%), reisorganisaties (12%), lokale overheden (10%), nieuwsmedia (10%) en zorginstanties (9%) worden massaal misbruikt voor phishing.
Nederlanders vertrouwen erop dat bedrijven hen hiertegen beschermen. Zo verwacht ruim 70% dat bedrijven ervoor zorgen dat hun website, e-mail en overige communicatie veilig is voor de klant. Ook moeten de bedrijven voorkomen dat hun website wordt nagemaakt (62%) en dat criminelen zich via e-mail voordoen als dat bedrijf (61%).
Ruim een derde (35%) opent zonder te twijfelen e-mails die afkomstig zijn van vertrouwde merken. Bijna een kwart (24%) klikt zelfs zonder aarzeling op de link in een e-mail van hun favoriete merk. Het vertrouwen van de klant loopt een flinke deuk op na een geslaagde phishingaanval waarbij een merk werd misbruikt. De helft van de consumenten geeft daarna geen geld meer uit aan dat merk.
Nederlanders vinden het ook belangrijk dat bedrijven correct handelen als hun (potentiële) klanten slachtoffer worden van phishing. Ze ergeren zich aan bedrijven die geen verantwoordelijkheid nemen als de klant is misleid (29%) of de schade niet vergoeden (28%). Dit kan hun beeld van een merk negatief beïnvloeden.
Consument heeft hulp nodig
Volgens Maria Genova, schrijfster van boeken over cybercrime, is het bedrijfsleven nu aan zet. “Het is naïef om te denken dat consumenten heel snel gaan leren hoe ze zichzelf tegen cybercriminelen beschermen. Daarvoor is hun achterstand te groot. Bovendien verzinnen de criminelen steeds nieuwe manieren om aan te vallen, bijvoorbeeld met QR-codes. Veel mensen weten niet dat zo’n code net zo schadelijk kan zijn als een kwaadaardige link in een e-mail.”
“Bedrijven kunnen hun klanten niet voor honderd procent beschermen tegen cybercriminaliteit, maar het kan veel beter dan wat er nu gebeurt”, vervolgt Genova. “Het is momenteel vrij simpel om websites te registreren die op de websites van bekende bedrijven lijken.” Ze roept alle Nederlandse bedrijven op tot actie. “Dat begint bij goede voorlichting aan de klanten over hoe ze fraude kunnen herkennen. Als bedrijven dat massaal gaan doen, dan leren de consumenten het op den duur wel.”
Preventie en compensatie
“De Nederlandse consument geeft in dit onderzoek een duidelijk signaal af: bedrijven moeten veel meer doen om hun klanten te beschermen tegen phishing en nepsites“, zegt Sander Hofman, securityexpert bij Mimecast. “Bijvoorbeeld door met DMARC te voorkomen dat cybercriminelen e-mails kunnen versturen uit naam van het bedrijf en door het internet te scannen op nagemaakte websites. Ook moeten klanten schadeloos worden gesteld als het toch misgaat. Preventie en compensatie zijn helaas nog niet de norm.”
Hofman ziet wel enkele positieve ontwikkelingen op dit vlak. Zo vergoeden de Nederlandse banken sinds eind 2020 uit coulance de schade van slachtoffers van helpdeskfraude of spoofing. “Wat ons betreft wordt dit compensatiebeleid in elke branche het uitgangspunt. Dan hebben bedrijven ook een financiële prikkel om merkmisbruik en phishing beter te bestrijden.”
Meer over
Lees ook
Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst
Onderzoekers van Proofpoint volgen verschillende dreigingsactoren, waaronder TA427. Deze dreigingsactor is ook bekend als Emerald Sleet, APT43, THALLIUM of Kimsuky en wordt gelieerd aan Noord-Korea.
KnowBe4-onderzoek: Bijna 70% van Nederlandse werknemers slaat wachtwoorden op in browser
Onderzoek van KnowBe4, aanbieder van ’s werelds grootste platform voor security awareness en gesimuleerde phishing, stelt vast dat ruim 66% van de Nederlanders wachtwoorden opslaat in webbrowsers - groot aantal weet niet dat dit (automatisch) gebeurt
Hoe phishingbewust is jouw organisatie echt?
Het NK-Phishing is terug! Na vier succesvolle edities is de competitie waarbij medewerkers van verschillende organisaties worden getest er weer. Lukt het jouw team om de phishing mails van dit jaar te herkennen? In teams van 10 strijd jouw organisatie tegen meer dan 500 andere deelnemers voor een mooie prijs.