Tijdens April Awareness 2014, een jaarlijks onderzoek naar de digitale wereld van adviesbureau LBVD, is gebleken dat 80 procent van de organisaties niet bestand was tegen een aanval met phishing e-mail. Bij deze organisaties kon LBVD onopgemerkt door het spamfilter heen komen. 23 procent van de medewerkers die de phishing e-mail in hun e-mailbox ontvingen, klikten op de link.
20 procent van de deelnemende organisaties had zijn beveiliging wel goed op orde: de phishing e-mails kwamen in eerste instantie niet door het spamfilter heen. Nadat de ict-afdelingen ervoor zorgden dat onze phishing e-mails wel in de e-mailboxen terechtkwamen, klikte maar 10 procent van de medewerkers op de phishing-link.
Tweede phishing-poging
De medewerkers die op de phishing-link hadden geklikt kwamen terecht op een landingspagina. Op deze pagina werd duidelijk gemaakt dat ze slachtoffer waren van phishing en kregen zij tips om zich beter te kunnen wapenen tegen phishing. Ook hadden ze de mogelijkheid om de phishing e-mail door te sturen naar bekenden, met als doel ook het bewustzijn van deze ontvangers te verhogen. Dit was echter een tweede phishing-poging: zouden de, nu bewuste, medewerkers nogmaals slachtoffer worden van phishing? Slechts 0,5 procent van de getroffen medewerkers heeft de phishing e-mail doorgestuurd.
LBVD constateerde in April Awareness 2014 dat de techniek de zwakste schakel lijkt. Slechts 20 procent van de organisaties had zijn spamfilters zo ingesteld dat de phishing e-mails werden tegengehouden. Dit is gevaarlijk omdat medewerkers ervan uitgaan dat de e-mails in hun mailbox veilig zijn. Zij vertrouwen erop dat de ict-afdeling phishing e-mails tegenhoudt. Natuurlijk is de vraag relevant waar echt de zwakste schakel ligt: bij de techniek of bij de mens die de techniek instelt?