Aanleiding: phishing mails worden steeds geraffineerder en moeilijk te detecteren

Informatiebeveiliging is, naast technische maatregelen, afhankelijk van menselijk gedrag. Phishing mails worden steeds geraffineerder en moeilijk te detecteren. Een aantal gedragsaspecten die een rol spelen bij het klikken op een link zijn:

1. Gebrek aan aandacht: mensen hebben over het algemeen maar weinig aandacht en tijd om mails heel nauwkeurig te bekijken. Mensen klikken daarom vrij gedachteloos op links.
2. Gebrek aan kennis/vaardigheden: mensen weten niet precies op welke kenmerken ze moeten letten om frauduleuze mails te herkennen.  Het doel was om met interventies die op deze gedragsaspecten inspelen, het herkennen en juist omgaan met phishing mails te bevorderen.

Interventie: het geven van informatie over phishing en het ervaren van een phishingmail

• Het geven van informatie over phishing: medewerkers in deze interventiegroep kregen in de weken voorafgaand aan de imitatie phishing mail een drietal informatie mails met infographics over wat phishing is, hoe phishingmails te herkennen, en wat te doen bij het ontvangen van een phishing mail (zie figuur 1).

• Het ervaren van een phishingmail: medewerkers in deze interventiegroep ontvingen ca. 6 weken voor de imitatie phishingmail al een eerdere imitatie phishingmail. De mail had verschillende kenmerken van een echte phishingmail zoals spelfouten,  hyperlink naar onbekend en ongebruikelijk domein, en ongebruikelijk taalgebruik. Ontvangers werden gevraagd om aan zijn/haar account een telefoonnummer te koppelen middels het klikken op een link en het invullen van het wachtwoord (zie figuur 2).

• Een derde interventiegroep ontving zowel de informatiemails als de imitatie phishing mail

Methode: RCT 

De interventies zijn getest in een gerandomiseerd gecontroleerd experiment. Randomisatie is gebeurd op afdelingsniveau om spill over effecten te voorkomen. Alle 10929 medewerkers die onderdeel uitmaakten van het experiment ontvingen een imitatie phishing mail waarin het klikgedrag en het invullen van wachtwoord en gebruikersnaam is gemeten. Over een periode van zes weken voorafgaand aan deze imitatie phishingmail ontving de informatie interventie groep (N=2740) informatie mails, de ervaring interventie groep (N=2724) een eerdere imitatie phishing mail en de informatie en ervaring interventiegroep (N= 2742) beide interventies. Het klikgedrag van de interventiegroepen is vergeleken met de controlegroep (N=2723).

Resultaat: het laten ervaren van een phishing mail zorgt voor 36% minder werknemers die vervolgens hun wachtwoord weggeven

In de controlegroep klikte 32% van de medewerkers op de link in de imitatie phishing mail en vulde 22% van de medewerkers hun wachtwoord in. Bij alle interventies waren deze percentages significant lager dan in de controle groep (Klikken: Informatie: 26%, Ervaring: 23%, Informatie en Ervaring: 24%; Wachtwoord invullen: Informatie: 16%, Ervaring: 14%, Informatie en Ervaring: 13%). Het combineren van het geven van informatie en het laten ervaren van een phishing mail was niet effectiever dan alleen het laten ervaren van een phishing mail.

Impact: meer inzicht in cyberweerbaarheid organisatie

Het onderzoek heeft inzicht gegeven in de cyberweerbaarheid van de organisatie en laten zien dat zowel het geven van informatie over phishing als het laten ervaren van een phishing mail het herkennen van phishing mails kan bevorderen. Het laten ervaren van een phishing mail is enkele jaren na dit experiment herhaald. Het experiment heeft op zichzelf ook als een ‘digitale brandoefening’ gefungeerd voor de organisatie en hierbij inzicht gegeven in hoe mensen reageren, elkaar op de hoogte stellen en de helpdesk benaderen.