Safebyte
Alle artikelen
phishingawarenesssocial engineeringtraining

Waarom uw medewerkers nog steeds op phishing klikken

Het is niet omdat ze onoplettend zijn. Aanvallers zijn gewoon heel goed geworden in wat ze doen. En dat vraagt een andere aanpak dan een jaarlijkse powerpoint.

Door Safebyte · · 3 min leestijd
Safebyte-trainer legt aan medewerkers uit hoe ze phishing kunnen herkennen

“Onze mensen weten dat ze niet zomaar op links mogen klikken.”

Dat horen we vaak. En dan sturen we een nep-phishingmail. Gemiddeld klikt 1 op 4 medewerkers erop. Soms meer.

Dat is niet omdat uw mensen dom zijn. Dat is omdat aanvallers echt goed zijn geworden in wat ze doen.

Hoe ziet een phishingmail er vandaag uit?

De tijden van “Geachte klant, uw account is geblokkeerd” zijn voorbij. Moderne phishingmails zijn bijna niet van echt te onderscheiden.

Stel: u krijgt een mail van “IT-support@uwbedrijfsnaam.be”, een domein dat een aanvaller gisteravond registreerde. Uw naam staat erin, de naam van uw manager ook. Het bericht zegt dat uw VPN-toegang verloopt en dat u uw wachtwoord voor 17u moet vernieuwen. De link brengt u naar een pagina die er precies uitziet als uw echte loginscherm.

Hoeveel van uw medewerkers zouden dat herkennen als nep?

Aanvallers halen al die informatie gewoon van LinkedIn, uw bedrijfswebsite en eerdere datalekken. Het kost hen een halfuurtje.

Waarom mensen klikken

Het heeft niets te maken met oplettendheid. Aanvallers spelen bewust in op hoe mensen reageren:

Een mail van “de CEO” of “de IT-afdeling” zorgt voor een reflex om te gehoorzamen. Tijdsdruk (“doe dit voor 17u”) zorgt dat mensen minder nadenken. En een bericht dat er uitziet als iets wat u al kent, zoals een Teams-melding of een SharePoint-uitnodiging, wekt minder argwaan.

Die mechanismen zitten ingebakken in hoe mensen denken. U kunt ze niet wegtrainen. Maar u kunt mensen wél leren ze te herkennen.

Wat niet werkt

Een jaarlijkse presentatie met tips werkt niet. Mensen vergeten het na drie maanden. Een lijst met “tekenen van phishing” verandert geen gedrag. En als medewerkers bang zijn om bestraft te worden na een klik, melden ze het ook niet, terwijl snelle melding net het verschil maakt.

Wat wél werkt

Het meest effectieve moment van een phishingtraining is de seconde nadat iemand erop klikt en een melding ziet: “Dit was een test.” Op dat moment is de aandacht maximaal en de les blijft hangen.

Korte herhalingen doorheen het jaar werken beter dan één grote sessie. Een cultuur waarbij mensen verdachte mails durven te melden zonder angst werkt beter dan regels en straffen. En scenario’s die afgestemd zijn op de functie werken beter dan algemene trainingen. De boekhouder krijgt andere aanvallen dan de IT-medewerker.

Wat kunt u verwachten?

In onze simulaties zien we doorgaans:

  • Eerste test (voor enige training): 20 tot 40% klikt
  • Na een trainingscyclus: 8 tot 15%
  • Na een jaar gesimuleerde campagnes: 3 tot 7%

Die laatste procenten zullen er altijd zijn. Maar de combinatie van lage klikratio’s én medewerkers die snel melden, betekent dat aanvallen snel ontdekt worden, ook als ze slagen.

Safebyte voert phishing simulaties op maat uit, gevolgd door training die aansluit op wat we vinden. In begrijpelijk Nederlands, zonder vinger te wijzen. Vraag een gesprek aan.

Nieuwsbrief

Maandelijkse cybersecurity-update

Nieuwe dreigingen, praktische tips en Safebyte-inzichten. Één keer per maand.