KnowBe4: QR-code phishing wint terrein

Waarom QR-codes aantrekkelijk zijn voor cybercriminelen

Een opvallende trend is de toename van phishingcampagnes die gebruikmaken van QR-codes. QR-codes worden vaak geassocieerd met snelheid en gemak, waardoor gebruikers minder kritisch kijken naar de inhoud die erachter schuilgaat. Wat QR-codes extra gevaarlijk maakt, is dat gebruikers de URL achter de QR-code pas kunnen zien nadat deze is gescand. Hierdoor herkennen zij vaak niet dat het om een schadelijke link gaat.

Criminelen benutten dit door QR-codes te plaatsen in berichten met een hoge urgentie, zoals:

• HR-herinneringen voor beleidsupdates;
• DocuSign-verzoeken om dringende documenten te ondertekenen;
• Zoom-uitnodigingen voor vergaderingen;
• berichten over pakketbezorging of parkeerbetalingen.

KnowBe4 deed in 2024 onderzoek naar het gebruik en de veiligheid van QR-codes in Nederland. De resultaten zijn in deze whitepaper te bekijken.

HR- en IT- gerelateerde onderwerpen

Ondanks de steeds verfijndere methoden van cybercriminelen, blijft phishing een populaire en succesvolle manier om cyberaanvallen uit te voeren. Het rapport toont aan dat 48,6% van de wereldwijd meest aangeklikte phishing-e-mails te maken heeft met HR- of IT-gerelateerde onderwerpen. Cybercriminelen spelen meesterlijk in op menselijke emoties, door actuele phishing-e-mails in te zetten die urgentie creëren en ontvangers verleiden tot het klikken op schadelijke links of het openen van gevaarlijke bijlagen. Dit kan ernstige gevolgen hebben, zoals het mogelijk maken van ransomware-aanvallen of het compromitteren van zakelijke e-mailaccounts.

Uit het rapport blijkt dat 32,6% van de medewerkers in Europa tijdens een gesimuleerde phishingtest op een schadelijke link klikte of een frauduleus verzoek accepteerde. Vooral Europese medewerkers in het mkb lopen een verhoogd risico door beperkte beveiligingsmaatregelen en bewustwording. Deze organisaties worden steeds vaker doelwit van cyberaanvallen en moeten zich adequaat voorbereiden. Vendor e-mail compromise komt steeds vaker voor, omdat leveranciers vaak toegangspoorten zijn tot hun zakenpartners. Deze leveranciers vormen een lucratief doelwit voor cybercriminelen. Dit benadrukt de noodzaak van gerichte training en verhoogde bewustwording in deze bedrijven.

2024 Industry Benchmarking-rapport

De resultaten van het Q3 2024 Phishing-rapport worden onderstreept door de uitkomsten van het KnowBe4 Phishing by Industry Benchmarking Report van 2024. Dit onderzoek laat zien dat phishing-links in e-mails de meest gebruikte aanvalsvector blijven. Het rapport onthult dat nog altijd één op de drie gebruikers gevoelig is voor schadelijke links of frauduleuze verzoeken.

“Het Q3 2024 Phishing-rapport maakt duidelijk hoe cybercriminelen steeds geavanceerdere phishing-tactieken inzetten”, zegt Stu Sjouwerman, CEO van KnowBe4. “Ze spelen in op het vertrouwen dat medewerkers hebben in interne communicatie en maken gebruik van technieken zoals QR-codes. Deze aanvallen slagen vaak omdat ze lijken op legitieme berichten van betrouwbare bronnen, wat leidt tot impulsieve acties zonder verificatie. In dit complexe dreigingslandschap is het essentieel dat organisaties investeren in goed opgeleide medewerkers en een sterke security culture. Human risk management is de sleutel om medewerkers te wapenen tegen deze te voorkomen cyberdreigingen.”

Klik hier om de infographic van het Q3 2024 Phishing-rapport te downloaden.