Uit een experiment met drie energiebedrijven blijkt dat een kwart van de medewerkers trapt in gerichte phishing-aanvallen. Volgens de onderzoekers wordt phishing in een groot deel van de aanvallen op bedrijven gebruikt als middel om toegang te krijgen.
De onderzoekers, Tyler Klinger en Scott Greaux, wisten drie energiebedrijven zover te krijgen om mee te werken aan het experiment, schrijft Dark Reading. Klinger en Greaux vergaarden op het internet genoeg informatie over de energiebedrijven om een geloofwaardige aanval op te zetten. Vervolgens stuurden ze medewerkers e-mails met een link. Maar liefst 26 procent van de medewerkers klikte op die link.
Onder de medewerkers die in de 'aanval' trapten, waren technici, hoge functionarissen en medewerkers die in de control room van een energiebedrijf werkten. Eén technicus klikte zelfs vier keer op de link, zich afvragend waarom deze niet werkte. De 'aanvallers' deden de e-mails voorkomen als mails van een hogere collega of van een fabrikant waarvan de energiebedrijven apparaten gebruikten. De contactinformatie van de 'slachtoffers' werd gevonden via sites als LinkedIn, vacatures en bedrijfswebsites.
In dit geval ging het om een onschuldige link, maar bij een aanval in de echte wereld zouden aanvallers malware kunnen verspreiden via de link. Daarmee zou vervolgens toegang tot industriële systemen kunnen worden gezocht, of, als dat niet mogelijk is, genoeg informatie worden verzameld voor een volgende aanval op hetzelfde bedrijf. De aanvallers tekenen aan dat veel aanvallen in de echte wereld leunen op phishing, een stelling die wordt ondersteund door Trend Micro; volgens dat beveiligingsbedrijf maakt phishing deel uit van 91 procent van de gerichte aanvallen.