Nieuws & blogs

Phishing: De kloof tussen kennis en gedrag

Veel mensen weten inmiddels wel hoe ze phishingmails kunnen herkennen. De kennis is dus vaak wel degelijk aanwezig. Echter, in de praktijk blijkt dat nog altijd 90% van de succesvolle cyberaanvallen wordt veroorzaakt door phishing. Blijkbaar zeggen we het een (we weten hoe we phishing kunnen herkennen), maar doen we in de praktijk iets anders (we trappen er nog altijd massaal in). Bij phishing is er dus een behoorlijke kloof tussen kennis en gedrag.

In deze blog lees hoe deze kloof tussen kennis en gedrag kan ontstaan en hoe je deze kloof kan verkleinen.

26 jul Plaatje van een crimineel die aan het phishen is

Het Triade-model voor gedragsverandering

Veel campagnes rondom phishing richten zich op het bijbrengen van kennis over phishingkenmerken. Essentieel, maar nog niet voldoende om mensen weerbaar te maken tegen phishing. Hiervoor moeten we eerst even kijken naar wat de gedragswetenschap zegt over het stimuleren van gewenst gedrag. Het Triade-model van Poiesz (1996) onderscheidt drie noodzakelijke factoren om mensen of groepen te bewegen:

  • Motivatie: gedrag willen vertonen
  • Capaciteit: gedrag kunnen vertonen
  • Gelegenheid: omstandigheden die het gedrag mogelijk maken

Poiesz stelt in zijn theorie dat gedrag alleen plaatsvindt als er bij een individu of groep enige mate van motivatie, capaciteit én gelegenheid aanwezig is. Wanneer een van de factoren laag scoort, zal de totale uitkomst laag zijn. Wanneer een van de factoren niet aanwezig is, zal er zeker geen gedrag plaatsvinden, hoe hoog de andere scores ook zijn.

Motivatie is leidend

Capaciteit gaat over de kennis die men over phishing heeft. Die kennis breng je bij door middel van periodieke trainingen, games en testjes over het herkennen van phishing. Ook met de gelegenheid zit het vaak goed. Waar het echter vaak aan ontbreekt is motivatie. En laat motivatie volgens de literatuur nou leidend zijn in het stimuleren van gewenst gedrag.

We weten dus vaak hoe we phishing moeten herkennen, maar het in praktijk brengen van deze kennis schiet er vaak bij in. Wij betrappen onszelf er ook wel eens op dat we in de waan van een drukke werkdag binnenkomende mails nét even iets minder goed controleren.

Motivatie stimuleren: laat men het gevaar ervaren

Om de motivatie voor het controleren van mails te stimuleren is het belangrijk om men te laten zien dat ze makkelijk slachtoffer kunnen worden van phishing en wat de gevolgen kunnen zijn. Dit doe je bijvoorbeeld met phishingsimulaties. Wil jij ook eens ervaren of jouw collega’s mails controleren op de kenmerken van phishing én hen bewust maken van de gevaren? Verstuur dan eens een phishingsimulatie.

> Momenteel kan je 28 dagen gratis gebruik maken van ons phishingplatform. Via de button hieronder lees je meer.

Let op met phishingsimulatie

Maar let wel op! Een eenmalige simulatie geeft je inzicht in de huidige stand van zaken. Om phishing awareness te creëren, medewerkers daadwerkelijk weerbaarder tegen phishingaanvallen te maken en de motivatie te blijven stimuleren is een structurele aanpak vereist die verder gaat dan simulatie alleen. Wij adviseren dan ook om medewerkers periodiek te trainen en eens per twee maanden een phishingsimulatie uit te voeren. 

> Meer over de do's & don'ts van phishingsimulatie lees je hier.

Probeer ons phishingplatform 28 dagen gratis

Meer info over het gratis gebruik van ons phishingplatform of jouw gratis toegang aanvragen? Dat kan via onderstaande button.

Start met phishing!

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Volg ons!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

Collega's weerbaar maken tegen informatiebeveiligingsrisico's 05 dec
Van zwakste schakel naar sterkste schakel in informatiebeveiliging: zo maak je je collega’s weerbaar Lees meer
Black Friday kortingen oplichting 27 nov
Te goed om waar te zijn? 7 tips om oplichting rondom Black Friday kortingen te vermijden Lees meer
Grootste misverstanden in informatiebeveiliging 02 dec
De 10 grootste misverstanden in informatiebeveiliging Lees meer
Bekijk alle blogs