Steekproef studenten wijst uit: gepersonaliseerde phishingmails zijn effectief

In de e-mail stond: ‘Due to recent changes of the UT computer system, some complications emerged between our database servers. This system, which contains your username and password, is not correctly synchronized.’

Lokken
De bedoeling van de e-mail was om de medewerkers naar een website te lokken en daar met hun medewerkersnummer en wachtwoord in te loggen. De studenten gebruikten twee verschillende soorten aanhef: een algemene e-mail waarin stond ‘Dear Employee’ en een gepersonaliseerde e-mail waarin de medewerker bij naam werd genoemd. ‘Phishing e-mails worden steeds beter, steeds meer gepersonaliseerd’, legt hoogleraar cybersecurity Marianne Junger van de Department Industrial Engineering and Business Information Systems (IEBIS) uit. ‘Je kunt wel aannemen dat gepersonaliseerde e-mails effectiever zijn, maar dan heb je de harde cijfers nog niet.’

Van de medewerkers die de algemene e-mail ontvingen, ging 32% naar de website en vulde 19% persoonlijke gegevens in. Bij de gepersonaliseerde e-mails lag dat percentage hoger: 38% ging naar de website en 29% vulde gegevens in. ‘Mensen zijn blijkbaar toch gevoelig voor de inhoud van de e-mail’, zegt Junger. ‘Ze kregen de indruk dat ze snel moesten reageren.’

Truth bias
Dat mensen de phishing e-mails openen en gegevens invullen, heeft volgens Junger niets te maken met hoe intelligent iemand is. ‘Mensen gaan ervan uit in hun contact met anderen dat diegene de waarheid spreekt. Dat heeft te maken met de truth bias, oftewel de waarheidsvertekening op het moment dat je iets hoort.’

Of jongeren of ouderen eerder in phishingsmail trappen, is niet bekend. ‘Er is in het vakgebied tot nu toe weinig onderzoek naar gedaan’, legt ze uit. ‘Uit sommige studies blijkt dat jongeren in cijfers vaker slachtoffer zijn, terwijl dat in andere onderzoeken wordt tegengesproken. Het hele vakgebied is op dit moment best een grijs gebied.’