Timing is alles, aanvallers letten goed op op welke dag zij het 't beste hun phishing-mails de deur uit sturen. Er wordt meer aandacht besteed aan het tijdstip waarop de e-mail de deur uit gaat dan aan het uiterlijk en de inhoud van de e-mail.

Woensdag gehacktdag

Het aantal malafide mailtjes dat wordt ontvangen per week is op donderdagen 38 procent hoger dan op andere dagen. Beveiligingsonderzoekers van Proofpoint lieten dat weten in hun Human Factor Report. Zij onderzochten het malafide e-mail-verkeer van 2016. Woensdag is de een na drukste dag gevolgd door dinsdagen, vrijdagen en maandagen. In het weekend vindt er een stuk minder malafide e-mail-verkeer plaats.

"Aanvallers doen hun best om er zeker van te zijn dat hun berichten aankomen bij hun slachtoffers op het moment dat de kans het grootst is dat zij zullen klikken: aan het begin van een werkdag, met genoeg (wacht)tijd om tijdens kantooruren te klikken op malafide links," schreven de onderzoekers.

Gijzelen in weekend

Aanvallers geven de voorkeur aan bepaalde dagen in de week voor verschillende bedreigingscategorie├źn. Keyloggers en backdoors worden vooral aan het begin van de week en woensdagen worden vooral gebruikt voor het versturen van banktrojans, Ransomware-berichten worden het vaakst tussen dinsdag en donderdag verstuurd en point-of-sale-Trojans veelal op donderdagen en vrijdagen, wanneer beveiligingsteams minder tijd hebben om nieuwe infecties te detecteren en op te lossen vlak voor het weekend. Bijna 80 procent van point-of-sale-malware werd verstuurd op deze twee dagen.

"Ransomware is de enige malware-soort die vooral in de weekenden wordt verstuurd, enkele uitzonderingen daargelaten," aldus Proofpoint.

Beveiligingsteams moeten vooral op donderdagen alert zijn; malafide attachments, malafide URLs, ransomware en point-of-sale infecties komen op deze dagen en masse langs. Credentialstealers worden vaak ook op donderdagen verzonden.

Hoge slagingskans

Er was een flinke toename van malafide attachments in mailboxen op donderdagen, maar e-mails met een malafide URL (de meest voorkomende aanvalsmethode voor phishing-aanvallen om inloggegevens te stelen) kwamen de gehele week binnen met een kleine toename op donderdagen en vrijdagen.

Aanvallers begrijpen het e-mail-gedrag van medewerkers en weten dat het oplichten van deze mensen met een goede e-mail op het juiste moment, een hogere slagingskans met zich meebrengt. De meeste malafide e-mailtjes worden vier a vijf uur na de start van een werkdag bestuurd en pieken rondom lunchtijd.

's Ochtends of 's middags

De analyse van Proofpoint geeft aan dat bijna 90 procent van alle kliks op malafide URLs binnen 24 uur na ontvangst plaatsvindt. Een kwart van alle kliks vindt zelfs 10 minuten na ontvangst plaats.

De tijd tussen ontvangst en het daadwerkelijk klikken op malafide links is het kortst tijdens kantooruren (tussen 8 uur 's morgens en 3 uur 's middags in Amerika en Canada) In het Verenigd Koninkrijk en de rest van Europa is dat ongeveer gelijk met hier en daar wat kleine regionale verschillen. In Frankrijk klikken slachtoffers het vaakst rond 1 uur 's middags maar Zwitserse en Duitse gebruikers klikken meestal aan het begin van een werkdag. Britse medewerkers smeren hun kliks uit gedurende de dag met een flinke daling na 2 uur 's middags.

Meteen eruit

Het blijft belangrijk malafide berichten te blokkeren, maar men moet vooral niet vergeten bezorgde berichten te flaggen en deze alsnog te blokkeren. Hoe langer een malafide URL in de mailbox blijft, hoe groter de kans dat een gebruiker daar later alsnog op klikt. De bedreiging zou een stuk lager zijn als men deze e-mails kan verwijderen of tenminste de malafide URL's blokkeert.