SECURITY INCIDENT?
Wij helpen 24/7, klik hier

MysteryGuest bezoek

Bij een Mystery Guest Bezoek wordt de fysieke beveiliging van uw organisatie getest door onze experts, om potentiële beveiligingsrisico’s te identificeren en het beveiligingsbeleid te verbeteren.
Neem contact op
NFIR beeldmerk kleur

In een wereld waarin organisaties steeds afhankelijker worden van hun digitale én fysieke infrastructuur, neemt het risico op cyber gerelateerde incidenten toe. Niet alleen digitale aanvallen vormen een bedreiging, criminelen kunnen zich ook fysiek toegang verschaffen tot uw locatie met een gerichte spionage. Met een professioneel Mystery Guest Bezoek testen onze security experts de fysieke beveiliging van uw organisatie en brengen zij kwetsbaarheden en kroonjuwelen nauwkeurig in kaart.

Tijdens deze realistische praktijktest onderzoeken wij in hoeverre uw medewerkers en beveiligingsmaatregelen bestand zijn tegen moderne social engineering technieken zoals:
Dumpster Diving, Tailgating, Piggybacking, Pretexting, Shoulder Surfing en Impersonation.

Illustratie van twee ID-badges van werknemers, een met een blauw figuur en een met een rood gestreept figuur, onder de kop "NFIR Social Engineering", waarmee het concept van Mystery guest bezoek in de beveiliging van de werkplek wordt benadrukt.

"Mensen zijn vaak behulpzaam, niet wantrouwend"

Wat houdt een Mystery Guest Bezoek in?

Onze ethische social engineers bezoeken ongemerkt uw organisatie. Zij melden zich aan als klant, leverancier, nieuwe medewerker of technicus, afhankelijk van het vooraf vastgestelde scenario.

Tijdens dit bezoek beoordelen we onder andere:

  • De alertheid van medewerkers bij onbekende bezoekers
  • Toegangsbeveiliging van kantoren en (server)ruimtes
  • De effectiviteit van beveiligingsprocedures en protocollen
  • Risico’s op ongewenste toegang tot systemen, netwerken en gevoelige informatie

Door technieken zoals Shoulder Surfing of Impersonation maken we inzichtelijk hoe eenvoudig informatie kan worden verkregen, terwijl Tailgating en Piggybacking laten zien in hoeverre onbevoegden kunnen meeliften naar beveiligde zones. Ook wordt onderzocht welke informatie via Dumpster Diving uit afvalstromen te halen is.

Doel van het onderzoek

Vooraf bepalen we samen met u het doel, de kaders en de onderzoeksvragen van het Mystery Guest Bezoek. Zo sluiten de scenario’s volledig aan op de risico’s, processen en beveiligingsdoelstellingen binnen uw organisatie.

Enkele mogelijke onderzoeksvragen:

  • Is het mogelijk om onbevoegd toegang te krijgen tot het pand of beveiligde ruimtes?
  • Kunnen digitale systemen of netwerken fysiek worden gecompromitteerd?
  • Zijn kritieke systemen voldoende afgeschermd tegen manipulatie?
  • Herkennen medewerkers verdachte situaties of onbekende personen?
  • Is het beveiligingsbeleid rondom toegang, werkplekken en informatieopslag effectief?
  • Wordt de Clean Desk Policy nageleefd en zijn schermen vergrendeld?
  • Worden wachtwoorden en inloggegevens onbedoeld gedeeld of zichtbaar?
  • Wat voor vertrouwelijke informatie kan er uit afvalstromen worden gehaald?

"Medewerkers herkennen onbekenden vaak niet"

Resultaat: een heldere, visuele rapportage

Na afloop ontvangt u een overzichtelijke rapportage met:

  • Alle bevindingen van het mystery guest bezoek
  • Praktische adviezen om beveiligingsmaatregelen te versterken
  • Concreet beeldmateriaal en duidelijke voorbeelden
  • Verbeterpunten die direct toepasbaar zijn

Grondige voorbereiding: OSINT & scenario-ontwikkeling

Vooraf voeren onze experts een uitgebreid OSINT-onderzoek uit om de locatie, systemen, leveranciers en gebruikte apparatuur in kaart te brengen. Hierdoor kunnen realistische scenario’s worden ontwikkeld, zoals situaties waarin een ‘monteur’ of ‘externe dienstverlener’ toegang probeert te krijgen.

Indien gewenst kan tijdens het Mystery Guest Bezoek ook worden getest in hoeverre uw organisatie in staat is om het plaatsen van hardware, spyware of malware te detecteren.

Daarnaast heeft NFIR een spel bedacht genaamd “The insider threat” waarbij medewerkers worden uitgedaagd om een onbekende persoon aan te spreken in de organisatie.

Test uw organisatie met Social Engineering

Cybercriminelen misbruiken vaak vertrouwen in plaats van techniek. Met realistische social engineering tests, zoals voice phishing en mystery guest bezoeken, laat NFIR zien waar menselijke kwetsbaarheden liggen. Ontdek hoe weerbaar uw organisatie echt is en versterk het bewustzijn van medewerkers.

Heeft u tussentijds vragen? Neemt u dan telefonisch contact met ons op op het algemene NFIR telefoonnummer: 088 323 0205

Een man met donker haar en een getrimde baard glimlacht, draagt een blauw ritsjack over een wit overhemd, tegen een effen witte achtergrond - perfect voor een algemeen profiel of een social engineering CTA.

FAQ's Social Engineering - MysteryGuest

  • Een Mystery Guest Bezoek is een gecontroleerde fysieke penetratietest waarbij ethische social engineers zich voordoen als bezoeker, leverancier of medewerker. Zij proberen ongemerkt toegang te krijgen tot ruimtes, systemen en informatie om kwetsbaarheden in de fysieke beveiliging te ontdekken.

Cyberaanvallen beginnen steeds vaker met fysieke toegang. Een onbevoegde die binnenkomt kan wachtwoorden afkijken, hardware plaatsen, documenten meenemen of gevoelige gesprekken opvangen. Een fysieke test laat zien hoe weerbaar medewerkers en beveiligingsmaatregelen werkelijk zijn tegen social engineering en intrusie.

De Mystery Guests gebruiken moderne social-engineeringtechnieken zoals:
Tailgating & Piggybacking – meeliften naar beveiligde ruimtes.
Pretexting – binnenkomen onder een verzonnen rol (monteur, nieuwe medewerker, etc.).
Shoulder Surfing – wachtwoorden of gegevens meekijken.
Dumpster Diving – informatie uit afvalstromen halen.
Impersonation – zich voordoen als externe dienstverlener.

Onder andere:

  • Alertheid van medewerkers bij onbekenden
    Toegangsbeveiliging van kantoren en serverruimtes
    Effectiviteit van toegangsprocedures en protocollen
    Naleving van Clean Desk- en schermvergrendelingsbeleid
    Risico’s op ongewenste toegang tot systemen en informatie
    Hoe makkelijk informatie zichtbaar of toegankelijk is
    • Vooraf vindt een uitgebreid OSINT-onderzoek plaats. Hiermee worden:
    • Locatie(s)
    • Leveranciers
    • Apparatuur
    • Interne processen

    Mogelijke scenario’s in kaart gebracht. Daardoor kunnen realistische pretextscenario’s worden uitgevoerd.

Enkele voorbeelden:

  • Kunnen onbevoegden het gebouw of beveiligde zones binnenkomen?
  • Kunnen systemen of netwerken fysiek worden gecompromitteerd?
  • Worden verdachte situaties tijdig herkend?
  • Wordt het access-, werkplek- en informatiebeveiligingsbeleid nageleefd?
  • Welke informatie is zichtbaar, toegankelijk of te vinden in afvalstromen?
  • Worden wachtwoorden of inloggegevens onbedoeld gedeeld?

Dat kan zowel aangekondigd als onaangekondigd, afhankelijk van de doelstellingen. Bij een realistische simulatie wordt het bezoek niet vooraf gedeeld met medewerkers.

  • De organisatie krijgt een heldere, visuele rapportage met:
  • Bevindingen en observaties
  • Risicoanalyse
  • Concreet beeldmateriaal (indien gewenst)
  • Direct toepasbare verbeterpunten
  • Praktische aanbevelingen voor beleids- en gedragsversterking
  • Ja. Indien gewenst testen we:
  • Plaatsen van rogue devices
  • USB-dropping
  • Het aansluiten van ongeautoriseerde hardware
  • Mogelijkheden voor spyware

    Dit gebeurt altijd binnen vooraf afgesproken kaders.

Ja. De organisatie kan gebruikmaken van “The Insider Threat” — een spelconcept waarbij medewerkers worden gestimuleerd om onbekende personen actief te herkennen en aan te spreken. Dit maakt fysieke beveiliging toegankelijke en leuker om te oefenen.

  • Zeker. Vooral organisaties met:
  • Publieke balies of ontvangst
  • Kantooromgevingen
  • Server- of dataruimtes
  • Externe leveranciers
  • Bezoekersstromen
  • Dit varieert van enkele uren tot een volledige dag, afhankelijk van:
  • Het aantal scenario’s
  • De grootte van de locatie
  • Het gewenste realisme
  • Eventuele extra tests zoals hardwareplaatsing

Bekijk ook onze andere social engineering diensten

Smishing

USB dropping

Mail phishing

Mail phishing

SECURITY INCIDENT BIJ UW ORGANISATIE?

De volgende 30 minuten zijn van cruciaal belang​!

De eerste 30 minuten na een cyber security incident zijn cruciaal, omdat een snelle en adequate reactie de schade kan beperken. Daarnaast kan verdere verspreiding van de aanval worden voorkomen en kan essentieel bewijsmateriaal veiliggesteld worden voor nader onderzoek.

Ons Computer Emergency Response Team (CERT) staat 24/7 klaar om bedrijven en organisaties te ondersteunen bij IT-beveiligingsincidenten.

Bel ons 24/7 !
088 133 0700
* LET OP: Wij werken uitsluitend voor bedrijven en organisaties.
Voorpagina van de whitepaper "Top 10 meest voorkomende cyber kwetsbaarheden bij Nederlandse gemeenten" van NFIR, met belangrijke inzichten uit de bevindingen van het pentest-rapport over cyberbeveiligingsrisico's - beschikbaar om te downloaden.

Op basis van meer dan 600 succesvol uitgevoerde pentesten.

Top 10 meest voorkomende cyber kwetsbaarheden bij Nederlandse Gemeenten

Download gratis whitepaper
De besproken kwetsbaarheden worden wereldwijd misbruikt, zo ook bij de Nederlandse gemeenten. Het doel van deze paper is gemeenten inzicht te geven in huidige dreigingen en hen te helpen bij het verbeteren van  beveiligingsmaatregelen. NFIR streeft naar transparantie om de weerbaarheid van gemeenten te verhogen en cyberaanvallen proactief tegen te gaan.

* geen registratie nodig, direct downloaden

Download direct

Hebt u een vraag? Mail ons vrijblijvend