Phishing simulaties

Phishing e-mails herkennen en op de juiste wijze acteren is erg  belangrijk voor het  verkleinen van de kans van een cybersecurity incident. Het grootste deel van de cybersecurity incidenten wordt immers veroorzaakt via e-mail. Bovendien worden phishing e-mails steeds geavanceerder en zijn ze nauwelijks te onderscheiden van authentieke e-mails. Dit verklaart waarom het voor hackers erg lucratief is om phishing aanvallen uit te voeren. In een phishing simulatie wordt getest of uw medewerkers in staat zijn om phishing e-mails te herkennen en of ze adequaat handelen na het ontvangen van een phishing e-mail. De simulatie is daarmee een effectieve manier om het bewustzijn en de alertheid onder uw medewerkers te meten en op peil te houden.

Waarom een phishing simulatie laten uitvoeren?

Phishing is het meest voorkomende aanvalsscenario waarmee criminelen toegang proberen te verkrijgen tot een organisatie. Door het versturen van phishing e-mails proberen criminelen inloggegevens te achterhalen of een computer te infecteren met malware. Uw medewerkers kunnen ieder moment een phishing e-mail ontvangen. Wanneer één van hen klikt op een tregeïnfecteerde link of bijlage, kan dat mogelijk een cybersecurity incident veroorzaken. Met een phishing simulatie wordt een soortgelijke aanvalspoging uitgevoerd door experts, zonder dat schade voor u of uw organisatie wordt veroorzaakt.

Realistisch, professioneel en op maat gemaakt

NFIR denkt met u mee om een zo realistisch mogelijk aanvalsscenario te simuleren. Door middel van een intake gesprek tussen u en onze experts worden mogelijke scenario’s besproken en wordt in kaart gebracht welk scenario het beste bij uw organisatie past. Daarbij is maatwerk mogelijk. U kunt kiezen tussen een generieke- of bedrijfsspecifieke phishing. Daarnaast heeft u de keuze tussen een phishing aanval met een malafide bijlage of phishing aanval met malafide link waarbij inloggegevens worden achterhaald. Op deze manier zal de phishing simulatie zoveel mogelijk een authentieke phishing aanval nabootsen.

Welke soorten phishing simulaties voeren we uit?

Mail phishing en spear phishing

Je kunt een phishing simulatie richten op de gehele organisatie (klassieke phishing) of specifiek richten op een bepaalde groep medewerkers (spear phishing). Dat onderscheid leggen we hieronder uit. 

  • Klassieke mail phishing simulatie: Deze phishing simulatie heeft tot doel om medewerkers te trainen en onder hen meer bewustwording te creëren. Het doel van deze phishing simulatie is om te testen in hoeverre medewerkers staat zijn om een phishing e-mail te herkennen. Reageren zij adequaat op het ontvangen van de phishing e-mail? Worden er gegevens ingevoerd of worden er bijlages geopend? De klassieke mail phishing simulatie kent twee varianten: een mail die een malafide link bevat en een mail die een malafide bijlage bevat. In overleg met u bepalen we het scenario, de domeinnaam en de afzender. Op die manier kunnen we iedere phishing simulatie op maat leveren.  
  • Gerichte spear phishing simulatie:  De term spear phishing verwijst naar de traditionele wijze van vissen waarbij gericht werd op één vis. In lijn met deze methode richt spear phishing zich op één of een select groepje personen binnen de organisatie. Om deze groep te bereiken wordt OSINT (Open Source Intelligence) gebruikt. Zo wordt middels publieke informatie getracht gegevens los te krijgen en te verzamelen over de organisatie en deze medewerkers. Hierbij worden creatieve en geraffineerde technieken toegepast. Vervolgens wordt gepoogd om bedrijfsgevoelige systemen van de organisatie binnen te dringen. Hierbij gaan de onderzoekers  zelf opzoek naar e-mailadressen en geschikte scenario’s.  

 

Voice phishing en smishing

  • Voice phishing: Voice phishing is een type social engineering-aanval waarbij een aanvaller een telefoon gebruikt om te proberen een slachtoffer te misleiden om gevoelige informatie los te krijgen bijvoorbeeld inloggegevens. Het is ook bekend als vishing. Waarbij misbruik wordt gemaakt van de menselijke eigenschappen om vertrouwelijke gegevens te verkrijgen of medewerkers bepaalde handelingen te laten uitvoeren. Waarbij er verschillende rollen worden aangenomen bijvoorbeeld als ICT-medewerker van (uw) organisatie, thuiswerker, collega of familielid. De exacte scope wordt altijd met de opdrachtgever bepaald. Wij passen bekende werkwijzen en trucs toe die in het echt ook worden gebruikt door criminelen.
  • Smishing: Smishing is een type phishing-aanval waarbij gebruik wordt gemaakt van sms-berichten. Het doel is om slachtoffers te misleiden en  om gevoelige informatie te verstrekken of schadelijke software te downloaden.

De phishing diensten worden vaak gecombineerd met een pentest om ook de technische weerbaarheid te testen. Daarnaast is de phishing dienst onderdeel van ons Awareness Programma. Dit programma helpt uw organisatie op lange termijn het bewustzijnsniveau te verhogen en biedt een gevarieerde set aan jaarlijkse activiteiten voor zowel medewerkers als directie.

 

Wilt u ook weerbaar zijn tegen phishing?

Phishing behoort tot het meest gekozen aanvalsscenario van cybercriminelen.
Voer een phishing simulatie naar keus uit en krijg direct inzicht in de weerbaarheid binnen uw organisatie.

Bekijk ook onze andere social engineering diensten

Phishing simulaties worden niet altijd ingezet voor het verkrijgen van inloggegevens van medewerker accounts. Hacker groeperingen plaatsen vaak ook malware op een netwerk door het sturen van malafide bijlagen bij e-mail. Ook dit kan dus leiden tot een cybersecurity incident. Oefenen in het herkennen van malafide bijlagen en weten hoe je hier op de juiste wijze mee om moet gaan is dus heel zinvol.

De exacte frequentie hangt af van het niveau van bewustwording onder medewerkers. Het is wel raadzaam om het periodiek uit te voeren en verschillende scenario’s te oefenen. De kracht van de herhaling is heel belangrijk. Wij adviseren daarom minimaal 2 keer per jaar deze oefening te herhalen.

Het doel van de phishing simulaties is om medewerkers bewust te maken van phishing e-mails en om hen te trainen in het herkennen van de signalen van een phishing e-mail. Dit bewustzijn moet er voor zorgen dat zij uiteindelijk niet trappen in authentieke phishing e-mails. Wanneer medewerkers weten dat zij ieder moment een phishing e-mail simulatie kunnen ontvangen, zullen zij constant alert zijn. Een gunstig neveneffect hiervan is dat zij in het algemeen alerter zijn op al het inkomend e-mailverkeer. Belangrijk hierbij is om het aantal phishing simulaties dat u per jaar laat uitvoeren niet te vermelden.

Om het succes van de phishing simulatie in kaart te brengen, leveren wij een rapportage aan. Deze rapportage geeft de belangrijkste resultaten overzichtelijk weer. In de rapportage wordt aangegeven aan hoeveel unieke mailboxen de gesimuleerde phishing e-mail is gestuurd, hoe vaak deze e-mail is geopend en welke acties medewerkers hebben ondernomen. Voorbeelden van acties zijn het klikken op een link, het achterlaten van gegevens en het openen van een bijlage.

NFIR werkt met een aantal formats waarin we uw wensen kunnen verwerken. Samen met u bedenken we de vorm en inhoud van de phishing simulatie en zorgen we ervoor dat de simulatie aansluit bij uw organisatie.

Voor de phishing simulaties kan er gekozen worden uit meerdere formats. Het is mogelijk om een simulatie te kiezen waarin een geïnfecteerde link wordt nagebootst. Echter zijn er ook andere vormen van phishing die wij in de praktijk tegenkomen. Tegenwoordig komt het ook vaak voor dat phishing e-mails een onbetrouwbare bijlage bevatten. Zo kan er een Word document bijgevoegd zijn waarin een macro verhuld is. Op het moment dat deze bijlage geopend wordt, kan door deze macro malware geactiveerd worden.