Wat is security awareness?

Security awareness gaat over het bewustzijn van veiligheid. Binnen organisaties zijn medewerkers meestal de zwakste schakel en door de security awareness bij medewerkers te vergroten, wordt de kans op een IT-Security Incident een stuk kleiner. Security Awareness Trainingen voor organisaties zijn erop gericht om de bewustwording bij medewerkers te vergroten, zodat de medewerkers in staat zijn incidenten te voorkomen of af te wenden.

Voor wie en waarom zijn de Security Awareness trainingen nuttig?

Security Awareness trainingen en hacker demo’s zijn voor iedereen nuttig, omdat het helpt bij de vergroting van de bewustwording ten aanzien van de beveiliging van informatie. De mate waarin iemand in staat is om security incidenten te voorkomen kan met een security awareness training vergroot worden. Bij de training wordt de deelnemers niet alleen geleerd dat zij zorgvuldig moeten handelen, maar ook hoe ze alert moeten zijn en waar ze op moeten letten. De security awareness trainingen van NFIR zijn erop gericht medewerkers bewust te maken van de bijdrage die zij leveren aan de digitale veiligheid van de organisatie waarvoor zij werken.

Hoe gaat een Phishing mail test in zijn werk?

Met een phishing mail test kunt u controleren hoe alert uw medewerkers zijn op malafide e-mails. De specialisten van NFIR maken een email van uw organisatie na en verwerken daarin enkele aanwijzingen aan de hand waarvan een medewerker kan ontdekken dat het een phishing mail betreft. Die nagemaakte email wordt verstuurd vanuit een door NFIR aangeschaft domein dat erg lijkt op dat van uw organisatie (spelfout domein). Ontvangers worden gestimuleerd om bijvoorbeeld inloggegevens in te vullen op een door NFIR gemaakte website. De resultaten van de phishing test verwerken wij in een heldere rapportage die wij met u delen. Daarnaast adviseren wij in de rapportage over de wijze waarop u de kans op schade door phishing mail kan verkleinen.

Wat houdt Cyber Awareness middels (serious) games in?

NFIR biedt de mogelijkheid om security awareness onder medewerkers te vergroten door middel van serious games. Het doel van de game is niet primair vermaak, maar het kunnen leren van het voorbeeld uit de game om in praktijk beter te kunnen handelen in het geval van een incident. Via een game wordt op een leuke en interactieve manier security awareness vergroot.

Smishing

Het is vaak een sms berichtje waar we vaak erg blij van worden ‘uw pakket is onderweg’. Gehaast willen we op de link klikken en het pakketje volgen. Precies van die menselijke nieuwsgierigheid maken cybercriminelen op dat moment misbruik. Deze en meer geavanceerde social engineering technieken worden gebruik bij smishing. Smishing is een type phishing aanval waarbij gebruik gemaakt wordt sms berichten. Iedere medewerker binnen uw organisatie die toegang heeft tot een mobiel apparaat, is een mogelijk doelwit van smishing. Met een smishing test verkleint u de kans dat uw medewerkers daadwerkelijk ten prooi vallen aan deze moeilijk detecteerbare vorm van phishing.

Hoe werkt smishing?

Smishing (SMS phishing) is de frauduleuze praktijk om sms-berichten naar mobiele apparaten te sturen die van financiële instellingen of legitieme bedrijven afkomstig lijken te zijn. Smishing werkt door zich voor te doen als een vertrouwde contactpersoon, bank of bedrijf en de gebruiker te verleiden tot het verstrekken van gevoelige informatie. Smishing berichten bevatten vaak schadelijke links die gebruikers naar valse websites leiden die legitieme diensten nabootsen. Smishing-berichten hebben vaak een dringende toon en vragen de gebruiker onmiddellijk een nummer te bellen om een situatie op te lossen. De berichten worden rechtstreeks naar uw mobiele telefoon gestuurd en lijken te komen van iemand die u kent of vertrouwt, zodat het gemakkelijk kan zijn om op de links te klikken. Het doel van smishing is het verkrijgen van gevoelige persoonlijke informatie zoals rekeningnummers, wachtwoorden of andere persoonlijk identificeerbare informatie. Zoals bij alle social engineering aanvallen, wordt bij smishing wederom misbruik gemaakt van menselijke kenmerken. Dat maakt iedere medewerkers van elke organisatie gevoelig voor slachtofferschap van smishing.

Waarom moet mijn organisatie een smishing test uitvoeren?

Een legitieme sms en een sms afkomstig van een cybercrimineel lijken erg veel op elkaar en zijn moeilijk van elkaar te onderscheiden. De slagingskans van een smishing aanval is daarom hoog. Als gevolg daarvan is het mogelijk dat zo een aanval bij medewerkers niet direct wordt opgemerkt en dat de melding ervan vertraagd is of helemaal uitblijft. Iedere medewerker heeft tegenwoordig toegang tot een of meerdere telefoons en dat maakt iedereen een potentieel doelwit. Cybercriminelen weten dit goed en maken daar uiteraard gebruik van. Het is daarom een veelgebruikte phishing methode. Uniek aan deze methode is dat het de aanvaller direct in contact brengt met de mens. Dit directe contact biedt mogelijkheden waar de aanvallers goed gebruik van kunnen maken. Zo kunnen ze eenvoudig verschillende social engineering technieken toepassen, die ze direct kunnen bijsturen om het beste resultaat te behalen. Zo bouwen ze een vertrouwensband of, nemen ze argwaan weg en spelen ze in op de emotie van de slachtoffer.

Tijdens onze smishing test maken we ook gebruik van de bovengenoemde social engineering technieken. Op die manier kunnen we tijdens de test een authentieke aanval zoveel mogelijk nabootsen. Immers, cybersecurity bewustzijn neemt het meest toe, wanneer medewerkers te maken krijgen met tastbare voorbeelden. Met een smishing test komen de gevolgen van smishing heel dichtbij en wordt erg duidelijk gemaakt hoe moeilijk het is om een authentieke sms te onderscheiden van een smishing aanval. De smishing test zal op die manier bijdragen aan het begrip en bewustzijn en zet organisaties aan het denken. De belangrijkste bevindingen van deze oefening zullen leiden tot de nodige actiepunten om de impact bij een mogelijk incident te verkleinen. Het resultaat van een smishing test biedt een goede basis om gerichte maatregelen te nemen in lijn met wet-en regelgeving en die aansluiten op de pijnpunten van uw organisatie. De huidige AVG wet-en regelgeving vereist dat organisaties passende maatregelen nemen om cyberrisico’s zo veel mogelijk uit te sluiten.