Wat is security awareness?

Security awareness gaat over het bewustzijn van veiligheid. Binnen organisaties zijn medewerkers meestal de zwakste schakel en door de security awareness bij medewerkers te vergroten, wordt de kans op een IT-Security Incident een stuk kleiner. Security Awareness Trainingen voor organisaties zijn erop gericht om de bewustwording bij medewerkers te vergroten, zodat de medewerkers in staat zijn incidenten te voorkomen of af te wenden.

Voor wie en waarom zijn de Security Awareness trainingen nuttig?

Security Awareness trainingen en hacker demo’s zijn voor iedereen nuttig, omdat het helpt bij de vergroting van de bewustwording ten aanzien van de beveiliging van informatie. De mate waarin iemand in staat is om security incidenten te voorkomen kan met een security awareness training vergroot worden. Bij de training wordt de deelnemers niet alleen geleerd dat zij zorgvuldig moeten handelen, maar ook hoe ze alert moeten zijn en waar ze op moeten letten. De security awareness trainingen van NFIR zijn erop gericht medewerkers bewust te maken van de bijdrage die zij leveren aan de digitale veiligheid van de organisatie waarvoor zij werken.

Hoe gaat een Phishing mail test in zijn werk?

Met een phishing mail test kunt u controleren hoe alert uw medewerkers zijn op malafide e-mails. De specialisten van NFIR maken een email van uw organisatie na en verwerken daarin enkele aanwijzingen aan de hand waarvan een medewerker kan ontdekken dat het een phishing mail betreft. Die nagemaakte email wordt verstuurd vanuit een door NFIR aangeschaft domein dat erg lijkt op dat van uw organisatie (spelfout domein). Ontvangers worden gestimuleerd om bijvoorbeeld inloggegevens in te vullen op een door NFIR gemaakte website. De resultaten van de phishing test verwerken wij in een heldere rapportage die wij met u delen. Daarnaast adviseren wij in de rapportage over de wijze waarop u de kans op schade door phishing mail kan verkleinen.

Wat houdt Cyber Awareness middels (serious) games in?

NFIR biedt de mogelijkheid om security awareness onder medewerkers te vergroten door middel van serious games. Het doel van de game is niet primair vermaak, maar het kunnen leren van het voorbeeld uit de game om in praktijk beter te kunnen handelen in het geval van een incident. Via een game wordt op een leuke en interactieve manier security awareness vergroot.

Voice phishing

Dagelijks worden we door meerdere partijen gebeld: potentiële klanten, bestaande klanten, leveranciers, collega’s, en soms door een partij die we liever niet te woord staan: cybercriminelen. Naast het klassieke mail phishing gebruiken cybercriminelen ook vaak een voice phishing. Bij deze social engineering aanval gebruikt de aanvaller de telefoon om slachtoffers te misleiden. Een simpel telefoontje kan voor hun genoeg zijn om een groot incident te veroorzaken. Onze voice phishing acties zijn een goede graadmeter van het huidige bewustzijnsniveau van uw organisatie en creëren een verhoogde weerbaarheid tegen moeilijk te herleiden vorm van phishing.

Hoe werkt voice phishing?

Cybercriminelen proberen altijd onder de radar te blijven en dankzij tooling slagen zij daar doorgaans in. De slagingskans van een voice phishing aanval is hoog. Dat komt omdat zij vaak gebruik maken van spoofing technieken. Bij spoofing wordt een legitiem telefoonnummer gebruikt van een bestaande persoon of organisatie. Het is daarom erg moeilijk om aan de andere kant van de lijn te herkennen dat je maken hebt met een cybercrimineel. Het doel van de aanvaller is simpel: persoonlijke en gevoelige informatie vergaren. Dit doel bereiken ze door naast spoofing meerdere social engineering technieken in te zetten. Zo voeren ze doorgaans onderzoek uit alvorens ze een persoon of organisatie contacteren. Tijdens de onderzoeksfase stelen ze uw gegevens van een bedrijf waarmee u zaken doet – zoals uw bank, creditcardbedrijf of nutsbedrijf. Zodra ze uw gegevens hebben, bellen ze u op om zich voor te doen als iemand van het bedrijf waarmee u zaken deed. Misschien proberen ze u over de telefoon extra informatie over uzelf te laten geven. Oplichters kunnen doen alsof er een beveiligingslek bij hun organisatie is geweest en u om informatie vragen zodat ze kunnen bevestigen wie u bent en kunnen voorkomen dat anderen gestolen identiteiten gebruiken. Ze kunnen ook doen alsof er gewoon routineonderhoud wordt gepleegd in hun bedrijf en om persoonlijke gegevens vragen zodat ze die kunnen bemachtigen zonder een officieel verzoek in te dienen via kanalen die beveiligingspersoneel zouden kunnen waarschuwen. Naast de rol van zakelijke relatie, wordt de rol van collega of familielid ingezet. Vishing is ernstig en kan op het eerste gezicht moeilijk te herkennen zijn.

Waarom moet mijn organisatie een voice phishing test uitvoeren?

Voice phishing is ten opzichte van andere vormen van phishing erg moeilijk te detecteren. Door geavanceerde tools en technieken wordt de ware identiteit van de aanvaller goed verhuld. Het is echter wel een veelgebruikte phishing methode die de aanvaller direct in contact brengt met de mens. Immers, dit directe contact biedt mogelijkheden waar de aanvallers goed gebruik van kunnen maken. Bij onze voice phishing testen bootsten we de social engineering technieken na waarbij ingespeeld wordt op de menselijke eigenschap om vertrouwelijke gegevens te verkrijgen of om medewerkers bepaalde handelingen uit te laten voeren. Daarnaast wordt samen met u een rol bedacht die een van onze ethische hackers zal aannemen. De scope wordt altijd met u bepaald. Door de authentieke voice phishing aanvallen zo veel mogelijk te simuleren, krijgt u een realistisch beeld van het huidige bewustzijnsniveau van uw organisatie. Het resultaat van een voice phishing test biedt een goede basis om gerichte maatregelen te nemen in lijn met wet-en regelgeving en die aansluiten op de pijnpunten van uw organisatie. De huidige AVG wet-en regelgeving vereist dat organisaties passende maatregelen nemen om cyberrisico’s zo veel mogelijk uit te sluiten.