Wat is security awareness?

Security awareness gaat over het bewustzijn van veiligheid. Binnen organisaties zijn medewerkers meestal de zwakste schakel en door de security awareness bij medewerkers te vergroten, wordt de kans op een IT-Security Incident een stuk kleiner. Security Awareness Trainingen voor organisaties zijn erop gericht om de bewustwording bij medewerkers te vergroten, zodat de medewerkers in staat zijn incidenten te voorkomen of af te wenden.

Voor wie en waarom zijn de Security Awareness trainingen nuttig?

Security Awareness trainingen en hacker demo’s zijn voor iedereen nuttig, omdat het helpt bij de vergroting van de bewustwording ten aanzien van de beveiliging van informatie. De mate waarin iemand in staat is om security incidenten te voorkomen kan met een security awareness training vergroot worden. Bij de training wordt de deelnemers niet alleen geleerd dat zij zorgvuldig moeten handelen, maar ook hoe ze alert moeten zijn en waar ze op moeten letten. De security awareness trainingen van NFIR zijn erop gericht medewerkers bewust te maken van de bijdrage die zij leveren aan de digitale veiligheid van de organisatie waarvoor zij werken.

Hoe gaat een Phishing mail test in zijn werk?

Met een phishing mail test kunt u controleren hoe alert uw medewerkers zijn op malafide e-mails. De specialisten van NFIR maken een email van uw organisatie na en verwerken daarin enkele aanwijzingen aan de hand waarvan een medewerker kan ontdekken dat het een phishing mail betreft. Die nagemaakte email wordt verstuurd vanuit een door NFIR aangeschaft domein dat erg lijkt op dat van uw organisatie (spelfout domein). Ontvangers worden gestimuleerd om bijvoorbeeld inloggegevens in te vullen op een door NFIR gemaakte website. De resultaten van de phishing test verwerken wij in een heldere rapportage die wij met u delen. Daarnaast adviseren wij in de rapportage over de wijze waarop u de kans op schade door phishing mail kan verkleinen.

Wat houdt Cyber Awareness middels (serious) games in?

NFIR biedt de mogelijkheid om security awareness onder medewerkers te vergroten door middel van serious games. Het doel van de game is niet primair vermaak, maar het kunnen leren van het voorbeeld uit de game om in praktijk beter te kunnen handelen in het geval van een incident. Via een game wordt op een leuke en interactieve manier security awareness vergroot.

Voice phishing

Cybercriminelen gebruiken telefoongesprekken en voicemailberichten om slachtoffers te misleiden.

Voice phishing

Cybercriminelen gebruiken telefoongesprekken en voicemailberichten om slachtoffers te misleiden.

Dagelijks worden ondernemingen gebeld door verschillende partijen zoals: potentiële & bestaande klanten , leveranciers, collega’s, en soms ook door een partij die we liever niet te woord staan en die we onbewust te woord staan: cybercriminelen.
Naast het klassieke mail phishing zetten cybercriminelen ook vaak voice phishing in, ook wel bekend als ‘vishing’.

Bij deze social engineering aanval gebruikt de aanvaller de telefoon om potentiële slachtoffers te misleiden om gevoelige informatie te verkrijgen, zoals inloggegevens, financiële gegevens en/of andere vertrouwelijke gegevens. De aanvallers doen zich vaak voor als betrouwbare entiteiten zoals: bankmedewerker, overheidsfunctionarissen, technische ondersteuning of vertegenwoordigers van bekende bedrijven.

Een enkel telefoontje kan voor een cybercrimineel genoeg zijn om een groot incident te veroorzaken. Onze voice phishing acties zijn een goede graadmeter van het huidige bewustzijnsniveau van uw organisatie en verhogen de weerbaarheid tegen moeilijk te herleiden vorm van phishing.

Hoe werkt voice phishing?

Tijdens de voice phishing aanval gebruiken aanvallers verschillende manipulatieve tactieken, zoals angst, urgentie of dreiging om de slachtoffers onder druk te zetten en hen zover te krijgen de gevraagde informatie te verstrekken. Deze aanvallen kunnen worden uitgevoerd via telefoongesprekken, voicemailberichten of geautomatiseerde oproepen waarbij de slachtoffers worden gevraagd om een specifiek telefoonnummer te bellen. Hierbij maken cybercriminelen gebruik van geavanceerde social engineering technieken om het vertrouwen van de slachtoffers te winnen en hen te overtuigen dat de oproep legitiem is.

Cybercriminelen proberen onder de radar te blijven en dankzij hulpmiddelen slagen zij daar doorgaans in. De slagingskans van een voice phishing aanval is hoog. Dat komt omdat zij onder andere gebruik maken van spoofing technieken. Bij caller ID spoofing wordt een legitiem telefoonnummer gebruikt van een bestaande persoon of organisatie. Het is daarom erg moeilijk om aan de andere kant van de lijn te herkennen dat je maken hebt met een cybercrimineel.

Het doel van de cybercrimineel is simpel: persoonlijke en gevoelige informatie vergaren, liefst zo onopvallend mogelijk. Vishing is ernstig en kan op het eerste gezicht moeilijk te herkennen zijn.

Waarom moet mijn organisatie een voice phishing test uitvoeren?

Organisaties kunnen hun medewerkers trainen in het herkennen van voice phishing aanvallen en het implementeren van beleid en procedures om gevoelige informatie te beschermen.

Voice phishing is vergeleken met andere phishing-methoden lastig te herkennen. Bij de voice phishing simulaties van NFIR bootsten we de social engineering technieken en spelen we in op menselijke eigenschappen om vertrouwelijke gegevens te verkrijgen of om medewerkers bepaalde handelingen uit te laten voeren. Daarnaast wordt samen met de opdrachtgever een scenario bedacht, die een van onze ethische hackers zal uitvoeren. Hierdoor krijgt de organisatie een realistisch beeld van het huidige bewustzijnsniveau. De uitkomsten van deze onderzoeken zijn vaak verassend effectief. We geven de resultaten overzichtelijk weer in een rapportage. In deze beknopte rapportage wordt ook advies op maat gegeven die aansluit op de bevindingen.