Wat is security awareness?

Security awareness gaat over het bewustzijn van veiligheid. Binnen organisaties zijn medewerkers meestal de zwakste schakel en door de security awareness bij medewerkers te vergroten, wordt de kans op een IT-Security Incident een stuk kleiner. Security Awareness Trainingen voor organisaties zijn erop gericht om de bewustwording bij medewerkers te vergroten, zodat de medewerkers in staat zijn incidenten te voorkomen of af te wenden.

Voor wie en waarom zijn de Security Awareness trainingen nuttig?

Security Awareness trainingen en hacker demo’s zijn voor iedereen nuttig, omdat het helpt bij de vergroting van de bewustwording ten aanzien van de beveiliging van informatie. De mate waarin iemand in staat is om security incidenten te voorkomen kan met een security awareness training vergroot worden. Bij de training wordt de deelnemers niet alleen geleerd dat zij zorgvuldig moeten handelen, maar ook hoe ze alert moeten zijn en waar ze op moeten letten. De security awareness trainingen van NFIR zijn erop gericht medewerkers bewust te maken van de bijdrage die zij leveren aan de digitale veiligheid van de organisatie waarvoor zij werken.

Hoe gaat een Phishing mail test in zijn werk?

Met een phishing mail test kunt u controleren hoe alert uw medewerkers zijn op malafide e-mails. De specialisten van NFIR maken een email van uw organisatie na en verwerken daarin enkele aanwijzingen aan de hand waarvan een medewerker kan ontdekken dat het een phishing mail betreft. Die nagemaakte email wordt verstuurd vanuit een door NFIR aangeschaft domein dat erg lijkt op dat van uw organisatie (spelfout domein). Ontvangers worden gestimuleerd om bijvoorbeeld inloggegevens in te vullen op een door NFIR gemaakte website. De resultaten van de phishing test verwerken wij in een heldere rapportage die wij met u delen. Daarnaast adviseren wij in de rapportage over de wijze waarop u de kans op schade door phishing mail kan verkleinen.

Wat houdt Cyber Awareness middels (serious) games in?

NFIR biedt de mogelijkheid om security awareness onder medewerkers te vergroten door middel van serious games. Het doel van de game is niet primair vermaak, maar het kunnen leren van het voorbeeld uit de game om in praktijk beter te kunnen handelen in het geval van een incident. Via een game wordt op een leuke en interactieve manier security awareness vergroot.

Smishing

Employees are exposed to realistic cyber attacks during smishing tests to raise awareness.

Smishing

Employees are exposed to realistic cyber attacks during smishing tests to raise awareness.

It is often a text message that often makes us very happy “your package is on its way. In a hurry, we want to click on the link and follow the package. It is precisely this human curiosity that cybercriminals exploit at that moment. These and more advanced social engineering techniques are used in smishing. Smishing is a type of phishing attack that uses text messages. Every employee in your organization who has access to a mobile device is a potential target of smishing. With a smishing test, you reduce the chances that your employees will actually fall prey to this hard-to-detect form of phishing.

How does smishing work?

Smishing (SMS phishing) is the fraudulent practice of sending text messages to mobile devices that appear to come from financial institutions or legitimate businesses. Smishing works by posing as a trusted contact, bank or company and tricking the user into providing sensitive information. Smishing messages often contain malicious links that direct users to fake websites that mimic legitimate services. Smishing messages often have an urgent tone and ask the user to call a number immediately to resolve a situation. The messages are sent directly to your cell phone and appear to come from someone you know or trust, so it can be easy to click on the links. The purpose of smishing is to obtain sensitive personal information such as account numbers, passwords or other personally identifiable information. As with all social engineering attacks, smishing again exploits human characteristics. That makes every employee of every organization susceptible to being victimized by smishing.

Why should my organization conduct a smishing test?

A legitimate text message and one coming from a cybercriminal are very similar and difficult to distinguish. Therefore, the success rate of a smishing attack is high. As a result, such an attack among employees may not be noticed immediately and its reporting may be delayed or fail altogether. Every employee today has access to one or more phones, making everyone a potential target. Cybercriminals know this well and obviously take advantage of it. It is therefore a common phishing method. What is unique about this method is that it puts the attacker in direct contact with humans. This direct contact provides opportunities that the attackers can make good use of. This allows them to easily apply different social engineering techniques, which they can adjust immediately to get the best results. Thus, they build a bond of trust or, remove suspicion and respond to the victim’s emotion.

During our smishing test, we also use the social engineering techniques mentioned above. That way, we can mimic an authentic attack as much as possible during the test. After all, cybersecurity awareness increases the most when employees encounter tangible examples. A smishing test brings the consequences of smishing very close and makes it very clear how difficult it is to distinguish an authentic text message from a smishing attack. The smishing test will bcontribute to understanding and awareness and get organizations thinking. Key findings from this exercise will lead to action items needed to reduce the impact in the event of a potential incident. The result of a smishing test provides a good basis for taking targeted measures in line with laws and regulations and that match your organization’s pain points. Current AVG laws and regulations require organizations to take appropriate measures to eliminate cyber risks as much as possible.