Wat is security awareness?

Security awareness gaat over het bewustzijn van veiligheid. Binnen organisaties zijn medewerkers meestal de zwakste schakel en door de security awareness bij medewerkers te vergroten, wordt de kans op een IT-Security Incident een stuk kleiner. Security Awareness Trainingen voor organisaties zijn erop gericht om de bewustwording bij medewerkers te vergroten, zodat de medewerkers in staat zijn incidenten te voorkomen of af te wenden.

Voor wie en waarom zijn de Security Awareness trainingen nuttig?

Security Awareness trainingen en hacker demo’s zijn voor iedereen nuttig, omdat het helpt bij de vergroting van de bewustwording ten aanzien van de beveiliging van informatie. De mate waarin iemand in staat is om security incidenten te voorkomen kan met een security awareness training vergroot worden. Bij de training wordt de deelnemers niet alleen geleerd dat zij zorgvuldig moeten handelen, maar ook hoe ze alert moeten zijn en waar ze op moeten letten. De security awareness trainingen van NFIR zijn erop gericht medewerkers bewust te maken van de bijdrage die zij leveren aan de digitale veiligheid van de organisatie waarvoor zij werken.

Hoe gaat een Phishing mail test in zijn werk?

Met een phishing mail test kunt u controleren hoe alert uw medewerkers zijn op malafide e-mails. De specialisten van NFIR maken een email van uw organisatie na en verwerken daarin enkele aanwijzingen aan de hand waarvan een medewerker kan ontdekken dat het een phishing mail betreft. Die nagemaakte email wordt verstuurd vanuit een door NFIR aangeschaft domein dat erg lijkt op dat van uw organisatie (spelfout domein). Ontvangers worden gestimuleerd om bijvoorbeeld inloggegevens in te vullen op een door NFIR gemaakte website. De resultaten van de phishing test verwerken wij in een heldere rapportage die wij met u delen. Daarnaast adviseren wij in de rapportage over de wijze waarop u de kans op schade door phishing mail kan verkleinen.

Wat houdt Cyber Awareness middels (serious) games in?

NFIR biedt de mogelijkheid om security awareness onder medewerkers te vergroten door middel van serious games. Het doel van de game is niet primair vermaak, maar het kunnen leren van het voorbeeld uit de game om in praktijk beter te kunnen handelen in het geval van een incident. Via een game wordt op een leuke en interactieve manier security awareness vergroot.

Voice phishing

Every day we receive calls from multiple parties: potential customers, existing customers, suppliers, colleagues, and sometimes from a party we would rather not speak to: cybercriminals. In addition to classic mail phishing, cybercriminals often use voice phishing. In this social engineering attack, the attacker uses the phone to trick victims. A simple phone call can be enough for them to cause a major incident. Our voice phishing actions are a good gauge of your organization’s current level of awareness and create increased resilience against hard-to-recognize form of phishing.

How does voice phishing work?

Cybercriminals are always trying to stay under the radar, and thanks to tooling, they usually succeed. The success rate of a voice phishing attack is high. That’s because they often use spoofing techniques. Spoofing involves using a legitimate phone number of an existing person or organization. It is therefore very difficult to recognize on the other end of the line that you are dealing with a cybercriminal. The attacker’s goal is simple: gather personal and sensitive information. They achieve this goal by employing multiple social engineering techniques in addition to spoofing. For example, they usually conduct research before contacting a person or organization. During the research phase, they steal your data from a company with which you business – such as your bank, credit card company or utility company. Once they have your information, they call you to pretend to be someone from the company you did business with. They may try to get you to give additional information about yourself over the phone. Scammers may pretend there was a security breach at their organization and ask you for information so they can confirm who you are and prevent others from using stolen identities. They can also pretend that routine maintenance is just going on in their business and ask for personal information so they can get it without making an official request through channels that might alert security personnel. In addition to the role of business associate, the role of colleague or family member is employed. Vishing is serious and can be difficult to recognize at first glance.

Why should my organization conduct a voice phishing test?

Voice phishing, relative to other forms of phishing, is very difficult to detect. Through sophisticated tools and techniques, the attacker’s true identity is well concealed. However, it is a common phishing method that puts the attacker in direct contact with humans. After all, this direct contact provides opportunities that attackers can make good use of. In our voice phishing tests, we mimicked social engineering techniques that capitalize on the human ability to obtain confidential data or get employees to perform certain actions. In addition, we will work with you to come up with a role that one of our ethical hackers will take on. The scope is always determined with you. By simulating authentic voice phishing attacks as much as possible, you get a realistic picture of your organization’s current level of awareness. The result of a voice phishing test provides a good basis for taking targeted measures in line with laws and regulations and that match your organization’s pain points. Current AVG laws and regulations require organizations to take appropriate measures to eliminate cyber risks as much as possible.