Phishing |
Phishing simulaties – Alles wat je moet weten
Heden ten dage ontkomt bijna niemand meer aan de nare trucjes van phishing. Deze vorm van cybercriminaliteit verspreid zich steeds verder en dat in een rap tempo. De werkwijze wordt bovendien steeds geavanceerder waardoor nog meer mensen de nare gevolgen van een succesvolle phishing aanval ondervinden. Zowel particulieren als bedrijven worden blootgesteld aan dit gevaar. Veel werkgevers kiezen ervoor om hun werknemers daarom extra ondersteuning te bieden in de vorm van awareness trainingen.
Een phishing simulatie kan werkgevers inzicht bieden in het bewustzijnsniveau van de werknemers. Een echte phishing aanval wordt gesimuleerd om te bepalen hoe alert de werknemers zijn, of juist niet. Deze phishing simulaties worden veel gebruikt in awareness trainingen en helpen mensen weerbaarder te worden tegen cybercriminaliteit.
Ben jij nieuwsgierig naar het hoe en waarom van phishing simulaties? Dan ben je bij ons aan het juiste adres. Wij raden je aan om het onderstaande artikel door te nemen. Hier vertellen we jou namelijk alles wat je moet weten over phishing simulaties en hoe deze jouw bedrijf ten goede kunnen komen. Deze informatie mag jij niet mislopen.
Wat is phishing?
Voordat we dieper induiken op de phishing simulaties en de voordelen van deze trainingen, is het goed om eerst een beeld te schetsen van wat phishing nu precies inhoudt. Zoals je waarschijnlijk wel weet is phishing een vorm van cybercriminaliteit. Door middel van misleidende berichten, e-mails of telefoontjes probeert een cybercrimineel toegang te verkrijgen tot persoonsgegevens of bedrijfsdata. Je kunt je vast wel een voorstelling maken bij de desastreuze gevolgen die een phishing aanval kan hebben op bedrijven.
Niet alleen bedrijven maar ook particulieren krijgen te maken met phishing aanvallen. Tegenwoordig komen deze namelijk in alle soorten, maten en vormen. Van telefoontjes of mailtjes tot zelfs Whatsapp berichtjes, de cybercrimineel verbreed zijn werkveld constant.
Een succesvolle phishing aanval kan het slachtoffer veel geld kosten en vooral bij bedrijven kunnen deze bedragen immens hoog oplopen. Bovendien kunnen er datalekken veroorzaakt worden wat de business natuurlijk ook niet ten goede komt. Daarom onderzoeken veel werkgevers het bewustzijn van hun medewerkers door middel van een phishing simulatie. Laten we ons eens verder verdiepen in deze simulaties.
Wat is een phishing simulatie?
Tijdens een phishing simulatie wordt er een fictieve phishing aanval gepleegd binnen jouw bedrijf. Iedereen binnen de organisatie kan deze mail ontvangen om zo veel mogelijk informatie te verschaffen. De phishingmail wordt precies zo uitgestuurd zoals een cybercrimineel dit zou doen. We spreken dus van een simulatie omdat het er precies zo aan toe gaat als in de realiteit. Diverse methodes worden ingezet om onrechtmatig toegang te verkrijgen tot gevoelige bedrijfsdata.
De phishingmails die tijdens een simulaties worden rondgestuurd bevatten doorgaans een link waarop geklikt kan worden. Deze wordt op een aantrekkelijke manier vormgegeven net zoals de echte hackers dit doet. Het aanklikken van de link moet immers wel interessant zijn voor de ontvanger. Vervolgens wordt de ontvanger verleidt om nog meer gegevens bloot te leggen. Gelukkig vindt de phishing simulatie plaats in een veilige omgeving en zijn de eventuele gegevens met betrekking tot bedrijfsdata in veilige handen.
Een phishing simulatie is onderdeel van een phishing awareness training die veel bedrijven tegenwoordig integreren op de werkvloer. Het phishing probleem is immers aan de orde van de dag en zowel bedrijven als particulieren dienen zichzelf te beschermen. Een ongeluk zit in een klein hoekje en een menselijke fout is snel gemaakt.
Kenmerken van een phishing simulatie
Een goede phishing simulatie dient aan een aantal kenmerken te voldoen. Hoe herken je een goede simulatie? De onderstaande kenmerken geven een redelijk compleet beeld van de phishing simulatie.
- Gebaseerd op een realistisch scenario uit de praktijk.
- Unieke scenario’s voor ieder bedrijf
- Gesimuleerde email met daarin een link
- Kandidaat wordt doorgestuurd naar landingspagina en verleid om gegevens af te staan
- Rapportage incl. advies op maat na afronding van de simulatie
Alle bovenstaande punten komen aan bod in onze unieke phishing simulaties. Ook voor jouw bedrijf hebben wij de beste phishing awareness trainingen in huis. Benieuwd waarom een goede phishing simulatie nu eigenlijk zo belangrijk is voor jouw bedrijf? Onderstaand vertellen we jou meer over het belang van deze nuttige simulaties.
Waarom is een phishing simulatie belangrijk?
Phishing is een groeiend probleem dat ook in het bedrijfsleven steeds meer schade berokkend. Een succesvolle phishing aanval kan jouw bedrijf ontzettend veel geld kosten. Iets wat jij dus absoluut moet zien te voorkomen. Daarnaast ligt het gevaar op de loer van een data lek. Wist jij dat het gros van alle datalekken een resultaat is van phishing aanvallen? Dit laat dus wel zien hoe belangrijk het is om voorbereid te zijn op dergelijke cyberaanvallen. We hoeven jou immers niet te vertellen dat uitgelekte bedrijfsdata desastreuze gevolgen kan hebben.
Veel mensen denken wel bestand te zijn tegen phishing aanvallen. Ze zijn van mening deze valstrikken direct te herkennen en nooit in de val te zullen lopen. Echter is het tegendeel vaker bewezen dan ons lief is. Door de steeds wisselende werkwijze van cybercriminelen, kan het iedereen overkomen slachtoffer te worden van een cyber aanval. De verschillende tactieken zijn bijna niet bij te houden. Dit maakt het dan ook een uitdaging om weerbaar te zijn tegen de diverse soorten van phishing.
We kunnen wel stellen dat de verschillende phishing methodes allemaal zeer geraffineerd zijn. Voor je het weet heb je op een link geklikt waar je beter niet op had kunnen klikken of heb je gegevens doorgespeeld aan een hacker op het web. Om te zorgen dat werknemers wel optimaal bestand zijn tegen cyberaanvallen, is het van groot belang om phishing simulaties uit te voeren binnen organisaties. Laten we ons eens verdiepen in hoe zo een phishing simulatie precies in zijn werk gaat.
Hoe gaat een phishing simulatie in zijn werk?
Een phishing simulatie kan worden aangepast op het bedrijf waarin deze plaatsvindt. Het is immers van belang dat de inhoud relevant is en zodoende zijn doel raakt. Onderstaand bespreken we stap voor stap hoe zo een phishing simulatie in grote lijnen in zijn werk gaat. Dit geeft jou alvast een inkijkje in wat jouw team te wachten staat.
Stap 1: Er wordt een neppe phishingmail verstuurd
Om te beginnen wordt er tijdens een phishing simulatie een neppe phishingmail rondgestuurd binnen de organisatie. Deze mail beschikt over een aantrekkelijke onderwerpregel en is bedoeld om de medewerkers te misleiden. De mail wordt opgesteld zoals een echte hacker dat ook zou doen. De medewerker zal in de war worden gebracht door het gebruik van echte logo’s en het gebruik van betrouwbaar uitziende afzenders. Je moet dus echt goed weten hoe je een phishingmail kan herkennen, wil je hier niet intrappen.
Stap 2: De gesimuleerde phishingmail bevat een link
De mail bevat doorgaans een link waar de medewerker op kan klikken. Het is natuurlijk niet de bedoeling dat deze hierop klikt, echter is dat wel wat de hackers willen. Ze proberen werknemers te verleiden om op de link te klikken die ze vervolgens naar een andere landingspagina brengt. Daarom bevatten de gesimuleerde phishingmails ook een dergelijke link. Op deze manier kan vastgesteld worden of jouw werknemers zich ook laten verleiden om op een onbekende link te klikken en hiermee de organisatie in gevaar zouden kunnen brengen.
Stap 3: Een landingspagina probeert nog meer informatie te verkrijgen
Wanneer een slachtoffer in de val is gelopen door op de link te klikken, zal deze terechtkomen op een speciaal ingerichte landingspagina. Dit is een exacte simulatie van hoe dit er in de praktijk ook aan toe gaat. Op deze landingspagina wordt het slachtoffer verleidt om nog meer gegevens af te staan. Indien dit gebeurt weten we dat er werk aan de winkel is voor de werknemer in kwestie.
Als werkgever hoef je niet bang te zijn voor deze fout. Zoals reeds benoemd wordt de phishing aanval uitgevoerd in een veilige omgeving en de eventuele gegevens die verstrekt worden zijn dan ook in goede handen. Een phishing simulatie brengt wat dat betreft geen risico’s met zich mee.
Stap 4: Uitgebreid rapport n.a.v. phishing simulatie
Na de phishing simulatie wordt er een uitgebreid rapport samengesteld. Alle bevindingen worden hierin verwerkt. Daarnaast bevat dit rapport ook een advies op maat. Op deze manier weet jij precies waar nog winst te behalen valt op het gebied van weerbaarheid tegen cyberaanvallen.
Het alertheidsniveau van de werknemers wordt in kaart gebracht. Deze informatie is nuttig voor zowel werkgever als werknemer. Het is immers voor iedereen belangrijk om weerbaar te zijn tegen phishing aanvallen. Een phishing awareness training zou wat ons betreft uitgevoerd moeten worden binnen iedere organisatie.
Vermoed jij dat er binnen jouw organisatie medewerkers zijn die nog niet voldoende weerbaar zijn tegen phishing aanvallen? Dan schieten wij graag te hulp met onze realistische phishing simulaties.
Hoe herken je phishing berichten?
Enkele jaren geleden was het herkennen van phishing berichten niet zo moeilijk. Vaak was er sprake van slechte grammatica of was uit de opstelling van de mail duidelijk af te zien dat het ging om een scam. Tegenwoordig is dat al lang niet meer zo. Phishingmails worden vandaag de dag uitermate professioneel opgesteld. Het verschil met een echte mail is bijna niet meer te zien. Hoe kom je er dan toch achter of je te maken hebt met een phishingmail? Onderstaand bespreken we enkele aspecten waaraan je phishing berichten kan herkennen.
- Afwijkende domeinnaam link
Cybercriminelen doen zich voor als bekende merken of bedrijven om jou ervan te overtuigen dat de betreffende mail te vertrouwen is. Ze gebruiken dezelfde naam en logo’s. Wanneer je echter goed kijkt naar de domeinnaam van de link, wijkt deze toch net een beetje af. Je moet echter wel goed kijken want het kan soms gaan om een verschil van slechts één letter.
Door niet te klikken maar enkel met je muis op de link te gaan staan, zal er binnen enkele seconde een pop-up verschijnen. Hierin staat vermeld waar de link naar verwijst. Hierin zal jij dus een domeinnaam zien staan. Twijfel je of de domeinnaam van de link betrouwbaar is? Probeer deze dan te googelen. Op deze manier kom je er vaak al snel achter of de domeinnaam overeenkomt met de correcte domeinnaam van de betreffende organisatie.
- Afzender
Zoals hierboven reeds besproken maken hackers op een slimme manier gebruik van ons vertrouwen in bepaalde bedrijven. De mail wordt zo vormgegeven dat de afzender eruitziet als een voor jouw bekende organisatie. Daarom is het belangrijk om verder te kijken dan alleen de naam van de afzender die wordt weergegeven. Bestudeer het bijbehorende mailadres grondig. Net als bij de domeinnaam kan het zijn dat er slechts één letter afwijkt. Wees dus op je hoede!
- Links en het invullen van gegevens
Zoals we eerder in dit artikel reeds hebben besproken beschikken phishingmails altijd over een link. Het is de bedoeling van de hacker dat het slachtoffer op deze link klinkt. Alhoewel een echte mail natuurlijk ook vaak een link kan bevatten, is het toch goed om extra op je hoede te zijn en controles uit te voeren.
Wanneer je uitkomt op een landingspagina waar je persoonsgegevens moet invullen, zouden de alarmbellen in ieder geval moeten gaan rinkelen. Het is goed om je te beseffen dat organisaties zelden op deze manier om je gegevens vragen. Wees dus extra alert wanneer dit zich voordoet.
Een phishing simulatie binnen jouw bedrijf
Twijfel jij nog of een phishing simulatie nodig is binnen jouw bedrijf? Wij raden je aan om het zekere voor het onzekere te nemen. Het is natuurlijk super wanneer je vertrouwen hebt in je werknemers, echter kunnen phishing aanvallen dermate grote schadeposten met zich meebrengen dat je jezelf beter kan verzekeren van de weerbaarheid van je medewerkers.
Onze phishing simulaties kunnen jouw inzicht bieden in de weerbaarheid van jouw personeel. Hoeveel procent van het personeel herkent een phishingmail? Hoeveel procent klikt op een mogelijk schadelijke link en hoeveel mensen geven ook nog eens persoonsgegevens af? Jij krijgt een antwoord op al deze vragen door gebruik te maken van onze unieke phishing simulaties.
Benieuwd wat we voor jouw bedrijf kunnen betekenen? Neem vrijblijvend contact op voor meer informatie!
Hoe kunnen wij u helpen?
QR Codes: Het onverwachte wapen in Device Code Phishing
Device code phishing, net als aanvallen via Adversary-in-the-middle (AiTM), vertegenwoordigt een geavanceerde vorm van cyberdreiging die zich onderscheidt van traditionele phishing. Device code phishing exploiteert de ‘OAuth2 Device Authorization Grant flow‘ van Microsoft Azure, die gebruikers in staat stelt zich aan te melden bij apparaten met beperkte invoermogelijkheden.
AiTM: De geavanceerde phishing techniek die MFA te slim af is
Adversary in the Middle ook wel bekend als AiTM phishing is een geavanceerde techniek die zich onderscheidt van traditionele phishing door het vermogen om multifactorauthenticatie (MFA) te omzeilen.
De beste manier om uw bedrijf te beschermen tegen phishing
Als bedrijf wilt u uw organisatie beschermen tegen phishing. Het is vooral belangrijk om de menselijke component aan te pakken. Maar hoe kunt u als bedrijf uw medewerkers het beste trainen in het herkennen en rapporteren van phishing?