Phishing wordt uitgevoerd via meerdere kanalen zoals mobiel of social media waarbij e-mail de meest gebruikte tool is. Bij een phishingmail wordt vaak een bekend persoon als afzender geïmiteerd. Zo denkt de ontvanger (het slachtoffer) dat het bericht legitiem is. Denk hierbij aan berichtjes vanuit de baas of een bedrijf waar je zaken mee doet. Doordat de aanvallers vaak actuele onderwerpen gebruiken, zijn mensen sneller geneigd om op de linkjes te klikken. Bij het klikken op die link kan gevaarlijke ransomware of andere schadelijke software binnen je organisatie geïnstalleerd worden. Het risico is dus heel groot.
Binnen een organisatie zijn de medewerkers vaak de zwakste schakel. Een van de belangrijkste oorzaken van alle lekken en hacks is namelijk het menselijk handelen. Vaak is dit een gevolg van een gebrek aan kennis over online veiligheid bij medewerkers van een organisatie. Het onjuiste gedrag en de onwetendheid van medewerkers vergroot hiermee de kans op een beveiligingslek in je ICT-omgeving. Het kan als organisatie daarom van belang zijn om de kennis over online veiligheid bij medewerkers te testen. Dit kan door middel van een phishingtest.
Een phishingtest is een simulatie, opgezet door ons als externe organisatie, om erachter te komen hoe weerbaar en bewust jouw medewerkers zijn bij dit soort cyberaanvallen. Bij deze test ontvangen alle medewerkers een email, precies zoals deze door hackers normaliter worden opgezet. Met een betrouwbaar ogende afzender en een link om op te klikken. Bijvoorbeeld een mail waarin gevraagd wordt om de inloggegevens te wijzigen van het Microsoft-account of van een andere dienst. Door op de link te klikken ontvangen de medewerkers een inlogscherm waar het username en wachtwoord kan worden ingevuld. Als een medewerker dit doet tijdens de test worden uiteraard de inloggegevens niet opgeslagen en komt de informatie niet bij kwaadwillende terecht.
Met onze monitoringstools kunnen wij exact zien welke medewerkers in deze mail zijn getrapt en wie naar aanleiding van het klikken op de link informatie heeft achtergelaten. Dit geeft een wereld aan inzichten over hoe bewust je medewerkers zijn voor dergelijke aanvallen. Met deze data kun je een security awareness training aanbieden aan de betreffende medewerkers.
Met onze monitoringstools kunnen we heel veel data ophalen na het verzenden van de phishingtest. Hiermee kun je als onderneming actie ondernemen om je organisatie nog beter te beveiligen. Daarnaast kun je met de door ons geleverde rapporten je organisatie informeren over de test en de uitkomsten hierin delen om meer bewustwording rondom cybersecurity te benadrukken.
Hoeveel % van je medewerkers klikken op de link?
Wat is de incident respons, hoeveel collega's rapporteren de phishingmail bij je ICT-afdeling?
Met welke systemen zoals browser of OS hebben mensen op de link geklikt zodat je ICT-inrichting verder kunt optimaliseren.
We voeren de Phishingtest uit in ongeveer een maand tijd. Hierbij maken we een verschil in configuratie, implementatie en rapportage. Elke stap hebben we hieronder verder uitgewerkt.
De eerste stap die gezet moet worden is de intake met de IT-verantwoordelijke van jullie organisatie. Hierin wordt besproken hoe de simulatie wordt opgezet. Details die besproken worden zijn onder andere:
Hiermee gaan onze IT Consultants aan de slag en zorgen dat de simulatie helemaal klaargezet wordt.
Bij het nabootsen van de spam mail is het belangrijk om de mailing vanuit een safe mailadres te sturen. Daarmee kun je de mail als veilige afzender toekennen. Dit alles om te zorgen dat de email niet in de spambox van de users belanden en het effect van de phishingtest zo groot mogelijk is.
De vooraf geconfigureerde e-mails worden vervolgens gefaseerd naar de usergroep gestuurd. Als een email naar alle gebruikers tegelijk wordt gestuurd, worden gebruikers argwanend en zullen de resultaten worden beïnvloed. Hierna zullen de eerste resultaten worden geregistreerd.
Nadat de mails zijn verstuurd, kan gekeken worden naar de belangrijkste resultaten:
Deze resultaten worden gedeeld door middel van een rapportage en vervolgens besproken met de ICT-verantwoordelijke van jullie organisatie.
De security awareness training is niet inbegrepen in de prijs van de phishingtest, maar wel een zeer belangrijke aanvulling op deze simulatie. Waarom? Uit de test is gebleken welke users vatbaar zijn voor phishing en daardoor een actieve bedreiging vormen voor je ICT-beveiliging. Het is zaak om hiermee aan de slag te gaan. Met een awareness training kun je je medewerkers leren hoe ze security bedreigingen kunnen herkennen waardoor je medewerkers als een extra laag in je IT-security gaan fungeren.
De phishingtest en bijbehorende trainingen kunnen herhaaldelijk worden uitgevoerd. Zo weet je of de training effect heeft gehad of dat er een nieuw vervolg aan gegeven moet worden.
ICT-security en je bewapenen tegen cyberaanvallen; het leek altijd ver weg, maar komt toch steeds dichterbij. Het voorkomen van een aanval of hack vraagt hoge eisen aan de security van je ICT-omgeving. In deze whitepaper nemen we je mee in alle belangrijke aspecten van ICT-security zodat jij je organisatie beter weerbaar maakt tegen cybercriminaliteit.
Wil je meer lezen over onze IT Security oplossingen? Bezoek dan onze pagina 'IT Securtiy'. Wil je meer weten over MDM of ben je benieuwd naar alle IT security oplossingen die we bieden? Neem dan vrijblijvend contact met ons op. Onze consultants staan je graag te woord. We kijken graag samen met jou naar de uitdagingen die je hebt en adviseren je over goede beveiligingsoplossingen voor je IT-structuur. Wanneer je onderstaand het contactformulier invult, dan nemen we zo snel mogelijk contact met je op.
