Houd Je Team Scherp Met Gesimuleerde Phishing-Aanvallen: Een Handleiding Met Voorbeelden
Phishing is een van de meest voorkomende aanvalsmethoden van cybercriminelen. Daarom is het trainen van je medewerkers om phishing e-mails te herkennen en erop te reageren een belangrijk onderdeel van veel IT-beveiligingspraktijken. In deze blogpost geven we je een handleiding over het implementeren van phishing-testen binnen je organisatie en een paar gratis voorbeelden van phishing-campagnes die je kunnen inspireren.
Waarom phishing-tests belangrijk zijn
Phishing is een van de gevaarlijkste IT-beveiligingsrisico's voor elk bedrijf en tevens een van de meest voorkomende soorten aanvallen die bedrijven ervaren. Bovendien is het voor bedrijven bijzonder duur om te reageren op door phishing-aanvallen veroorzaakte datalekken. Dit jaar hebben inbreuken als gevolg van phishing-aanvallen bedrijven gemiddeld $ 4,65 miljoen gekost. Dat is veel geld door iets wat op een kleine e-mailfoutje lijkt!
Omdat phishing zo'n grote bedreiging vormt voor organisaties, is het belangrijk dat medewerkers dit soort e-mails kunnen herkennen zodra zij ze ontvangen, zodat ze er niet intrappen en ze geen gevoelige informatie openbaar maken. Het trainen van medewerkers om gevaarlijke e-mails te herkennen en erop te reageren door middel van phishing-tests is een uitstekende manier om je personeel te laten oefenen in een omgeving waar weinig schade aangebracht kan worden. De resultaten van de tests kunnen je ook helpen inzien of er gaten zijn in je IT-beveiligingstraining die opgevuld moeten worden.
Handleiding: Hoe phishing-testen te implementeren
Als je binnen je organisatie een phishing-trainingsprogramma begint, moet je eerst tijd besteden aan de organisatie daarvan. Dat levert tijd op wanneer het programma begint en zorgt ervoor dat alles soepel verloopt. Lees verder voor onze suggesties over het starten van je eigen trainingsprogramma!
Het phishing-programma voorbereiden
Beslis of je jouw kantoor op de hoogte wilt stellen
Voordat je begint met het versturen van phishing-simulatie e-mails naar je medewerkers, moet je eerst beslissen in welke mate je wilt dat zij van het nieuwe trainingsprogramma op de hoogte zijn. Dat hangt af van je medewerkers zelf. Je kunt bijvoorbeeld besluiten ze niet over het programma in te lichten, zodat je een volledig realistisch resultaat krijgt in de antwoorden op de testmails. Als je echter denkt dat het gevoelig ligt om je personeel te testen zonder dat ze zich hiervan bewust zijn, kun je ze het beste van tevoren van de phishing-simulatie op de hoogte stellen.
Als je besluit om het programma in eerste instantie geheim te houden, kun je in het begin profiteren van realistischere phishing-testresultaten. Omdat je medewerkers geen phishing-e-mail verwachten, krijg je een realistischer beeld van hun bewustzijn en hun kwetsbaarheid voor echte aanvallen. Als je het programma echter voor je medewerkers verborgen houdt, loop je het risico dat ze zich beoordeelt of voor de gek gehouden voelen - vooral als je de testresultaten gebruikt om specifieke personen te bekritiseren.
Aan de andere kant, als je je medewerkers over het programma inlicht voordat je de eerste phishing-test e-mail verzendt, kan dit ten goede komen van de open communicatie binnen je kantoor. Ook kan het een goede gelegenheid zijn om alle medewerkers te herinneren aan de juiste IT-beveiligingspraktijken, bijvoorbeeld wat phishing is, hoe ze dit in hun inbox kunnen herkennen en wat er kan gebeuren bij het onjuist verzenden van gevoelige gegevens.
Het kan een moeilijke keuze zijn of je je kantoor op de hoogte wilt stellen van het programma of niet, maar als je rekening houdt met je kantoorcultuur en de belangen van je personeel, kun je een beslissing nemen die voor jouw team geschikt is.
Het is onze ervaring dat onze klanten er meestal de voorkeur aan geven hun medewerkers niet direct te informeren, maar ze pas na de eerste test op de hoogte stellen van het phishing-testprogramma. Deze gemengde aanpak kan ook geschikt zijn voor jouw personeel.
Herinner je personeel aan je rapportageprocedure
Als je je personeel van tevoren op de hoogte stelt van het phishing-testprogramma, is dat ook een uitstekend moment om iedereen te herinneren aan de bestaande rapportage- en reactieprocedures. Zorg ervoor dat iedereen weet wat ze moeten doen als ze vermoeden dat ze een schadelijke e-mail in hun inbox aantreffen: aan wie melden ze dit en op welke manier? Wat moeten ze wel en NIET doen met de e-mail?
Als je ervoor kiest het programma in eerste instantie geheim te houden, kan de eerste phishing-test e-mail je belangrijke inzichten geven in hoe goed je team de meldingsprocedure begrijpt. Soms denken medewerkers dat er drie of vier verschillende plekken zijn om verdachte e-mails te melden. Een van de belangrijkste punten die onze klanten uit de phishing-testcampagnes halen, is het inzicht in hoe goed je personeel begrijpt hoe IT-bedreigingen gemeld moeten worden. Nadat de eerste phishing-test is afgerond, kun je een vergadering organiseren om het programma met je personeel te bespreken en een snelle opfrissing van best practices te verstrekken.
Tips voor het schrijven van een nep phishing e-mail
Als je niet samenwerkt met een aanbieder van phishing-trainingen, zul je waarschijnlijk wat tijd moeten steken in het opstellen van de phishing e-mails die naar je werknemers worden verzonden. Om je medewerkers te trainen om deze e-mails in echte scenario's te herkennen, is het belangrijk dat je de e-mails geloofwaardig maakt en dezelfde methoden gebruikt als cybercriminelen. Voordat je je te veel zorgen maakt over het opstellen van de perfecte test e-mail, vind je hieronder enkele tips die je kunt gebruiken om aan de slag te gaan.
Gebruik veelvoorkomende phishing-signalen
Hoewel alle phishing e-mails er anders uitzien, zijn er in veel phishing e-mails de volgende kenmerken te vinden:
- Slechte grammatica of verkeerd gespelde woorden
- Algemene of ongebruikelijke aanhef die niet vaak gebruik wordt
- Een afzenderdomein of e-mailadres dat er vreemd uitziet
- Bijlagen met een onbekende extensie
- Koppelingen die er vreemd uitzien of niets met de gelinkte tekst te maken hebben
- Dringende verzoeken om gevoelige gegevens (zoals inlog- of creditkaartgegevens)
Dit zijn enkele standaard phishing-signalen die je in je e-mails kunt opnemen en een goed startpunt om in je achterhoofd te houden bij het schrijven van de test-e-mails. Als je medewerkers een goed beeld van phishing hebben, zijn deze meldingen mogelijk te simpel voor hen. Slechte grammatica en spelfouten komen steeds minder voor in phishing e-mails omdat de cybercriminelen beter worden en onze spamfilters de meer voor de hand liggende phishing-bedreigingen opvangen. Om de training effectiever te maken, kun je andere signalen toevoegen die de e-mails moeilijker te detecteren maken.
Maak de e-mails uitnodigend
Om een phishing-aanval te laten slagen, moet de ontvanger de noodzaak voelen om actie te ondernemen. Combineer een aantal van de onderstaande tactieken met de basis phishing-signalen om je trainingsmails nog effectiever te maken:
- Verzoek om een dringende handeling, of een handeling met een bepaalde deadline
- Zorg voor emotie (angst en enthousiasme werken goed)
- Bied een aantrekkelijke beloning aan
- Gebruik autoriteiten om een gevoel van vertrouwen te wekken (zie onze post over CEO-fraude)
Door deze technieken toe te voegen, wordt het voor je medewerkers moeilijker om niet op een e-mail te klikken. Onthoud: hoe echter je e-mails eruitzien, hoe sterker je team wordt in het detecteren van schadelijke e-mails.
Je moet ook op de hoogte blijven van de huidige trends in phishing e-mails, zodat je deze in je tests kunt opnemen.
Hier kun je vier voorbeelden zien van phishing-campagnes die wij hebben gemaakt en op onze klanten hebben uitgetest.
Stel een schema op
Het is handig om vast te stellen hoe vaak je van plan bent phishing-test e-mails naar je medewerkers te sturen, zodat je een continu trainingsschema kunt maken. Dat schema kan natuurlijk tijdens het trainingsproces worden aangepast. Afhankelijk van je doelen kun je ook vaker phishing-tests sturen naar medewerkers die eerdere tests faalden.
Hoe vaak is genoeg?
We raden aan om minstens twee keer per jaar phishing-test e-mails te verzenden, maar als je de capaciteit hebt, is vier tot zes keer per jaar ook een goede optie. De belangrijkste overweging bij het bepalen van hoe vaak simulaties moeten worden uitgevoerd, is dat je wilt dat de tests frequent genoeg zijn om continu bewustzijn te behouden, zonder dat je werknemers er ongevoelig voor raken of er genoeg van krijgen. Bewustwording is cruciaal, maar te veel testen brengt het risico met zich mee dat je medewerkers de volgende phishing-test afwachten in plaats van dat ze hun detectievaardigheden oefenen.
Het versturen van de phishing-test e-mails
Nadat je over de training verteld hebt, enkele e-mails hebt opgesteld en een planning gemaakt hebt, ben je klaar om de e-mails te verzenden!
De eerste test e-mail die je verzendt, moet een gemiddeld niveau hebben. Hierdoor krijg je een realistisch beeld van hoe je personeel op een echte phishing e-mail zou reageren. Afhankelijk van je doelstellingen voor het phishing-testprogramma, kun je ook met een moeilijke e-mail beginnen. Dit kan handig zijn als je je personeel wilt laten zien hoe gevaarlijk phishing-e-mails in werkelijkheid kunnen zijn. De resultaten van deze eerste test dienen als maatstaf om de voortgang van je medewerkers te meten terwijl ze leren.
Zorg dat je test niet te makkelijk wordt
Zodra je medewerkers de phishing e-mails beter leren herkennen, kun je de tests moeilijker maken. Je kunt bijvoorbeeld de e-mail eruit laten zien alsof hij van een interne in plaats van een externe afzender afkomstig is. We zijn meestal minder op onze hoede als we denken dat een e-mail van een collega is, waardoor ‘interne' e-mails geloofwaardiger zijn. Dit soort tests zijn belangrijk, omdat het vinden van de namen en functies van mensen in jouw organisatie meestal een gemakkelijke taak is voor cybercriminelen, vooral als jouw bedrijf een 'Over ons'-webpagina heeft of als je personeel LinkedIn gebruikt. We kijken anders tegen een verzoek om bankgegevens aan als het afkomstig is van onze financiële afdeling dan van een "Nigeriaanse prins!" Door de afzender te wijzigen, wordt de e-mail gerichter en leert je personeel een gevaarlijke vorm van phishing, spear phishing, te herkennen.
Een andere strategie die je kunt gebruiken is het verzenden van e-mails naar slechts enkele medewerkers. Dit voorkomt dat het bericht de ronde doet, zodat je medewerkers hun vaardigheden zelf kunnen testen. We raden ook aan verschillende thema's te gebruiken voor je phishing-simulaties. Wat voor de ene medewerker eenvoudig is, kan moeilijk zijn voor de ander.
Phishing testing is net als naar de sportschool gaan
Als het phishing-simulatieprogramma een tijdje bezig is, kan het verleidelijk zijn om het van je to-do-lijstje te laten verdwijnen. Maar het is belangrijk dat je doorgaat met het programma, ook als je medewerkers continu hoge scores voor de tests halen.
Wat dat betreft lijkt phishing-testen veel op sporten! Als je een half jaar lang elke dag gewichten heft, voel je je sterk en denk je misschien dat je niet meer hoeft te trainen. Maar als je plotseling niet meer naar de sportschool gaat, worden je spieren zwakker en moet je hard werken om terug te keren naar het punt waar je was. Onze hersenen werken op dezelfde manier en zonder training kunnen je medewerkers moeite hebben met het herkennen van phishing-pogingen.
Het programma onderhouden is echter niet alleen om je medewerkers scherp te houden. Het is ook een manier om je personeel nieuwe phishing-methoden te leren en ervoor te zorgen dat alle nieuwe medewerkers net zo goed zijn opgeleid als de rest van jouw personeel.
Kortom, continu testen is de beste manier om jouw personeel voor te bereiden op het reageren op een echt phishing-scenario.
Gebruik de gegevens die je inzamelt om je trainingsmethodes te verbeteren
De gegevens die je door middel van deze phishing-tests inzamelt, zijn een waardevol middel bij je IT -veiligheidspraktijken. De gegevens die je bij elke campagne zou moeten ophalen zijn:
- Aantal mensen dat de link aanklikte
- Aantal mensen dat de verzochte handeling uitvoerde (bijv. het delen van persoonlijke informatie)
- Aantal mensen dat de e-mail correct rapporteerde
Met deze informatie kun je patronen beginnen te herkennen. De gegevens kunnen bijvoorbeeld gebruikt worden om:
- Verdere bewustwordingstraining te organiseren
- Te bepalen hoe goed medewerkers je interne rapportagebeleid begrijpen
- Extra training te geven aan mensen die daar het meest baat bij hebben
Overweeg om met een externe partner te werken
Omdat succesvolle phishing-tests doorlopend moeten worden uitgevoerd, kan het veel tijd kosten het programma draaiende te houden. Dat is een van de redenen waarom het zinvol kan zijn om met een externe aanbieder van trainingen te werken. Door samen te werken met een aanbieder van trainingen kun je tijd besparen bij het schrijven van test-e-mails, het beheer van de training en het analyseren van de resultaten.
En dat is precies wat onze phishing training doet. We stellen gesimuleerde phishing e-mails op en versturen deze naar je medewerkers. Je blijft echter onderdeel uitmaken van de procedure met toegang tot een live trackingplatform en samengestelde inzichten in hoe verschillende teams presteren. Als je meer wilt weten, aarzel dan niet om contact met ons op te nemen.
Vul phishing-tests aan met andere bewustmakingsactitiveiten
Phishing-testen zijn een aanwinst voor je team, maar je zou nog meer moeten doen! Je kunt phishing-simulaties zien als een onderdeel van een groter beveiligingsbewustzijnsprogramma. Net als met rijlessen slaag je niet met alleen theorie of alleen praktijk. Net zoals je zowel theorielessen als oefenen met rijden in het verkeer nodig hebt om een goede chauffeur te worden, heb je ook algemene bewustwordingstraining en gesimuleerde oefeningen nodig om een sterke cyberbeveiligingscultuur te krijgen!
Ons werk met IT-beveiliging laat ons zien dat een bewust team de meeste weerstand biedt tegen cyberaanvallen. Daarom is het belangrijk om een sterke cyberbeveiligingscultuur binnen je organisatie te handhaven. Afgezien van phishing-training, moet je andere initiatieven gebruiken om het IT-beveiligingsbewustzijn binnen jouw bedrijf te verbeteren en je werknemers te trainen om jouw sterkste verdediging te worden.
You will receive inspiration, tools and stories about good cyber security practice directly in your inbox. Our newsletter is sent out approximately once a month.