De nieuwsberichten over cybercriminelen en de ravage die ze achterlaten, zijn niet van de lucht. Omdat mensen de zwakste schakel zijn in je beveiliging maken cybercriminelen het meest gebruik van phishing. Ze zetten daarom graag succesnummers zoals CEO-fraude, malafide links en valse documenten met malware in. Maar hoe kom je er op tijd achter hoe gevoelig jouw organisatie is voor phishing? Hoe ontdek je hoeveel collega’s in alle drukte toch op verdachte links klikken? Met een phishingcampagne simuleer je het gedrag van een cybercrimineel en weet je direct waar er nog werk aan de winkel is.
Wat is een phishingcampagne?
Eerst even een stapje terug: wat is phishing eigenlijk? Phishing is een vorm van cybercriminaliteit waarbij criminelen per e-mail, SMS, WhatsApp of verkoopplatformen als Marktplaats “vissen” naar jouw pincodes, inlog-, bank- en persoonlijke gegevens. Daarnaast gebruiken ze phishing om malware te installeren of om de IBAN-nummers te wijzigen op jouw facturen. Zo betalen jouw klanten niet jou, maar de cybercrimineel voor je diensten. Tijdens een phishingcampagne werken wij met dezelfde technieken alleen dan met ethische doeleinden. Wij willen namelijk laten zien waar de kwetsbaarheden zitten in jouw bedrijf en hoe bewust medewerkers zijn van phishingtactieken.
Waarom een phishingcampagne?
Als jij een groot bedrijf hebt, misschien zelfs met meerdere vestigingen, is het onmogelijk om alle collega’s bij elkaar te brengen voor een fysieke bewustwordingssessie rondom cybersecurity. Een phishingcampagne is dan het efficiëntst, want hiermee stuur je alle medewerkers met één druk op de knop een valse e-mail. Zo bereik je iedereen, of ze nu op kantoor werken of thuis, en ontdek je hoe gevoelig jouw bedrijf is voor phishing en waar de grootste lekken precies zitten.
De invulling van een phishingcampagne
Hoe ziet zo’n phishingcampagne er dan uit? Wij maken gebruik van verschillende soorten phishingmails. Zoals:
-
Een phishingmail waarin we een linkje in de e-mailtekst plaatsen die leidt naar een “malafide website”. Vaak bootsen cybercriminelen hier een betaal- of inlogomgeving na om zo jouw inloggegevens te achterhalen.
-
Een phishingmail met daarin een bijlage met een link. Deze leidt dan naar een nagebootste Microsoft 365-omgeving. Hierbij onderzoeken we hoeveel mensen daadwerkelijk de mail openen, de bijlage aanklikken en hun gebruikersnaam en wachtwoord invoeren. Een soort trapsgewijs onderzoek dus.
-
CEO-fraude. Hierbij sturen we iedereen een e-mail uit naam van een leidinggevenden. In zo’n mail vragen we dan bijvoorbeeld om even snel geld over te maken of cadeaubonnen te kopen met de belofte dit geld terug te storten. Dit is een geliefde tactiek van cybercriminelen.
Resultaten van een phishingcampagne
Na het uitvoeren van de campagne presenteren we de resultaten. Dit doen we op verschillende manieren. We presenteren het rapport in een groepssessie waarin we globale resultaten weergeven, zonder het noemen van namen. Of we sturen via de e-mail een korte onlinetraining naar mensen die in de phishingmail trapten. Tijdens de groepssessie of de onlinetraining leggen we uit hoe je een phishingmail herkent, waar je op moet letten en hoe je jezelf scherp houdt.
Kwetsbaarder op je mobiel
Wat ons altijd opvalt, is dat mensen op hun mobiel veel gevoeliger zijn voor phishing. Op je desktop check je het adres van een link door er even met je muis overheen te gaan, maar bij je mobiel is dat niet mogelijk. Daarnaast lees je binnenkomende e-mails op je telefoon minder gefocust dan op je desktop. Tijdens een phishingcampagne onderzoeken we daarom ook hoe kwetsbaar jouw medewerkers zijn op hun mobiele telefoon en zorgen we ook voor bewustwording rondom mobiel werken.
Tips bij het voorkomen van phishing
Misschien heb jij nog geen phishingcampagne of securityscan op de planning staan, dus waar moet je in de tussentijd op letten? Wij geven je graag een aantal tips:
-
Controleer altijd een e-mailadres en let dan goed op de domeinnaam. Cybercriminelen passen vaak een klein detail aan. Wij mailen bijvoorbeeld met arcusit.nl, maar dan maakt de hacker er bijvoorbeeld arcusit.com van. Dat moet je maar net opvallen in alle drukte.
-
Kijk naar de opbouw van mailadressen. Misschien begint het wel met de juiste naam, maar als je dan verder kijkt, staat er ineens: hxsp73@hotmail.com. Dan weet je genoeg.
-
Let op zinsconstructie. We leven niet meer in de tijd van slechte Google Translate phishingmails van je Nigeriaanse oom, maar vaak herken je er een phishingmail nog wel aan.
-
Krijg je van je bank of belastingdienst een verzoek tot het delen van gegevens of iets dergelijks? Dat is bijna altijd slecht nieuws. Deze instanties versturen namelijk nooit dat soort e-mails.
-
Ga met je muis over links in de e-mail om te zien waar deze naartoe gaat.
-
Check de bestandsnaam van bijlages. Eindigt het op html? Open ze dan nooit, want dan zijn het internetlinks met daarin malware.
Uitvoeren van een phishingcampagne
Wil jij weten hoe gevoelig jouw bedrijf is voor phishing? En wil je bewustzijn creëren onder jouw medewerkers? Neem dan contact met ons op. Niet alleen zetten we graag een phishingcampagne voor je op, maar we kunnen ook je hele netwerk doorlichten met een securityscan. Mail ons op info@arcusit.nl of bel naar 088 058 59 00. Stay safe!