Het aantal cyberaanvallen blijft verder toenemen en bedrijven hebben moeite om zich afdoende te beveiligen. Natuurlijk wordt de technologie steeds sterker en moeilijker te doorbreken en daarom zijn mensen het zwakste punt geworden.
Dat moment waarop een onschuldige werknemer een persoonlijke e-mail opent tijdens zijn lunchpauze en op een link naar een phishingsite klikt, of het moment waarop iemand van HR een e-mail met het onderwerp 'contract' opent, met daarin een Word-document met een verborgen script dat ransomware downloadt – wat ook de aanleiding was voor een aanval, meestal beginnen ze heel onschuldig.
U hoeft zich geen zorgen te maken, het overkomt niet alleen u. Een artikel in Dark Reading oppert dat 20-30% van uw werknemers op een link in een phishingmail zou klikken. Dat is veel!
In een poging om dat aantal terug te brengen tot 0%, schrijf ik deze richtlijnen over phishingsimulatietests op basis van de testen die we uitvoeren bij GlobalSign. Onze IT Security Manager, Jeremy Swee, zorgt er al meer dan een jaar voor dat onze teams waakzaam blijven en goed opgeleid zijn in de kunst van phishingtactieken. We zijn een cyberbeveiligingsbedrijf en nemen dit soort zaken dan ook erg ernstig. Om die reden maken we een uitgebreide casestudy om u inspiratie te geven.
Voordat we van start gaan
Voordat je een phishingsimulatietest in een bedrijf kan uitvoeren, moet je eerst een inleidend opleidingsschema plannen. De initiële opleiding wordt aan alle huidige werknemers gegeven en daarna aan alle nieuwe werknemers bij indiensttreding (bij voorkeur voordat ze toegang krijgen tot hun e-mailaccounts).
Stel een e-mailadres in dat vergelijkbaar is met report-phishing@uworganisatie.com. dat de werknemers kunnen gebruiken wanneer ze vermoeden dat ze een phishingmail hebben ontvangen. Leg uit welke stappen ze moeten ondernemen om de e-mail te melden en geef hen de nodige middelen om de phishingmail te melden.
Scenario's
De eerste stap voor een goede phishingsimulatietest is de planning. Je kan een phishingtest best niet te vaak verzenden, want anders zullen mensen deze verwachten. Je voert een phishingtest best ook niet te weinig uit, omdat je anders over te weinig statistieken beschikt voor rapporten.
Je verstuurt een phishingmail best ook niet naar het volledige bedrijf tegelijk, omdat mensen dan achterdochtig kunnen worden. Daarom sturen we doorgaans één phishingtest per maand naar een testgroep van werknemers.
De volgende stap is de scenario's bedenken waarin je deze phishingmails verstuurt en deze plannen over een periode van 12 maanden. Je hoeft ze niet allemaal perfect te plannen, sommige zullen gebaseerd zijn op nieuwsberichten en dus meer ad hoc zijn, andere zullen gebaseerd zijn op echte phishingmails die je hebt gezien of die werden gemeld.
Vanaf nu moet je proberen te denken zoals een phishingaanvaller. Welke e-mails zouden ervoor zorgen dat je werknemers erop klikken? Kun je de werknemers ertoe verleiden om te klikken?
Hieronder vind je een aantal voorbeelden van afgelopen jaar bij GlobalSign.
De "wij betalen dit niet"-test
Probeer een phishingmail te sturen naar afdelingen die zich bezighouden met facturering. Geef de e-mail een boze toon om het personeel een gevoel van urgentie te geven en hen haastig te laten handelen. Phishingmails gebruiken deze techniek vaak om mensen bijlagen te laten openen of downloaden.
De les voor het personeel is dat ze het adres van de afzender moeten bekijken. Als ze de naam of het bedrijf niet herkennen, mogen ze niet overhaast handelen vanwege de toon van de e-mail.
De "krijg iets gratis"-test
Een andere psychologische truc die wordt gebruikt door phishingaanvallers, is de benadering "krijg iets gratis". Er is niets beters dan het idee om iets gratis te krijgen – wie zou niet verleid worden om te klikken?
Werknemers moeten leren dat er bij "gratis" altijd een addertje onder het gras zit en dat dergelijke e-mails altijd als verdacht moeten worden beschouwd. De muisaanwijzer over de links in de e-mail bewegen kan argwaan wekken, maar op dergelijke e-mails mag nooit worden geklikt omdat ze vaak kwaadaardig zijn.
De "actueel nieuws"-test
Een e-mail met actueel nieuws is voldoende om de gesprekken te beheersen in elke hoek van het bedrijf. Niet lang geleden was Brexit ongeveer het enige gespreksonderwerp in de Britse vestiging van GlobalSign. Dat was de perfecte gelegenheid om een gesimuleerde phishingmail op te stellen.
Werknemers zouden moeten zien dat het adres van de afzender niet herkenbaar was en wanneer ze met de muisaanwijzer over de link in de e-mail zouden bewegen, konden ze daar ook iets verdachts zien. We communiceren doorgaans ook niet intern over dit soort onderwerpen in de vorm van een e-mail, dus dat zou ook de nodige argwaan moeten wekken bij medewerkers die al lang genoeg bij ons bedrijf werken.
De "populaire trend"-test
Toen Pokemon Go uitkwam, speelde iedereen het. U kent vast en zeker minstens één persoon in uw organisatie die tijdens zijn lunchpauze op jacht ging. Wanneer een populaire trend een organisatie bereikt, kunnen phishingaanvallers deze gebruiken om binnen te dringen in het beveiligingssysteem.
Werknemers zouden moeten zien dat het adres van de afzender niet intern is en dat de link verdacht is.
Rapportering en opleiding
Als je een goede phishingsimulatietool gebruikt, maakt rapportering deel uit van het pakket. Belangrijke statistieken zijn het aantal geopende e-mails, de doorklikratio en hoeveel personen het incident hebben gemeld volgens de stappen die je hen hebt gegeven voordat je met de test begon.
De verwachting is dat de doorklikratio bij trends daalt, terwijl de meldingsratio stijgt. Je kan deze resultaten gebruiken om de zwakste link in je organisatie te identificeren. Ga vooral na welke afdelingen of wereldwijde kantoren het meest op links klikken.
Kijk ook welke individuen het meest op de links klikken. Als blijkt dat een specifieke persoon regelmatig op phishinglinks klikt, kan het aangewezen zijn om die persoon een meer gepersonaliseerde opleidingssessie bij een IT-medewerker te laten volgen.
Het goede aan het verzenden van phishingsimulatietests is dat je de opleiding kunt aanpassen en afstemmen op basis van de resultaten. Dit zorgt op zijn beurt voor meer efficiëntie in jouw bedrijf, omdat je geen opleiding hoeft te geven aan werknemers die dit niet nodig hebben.
Opvolgen met een e-mail
Enkele dagen tot een week na het verzenden van een phishingsimulatie, verstuur je best een follow-upbericht. Leg uit waarom dit scenario werd bedacht en waarom werknemers dit hadden moeten merken.
Hieronder vind je een voorbeeld van een follow-upbericht uit onze "we betalen dit niet"-test.
Dag iedereen,
De recente gesimuleerde phishingmail die werd verzonden op 20 december 2016 was gebaseerd op een echte phishingmail die aan ons werd gemeld door een van onze collega's. Het was een ongewone phishingmail die werd opgesteld in een indeling die we nog nooit eerder hadden gezien.
De phishingmail ziet eruit alsof u de eerste e-mail hebt gestuurd en deze een antwoord daarop was, bedoeld om het wantrouwen van de ontvanger te verminderen.
Dit zijn enkele tekenen die op phishing kunnen wijzen:
- Gebruik van grove taal om de ontvanger een gevoel van urgentie te geven
- Link ziet er verdacht uit
Veel werknemers hebben ons laten weten dat ze hun map met verzonden e-mails hadden gecontroleerd en nooit hadden gecommuniceerd met de afzender. Sommigen van hen gingen nog een stap verder en verifieerden of het e-mailadres van de afzender in onze klantendatabase in Salesforce stond.
We zijn gestart met de verwachting dat dit scenario op basis van een goed opgestelde phishingmail een groot aantal slachtoffers zou maken, maar we zijn heel blij te kunnen melden dat de meesten van onze werknemers ons een stap voor waren en de e-mail proactief hebben gecontroleerd voordat ze erop klikten.
Blijf verdachte e-mails aan ons melden, zelfs als u al erop hebt geklikt, door een e-mail te sturen naar report-phishing@globalsign.com.
Met vriendelijke groet,
Jeremy
Dit soort e-mails zal helpen om uw werknemers beter bewust te maken.
De juiste tools
Een phishingsimulatietool is essentieel voor de IT-afdeling van elke organisatie. Testphishingmails naar werknemers sturen houdt hen alert en simuleert verschillende omstandigheden waarin een aanval kan plaatsvinden.
Een andere belangrijke tool zijn digitale certificaten. Het is belangrijk dat je digitale certificaten implementeert om de gebruikers in jouw organisatie te identificeren en authenticeren. E-mails die digitaal zijn ondertekend valideren de afzender van de e-mail en zorgen ervoor dat echte e-mails onderscheiden kunnen worden van valse e-mails. In combinatie met opleiding zal dit het risico doen dalen dat werknemers phishingmails openen die afkomstig lijken te zijn van collega's.
Neem vandaag nog contact met ons op als u meer wilt weten over het implementeren van digitale certificaten voor interne e-mailcommunicatie