Plan een persoonlijke demo
Terug naar Resource Center

Waarom de meeste phishing simulaties meer kwaad dan goed doen (en hoe we dat oplossen)

guardey-sprint-meeting
Pim de Vos Marketing Manager

Veel organisaties maken standaard gebruik van standaard phishing simulaties. En terecht.

Het aantal phishing aanvallen is sinds 2019 elk jaar met meer dan 150% gestegen. In 2022 heeft APWG meer dan 4,7 miljoen phishing aanvallen gelogd. Volgens onderzoek van de FBI zijn phishing scams goed voor bijna 22 procent van alle datalekken die plaatsvinden.

Om dit tegen te gaan kiezen veel organisaties voor phishing simulaties om de gevoeligheid van hun medewerkers te testen.

Wij geloven echter (en onderzoek toont dat nu aan) dat de meeste organisaties hun werknemers niet helpen met hun phishing simulaties. In feite maken ze hen zelfs kwetsbaarder voor phishing.

In dit artikel leggen we uit waarom de meeste phishing simulaties meer kwaad dan goed doen en hoe je dat kunt voorkomen.

Probleem #1: template e-mails bereiden werknemers niet voor op spear phishing

Veel security professionals kiezen voor een phishing simulatiestrategie gebaseerd op regelmaat en efficiƫntie. Dit betekent dat ze hun medewerkers vaak op de proef willen stellen, maar niet veel tijd willen besteden aan het samenstellen van de simulaties. Het doel is om het proces zoveel mogelijk te automatiseren.

Als je op internet zoekt naar aanbieders van phishing simulaties, zul je zien dat veel van hen op dit sentiment inspelen. Ze bieden sjablonen, AI-gegenereerde phishing e-mails en automatisch verzonden e-mails. Dit helpt security professionals om 'phishing tests' van hun to-do lijst af te vinken zonder zich in het zweet te werken. Missie geslaagd.

Deze sjablonen bereiden werknemers echter niet voor op de gevaren van spear phishing.

Spear phishing is een phishing methode waarbij phishers hun doelwit zorgvuldig onderzoeken. De aanval lijkt daarom afkomstig van een vertrouwde bron in het leven van het doelwit. Ze gebruiken de informatie die ze hebben verzameld en social engineering-technieken om het doelwit op een kwaadaardige link te laten klikken.

Stel je voor dat een cybercrimineel het e-mailadres van een van je leveranciers hackt. In een van de e-mails vinden ze precies welke producten ze moeten leveren en hoe de factuur eruitziet. Het enige wat ze nu nog hoeven te doen is de factuur kopiƫren, de bankrekeninggegevens veranderen en deze naar je financiƫle afdeling sturen vanaf een e-mailadres dat je financiƫle afdeling vertrouwt. Dit is voor je medewerkers veel moeilijker te herkennen als phishing dan een standaardsjabloon.

Spear phishing e-mails zijn veel moeilijker te herkennen voor doelwitten. En omdat de simulaties op phishing deze technieken niet gebruiken, bereiden ze je werknemers niet voor op de echte cyberrisico's die ze lopen. In het beste geval geven ze zowel de beveiligingsmedewerker als de medewerkers een vals gevoel van veiligheid. De details maken het verschil als het gaat om phishing en dat soort aandacht voor details kun je niet automatiseren.

Probleem #2: phishing simulaties in combinatie met vrijwillige training zijn niet effectief

Recent onderzoek toont aan dat de combinatie van een phishing simulatie met vrijwillige training werknemers niet weerbaar maakt tegen phishing, maar hen vaker meer vatbaarder maakt om op phishing links te klikken. Dit is in tegenspraak met al het eerdere onderzoek en met een gangbare praktijk in de sector.

Hoe ziet die gangbare praktijk er dan uit?

Eerst krijgen alle medewerkers een phishing mail . Als iemand op een link klikt, wordt hij doorgestuurd naar een training pagina. Hier krijgen ze vrijwillig training (wat betekent dat ze er gewoon voor kunnen kiezen om het niet te doen) over wat er zojuist is gebeurd en hoe ze phishing in de toekomst kunnen herkennen. Het idee is dat wanneer iemand net is gefisht, hij meer openstaat voor training en dat het vasthouden van kennis op zijn hoogtepunt is.

Onderzoek suggereert nu echter dat phishing simulaties in combinatie met vrijwillige training niet effectief zijn. Daar zijn een paar mogelijke redenen voor:

  • Werknemers hebben het gevoel dat ze 'hun lesje hebben geleerd' na een phishing simulatie, maar doen niet vrijwillig mee aan een training.
  • Werknemers die niet op een link klikken tijdens een phishing simulatie krijgen geen enkele vorm van security awareness training
  • Mensen kunnen zich niet goed concentreren op een training vlak nadat ze zich 'betrapt' voelen tijdens een phishing simulatie.
  • Medewerkers hebben regelmatig training nodig om zich echt bewust te worden van en kennis te vergaren over cyberrisico's zoals phishing

Hoe je phishing simulaties op de juiste manier uitvoert

We hebben nu vastgesteld dat er twee grote problemen zijn met de manier waarop phishing simulaties tegenwoordig vaak worden uitgevoerd:

  • Template e-mails bereiden werknemers niet voor op een spear phishing
  • Phishing simulaties in combinatie met vrijwillige training zijn niet effectief

Het afgelopen jaar hebben we samengewerkt met bedrijfseigenaren, security professionals en andere mensen die verantwoordelijk zijn voor de beveiliging binnen organisaties om dit op te lossen.

We bieden nu spear phishing simulaties aan. Tijdens deze simulatie werken we samen met een organisatie om phishing e-mails te ontwikkelen die authentiek en betrouwbaar lijken voor alle beoogde werknemers. Dit kan bijvoorbeeld door een e-mail te emuleren van een HR-softwaretool die de organisatie gebruikt.

Dit kost meer tijd dan het werken met sjablonen. Maar wij geloven in kwaliteit boven kwantiteit. Als een cybercrimineel tijd gaat investeren in het hacken van jou, moet je ook de tijd nemen om je medewerkers te trainen. Je kunt niet alles automatiseren. Daarom adviseren we om slechts Ć©Ć©n of twee keer per jaar een spear phishing simulatie te doen.

Daarnaast bieden we een security awareness spel dat werknemers leert hoe ze cyberrisico's kunnen herkennen en hoe ze moeten handelen, inclusief phishing. Elke week mogen medewerkers een cyber security uitdaging aangaan die maximaal drie minuten duurt. Dit helpt hen om kennis op te bouwen en zich elke dag van de week bewust te blijven van cyberrisico's .

In het spel begint elke gebruiker een fictieve organisatie. Door uitdagingen aan te gaan, kunnen ze geld verdienen voor hun bedrijf en de reputatie verbeteren. Maar als ze vragen fout beantwoorden, verliezen ze geld en verslechtert hun reputatie. In het leaderboard kunnen ze zien welke collega's de meeste punten scoren. Dit zorgt voor een leuk competitie-element en verbetert vaak de deelname.

De security awareness game traint de kennis van je team en de spear phishing simulatie test hoe gevoelig ze zijn voor phishing in de praktijk.

šŸ“š Lees hoe Roosevelt Kliniek phishing bewustzijn traint met Guardey

Bescherm je organisatie tegen phishing met Guardey

Wij zijn ervan overtuigd dat je phishing preventie niet kunt automatiseren. Er is regelmatige training en gerichte spear phishing nodig om je werknemers echt weerbaar te maken.

Als je onze oplossing wilt uitproberen, plan dan gerust een demo in.

Anouk CTA Guardey website
GRATIS 14-DAGEN UITPROBEREN

Ervaar Guardey vandaag nog.

  • Probeer volledig risicovrij
  • 24/7 support
Start 14 dagen gratis