19 december 2024 • Phishing
Elke dag worden naar schatting 3,4 miljard phishing e-mails verstuurd door cybercriminelen.
Daarom investeren organisaties in technologie en beleid om hun data veilig te houden tegen deze aanvallen. Wat echter vaak wordt vergeten, is de menselijke factor.
Om de kans op een phishingaanval te verkleinen, is het van cruciaal belang dat je je medewerkers leert phishing te herkennen en dit te melden aan de juiste personen binnen je organisatie. Een uitstekende manier om weerstand tegen phishing op te bouwen is door middel van een phishingsimulatie.
Maar met een breed scala aan beschikbare softwareoplossingen, hoe weet je dan welke phishing simulator de juiste is voor jouw bedrijf? In dit artikel leiden we je door de beste opties die we konden vinden.
De 17 beste phishing simulatie software tools:
- Guardey
- Sophos Phish Threat
- Gophish
- Attack Simulation Training by Microsoft
- Hoxhunt
- Cofense PhishMe
- Infoseq IQ
- Safetitan
- Cyber Guru
- Phishingbox
- uPhish (by Usecure)
- Wizer
- Barracuda
- Arctic Wolf
- Phished
- Proofpoint
- Fortra Terranova Security
1. Guardey

Guardey biedt een combinatie van security awareness training en phishing simulaties.
Je zet eenvoudig een phishing simulatie op in slechts enkele minuten:
- Kies een phishing template uit de bibliotheek
- Beslis naar welke medewerkers het gestuurd moet worden en wanneer
- Whitelist je domein
- Begin met versturen
In een real-time dashboard houd je belangrijke statistieken bij, zoals hoeveel e-mails zijn verstuurd, hoe vaak een e-mail is geopend, een link is aangeklikt en data is ingediend.
Wat Guardey onderscheidt van de alternatieven, is dat zij ook gegamificeerde security awareness training aanbieden. Werknemers gaan wekelijks uitdagingen aan, waarin ze leren over allerlei phishingbedreigingen en een breed scala aan andere beveiligingsrisico's. In een leaderboard kunnen ze met elkaar de strijd aangaan, wat bewezen heeft de betrokkenheid te vergroten. Gebruikers kunnen punten scoren door goed te presteren tijdens de training en door phishing (simulaties) te rapporteren.
Guardey is van mening dat de beste manier om phishing awareness te creëren, is door wekelijks training te volgen en regelmatig een phishing simulatie uit te voeren om de effectiviteit van de training te testen.
Voordelen
- Gebruiksvriendelijk platform (zet een campagne op in enkele minuten)
- Gamification om gebruikers te motiveren
- Gratis trial beschikbaar
- Transparante prijzen
Nadelen
- Het training platform maakt geen gebruik van videocontent, wat voor sommige organisaties een nadeel kan zijn.
Review
“De phishingresultaten maakten duidelijk dat er werk aan de winkel was om de phishing awareness te verbeteren. Als we onze mensen zover krijgen dat ze meer phishingincidenten herkennen en rapporteren, kunnen we actie ondernemen en de schade tot een minimum beperken. Vanaf nu willen we twee keer per jaar een phishing simulatie uitvoeren met Guardey, om te zien of dit verbetert.” – Bron
💡 Plan een demo met een Guardey specialist om meer te leren
2. Sophos Phish Threat
Sophos biedt een combinatie van phishing simulaties en Security Awareness Training op één platform. Het platform biedt een gratis proefperiode, dus hebben we ons aangemeld en zelf een kijkje genomen.
Je zet een campagne op met behulp van een van de 500 phishing templates uit de bibliotheek van Sophos. Er is een breed scala aan onderwerpen beschikbaar, zoals een e-mail over een employee engagement service en een e-mail over nieuwe parkeerregels. We waarderen de specificiteit hiervan. Je kunt deze templates ook aanpassen om ze aan je behoeften te laten voldoen.
Naast de phishing simulaties stelt het platform je in staat om medewerkers te trainen in het herkennen van phishing. Het is beschikbaar in 10 talen en wordt geleverd met geanimeerde video's, zoals je in de video hierboven kunt zien.
Voordelen
- Wordt geleverd met een gratis trial, zodat je kunt proberen voordat je koopt
- Combinatie van simulations en training
- Breed scala aan templates
- Biedt een reporting button in Outlook
Nadelen
- De training is wat eendimensionaal (focust alleen op phishing)
- De video content voelt langdradig en verouderd aan
Review
“Het gemak van het opzetten van phishing awareness campagnes, de geïntegreerde Outlook “Report Message” knop en de rapporten zijn de sterke punten van het product. Blijkbaar heeft Sophos, als gevolg van juridische uitdagingen van Microsoft, al hun campagnes verwijderd die waren ontworpen om eruit te zien als Microsoft phishing en credential harvesting aanvallen. Dit is jammer, aangezien veel real-life aanvallen een Microsoft gebruikersauthenticatie-ervaring nabootsen en zeer effectief zijn in het misleiden van personeel om hun gebruikersnamen en wachtwoorden prijs te geven.” – G2
3. Gophish
GoPhish is een open-source phishing framework dat je in staat stelt om bestaande e-mails te kopiëren voor phishing campagnes. De links worden automatisch vervangen en de ingevoerde waarden worden vastgelegd, zodat je precies kunt zien wie heeft geklikt en waardevolle data heeft ingevuld.
De set-up van GoPhish vereist enige technische vaardigheid. Je kunt de installatiegids op Github gebruiken of een ander platform gebruiken om het werkend te krijgen. Maar zodra het werkt, is het een krachtige tool om je eigen gepersonaliseerde phishing campagnes op te zetten.
Voordelen
- Gratis te gebruiken
- Open-source
- Eenvoudig bestaande e-mails gebruiken
Nadelen
- Vereist technische kennis
- Wordt niet geleverd met een training module
Review
“We hebben onze eigen GoPhish server opgezet met behulp van een AWS instance, en het kostte behoorlijk wat werk om het draaiende te krijgen. Een van de moeilijkere onderdelen was om Gmail te laten voorkomen dat test-e-mails automatisch als phishing/scam werden gemarkeerd en daarmee het hele testen van onze gebruikers te omzeilen.” – Reddit
4. Attack Simulation Training van Microsoft
Microsoft Outlook is de meest gebruikte e-mailclient die er is, dus het is logisch dat ze hun eigen phishing simulator hebben ontwikkeld. Ze noemen het Attack Simulation Training, wat deel uitmaakt van hun Microsoft Defender product.
Attack Simulation training laat je kiezen uit verschillende social engineering technieken:
- Credential harvest
- Malware attachment
- Link in bijlage
- Link naar malware
- Drive-by URL
Op het reporting dashboard van het product zie je hoeveel gebruikers een simulation hebben ervaren, hoeveel training hebben afgerond na het falen van een phishing test, en zelfs hoeveel herhaaldelijke 'overtreders' actief zijn binnen je organisatie.
Voordelen
- Onderdeel van het Microsoft 365 ecosysteem
- Goede rapportage
- Meerdere social engineering technieken om uit te kiezen
Nadelen
- Gebruikers geven aan dat het training product niet voldoet aan de verwachtingen.
- Gebruikers geven aan dat het product duur is in vergelijking met andere alternatieven
Review
“De training modules lijken solide, zeker niet zoveel als KnowBe4 of andere, maar wat ze hebben lijkt voldoende. Duurder dan de concurrentie, althans als je puur kijkt naar phish testing & infosec training.” – Reddit
5. Hoxhunt
Hoxhunt biedt wat het een human risk management platform noemt. Het biedt geen gratis proefperiode, dus je moet contact opnemen met de salesafdeling om een beter begrip te krijgen van hoe het werkt.
Maar zo werkt het in het kort:
- Je zet phishing simulaties op
- Op basis van hoe je medewerkers interacteren met die simulations, krijgen ze training materiaal toegewezen.
- Gebruikers kunnen punten scoren door goed te presteren tijdens training en door phishing te herkennen en te rapporteren.
Hoxhunt biedt een geweldige en complete oplossing voor phishing, het wordt echter door velen als prijzig beschouwd en is voornamelijk geschikt voor enterprise organisaties.
Voordelen
- Gamification
- Gebruiksvriendelijk dashboard voor admins
Nadelen
- Geen gratis proefperiode
- Voornamelijk gericht op enterprise organisaties
- Sommige phishing templates zijn makkelijk te herkennen als nep
Review
“Het idee van e-mails die echt lijken is geweldig. Ik denk dat het mensen helpt te beseffen hoe eenvoudig het is om iemand te verleiden op een link te klikken of een bijlage te openen. Het dashboard is eenvoudig te navigeren, de scoring onder andere binnen het bedrijf is interessant. De interactiviteit op het dashboard is geweldig en nodigt uit tot meer voltooiingen. De e-mails zijn echter erg eenvoudig en zijn op het eerste gezicht te herkennen als afkomstig van Hoxhunt. Zelfs wanneer je geabonneerd bent op de 'spicy mode', zijn die e-mails ook niet erg geavanceerd.” – G2
6. Cofense PhishMe
Het phishing product van Cofense heet PhishMe. Een citaat uit hun video: het phishing simulatieprogramma dat de prooi in jagers verandert. Hiermee bedoelen ze dat jouw medewerkers op jacht gaan naar phishing e-mails. We waarderen de spitsvondigheid.
Het platform biedt een combinatie van drie pijlers:
- Security Awareness Training: een combinatie van simulations en herstellende training
- Malicious email reporting: de mogelijkheid om een e-mail te rapporteren vanuit je e-mailclient
- Risk validation: de mogelijkheid om inzicht te krijgen in het risicoprofiel van elke individuele medewerker
Voordelen
- Compleet product met simulations en training
- Diepgaande rapportage over individuele prestaties
- Een spitsvondige videoscriptschrijver 😉
Nadelen
- Vereist doorlopend onderhoud
- Gebruikers raken verveeld door de herhaalde simulaties
- Het beheren van de training initiatieven wordt door gebruikers vaak tijd- en resource-intensief genoemd.
Review
“Cofense PhishMe's meest voordelige feature is de capaciteit om cybersecurity proactief te verbeteren. Dit bereikt het door middel van realistische, aanpasbare phishing simulations die gebruikers in staat stellen phishing threats effectief te identificeren en tegen te gaan. Nadelen van Cofense PhishMe kunnen de noodzaak van continu onderhoud, potentiële gebruikersvermoeidheid door repetitieve phishing simulations, en de resource-intensieve taak van het beheren van training initiatieven omvatten.” – G2
7. Infoseq IQ
Infoseq IQ biedt gepersonaliseerde awareness training aan op basis van het unieke risicoprofiel van elke medewerker. Dit doen ze op een vergelijkbare manier als Hoxhunt:
- Versturen van phishing simulaties
- Automatisch analyseren hoe de gebruiker reageert
- Wijs training toe op basis van prestaties
Veel recensenten zijn enthousiast over het platform, maar vermelden dat de rapportagemogelijkheden verbeterd kunnen worden.
Voordelen
- Eenvoudig opzetten van campagnes
- training gebaseerd op individueel risicoprofiel
Nadelen
- Rapportagefunctionaliteit kan worden verbeterd
- Geen gratis proefperiode
Review
“De interface van de tool blijft zich constant ontwikkelen om het beter te maken voor hun klanten. Ik werk al een jaar met de tool en zie veel verbetering in de gebruikersinterface. Rapportage en metrics kunnen beter. Soms is het moeilijk om de metrics handmatig te achterhalen. Ook zou er een manier moeten zijn om inactieve accounts automatisch te verwijderen.” – G2
8. Safetitan
Het opzetten van een phishing campaign in Safetitan is eenvoudig. Je kunt doorlopende campaigns opzetten voor simulations die nooit stoppen. Net als bij andere oplossingen worden training sessies getriggerd op basis van hoe de gebruikers interacteren met de verstuurde phishing emails.
Voordelen
- Eenvoudige set-up
- Gebruik phishing emails met templates en training content
- Elke maand wordt er een geautomatiseerd rapport verstuurd
Nadelen
- Geen gratis proefperiode
- Het admin panel kan worden verbeterd
Review
“De geautomatiseerde aanpak van SafeTitan om medewerkers te trainen op basis van specifiek gedrag is een effectieve functionaliteit. Dit betekent dat ik de algemene Security awareness training niet zelf hoef in te richten voor het hele team.” – G2
9. Cyber Guru
Cyber Guru is een platform uit Italië dat zowel een training programma als phishing simulaties aanbiedt. Zo hebben ze het georganiseerd:
- Awareness training: een e-learning-gebaseerd programma
- Channel training: een videoserie
- Phishing training: adaptieve anti-phishing training (inclusief simulations)
Als een gebruiker 'faalt' in een simulation, moet diegene een micro training sessie volgen. Deze sessie is specifiek afgestemd op de phishing email waarop ze zojuist hebben geklikt. Er zijn veel experts die dit afraden, omdat deze vorm van training gemakkelijk als straf kan worden ervaren.
Voordelen
- Compleet platform met training en simulaties
- Bevat video content (hoewel deze video's soms wat langdradig zijn, geven sommige organisaties er de voorkeur aan)
Nadelen
- Geen gratis proefversie beschikbaar
- trainingssessies na het falen van een phishing simulatie kunnen aanvoelen als een straf
- Het platform maakt geen gebruik van gamification om gebruikers te motiveren
Review
“We hebben alleen de phishing-functionaliteit geprobeerd; praktische training zonder dat gebruikers cursussen hoeven te volgen, eenvoudig te implementeren en gemakkelijk te begrijpen. Resultaten zijn na verloop van tijd zichtbaar, maar er is behoefte aan stimulansen vanuit het bedrijf.” – Gartner
10. Phishingbox
Phishingbox heeft misschien geen gratis proefversie, maar het is niet bang om het platform te laten zien. In de bovenstaande video krijg je een duidelijk beeld van wat je met hun platform kunt doen.
Om een simulatie in Phishingbox op te zetten, kun je kiezen uit een breed scala aan phishing templates in hun bibliotheek. De e-mails vullen enkele variabelen in, zodat ze gepersonaliseerd zijn voor elke individuele gebruiker.
Phishingbox biedt veel ruimte voor customization. Je kunt bijvoorbeeld bepalen welke acties op de landing page worden getrackt (gegevens invullen, op een inlogknop klikken, enzovoort).
Wanneer de gebruiker ‘faalt’ bij een phishing-simulatie, wordt deze doorgestuurd naar een training. Dit is echter een praktijk die vaak wordt afgeraden door onderwijskundigen, omdat het als straf kan worden ervaren.
Voordelen
- Grote bibliotheek met templates
- Veel ruimte voor customization van de campagnes
Nadelen
- De UI ziet er een beetje gedateerd uit
- trainingssessies na het 'falen' van een simulatie kunnen aanvoelen als een straf
Review
“Een ongecompliceerde productervaring - meer dan genoeg om de klus te klaren voor MKB's. Zeg wat je wilt over de effectiviteit van Phishing Campaigns, maar in veel gevallen zijn deze vereist voor cyber insurance en dergelijke. De UI kan een beetje verwarrend zijn, vooral rond de campagneplanning, maar het is zeker werkbaar en ik verwacht dat het zal blijven verbeteren naarmate het product volwassener wordt.” – G2
11. uPhish (door usecure)
usecure is een bekend Security Awareness Training platform met een speciaal product voor phishing: uPhish. Met uPhish stel je phishing-simulaties in en volg je wanneer mensen een e-mail hebben geopend, de link daarin hebben bezocht en wanneer hun gegevens zijn gecompromitteerd. Je kunt ook volgen of de gebruiker het incident vervolgens meldt, wat je een compleet overzicht geeft van je huidige kwetsbaarheden.
De UI van uPhish is clean en gebruiksvriendelijk. Je kunt kiezen uit een breed scala aan phishing templates, inclusief landing pages, bijlagen en een combinatie van beide.
Voordelen
- Grote template bibliotheek
- Gebruiksvriendelijk platform
- Overzichtelijke UI
Nadelen
- Geen gratis proefversie beschikbaar
- Het customization proces kan enigszins tijdrovend zijn
Review
“Het platform is erg gebruiksvriendelijk en gemakkelijk te navigeren. De laadtijden waren voor mij ook snel. De trainingsoefeningen op een lager niveau zijn soms te eenvoudig, en er zou nog meer informatie kunnen worden opgenomen.” – G2
12. Wizer
Wizer is een platform dat 'smart phishing' simulaties aanbiedt. Ze hebben een template bibliotheek die is georganiseerd op kalenderdata. Tijdens de feestdagen zie je vakantie-gerelateerde templates, en eind januari zie je een 'End of Year Taxes' template. Dit maakt het makkelijker om templates te vinden die nu relevant zijn voor jouw organisatie.
Je kunt eenvoudig bepalen naar wie je de phishing mails wilt sturen:
- Alle gebruikers
- Afdelingen
- Of specifieke gebruikers
Wizer heeft een mooie interface en is eenvoudig te beheren voor admins.
Voordelen
- Eenvoudig relevante phishing templates te vinden
- Eenvoudig te onderhouden voor admins
Nadelen
- Geen gratis proefperiode
- De video's in het trainingsmateriaal kunnen wat langdradig zijn.
Review
“Wizer is veel eenvoudiger in te stellen en te beheren dan ons vorige platform. De training bestaat uit hapklare video's die het onderwerp goed behandelen zonder langdradig te zijn. Onze vorige trainingsaanbieder bood meer tools en rapportages, maar dit maakte de admin console ook rommeliger en moeilijker te navigeren.” – G2
13. Barracuda
Barracuda is bekend als een e-mail security product, dat al veel phishing e-mails stopt voordat ze je inbox bereiken. Ze hebben echter ook een security awareness product ontwikkeld als aanvulling hierop.
Met dit product simuleer je e-mailbedreigingen, analyseer je gebruikersgedrag en kies je uit een breed scala aan training content om gebruikers in staat te stellen phishing van ver te herkennen.
Voordelen
- Interessante optie als je ook zoekt naar een technische phishing blocking oplossing
- Grote verscheidenheid aan phishing templates
Nadelen
- Het instellen van trainingsmodules kan tijdrovend zijn.
- Sommige gebruikers geven aan dat het minder user-friendly is
Review
“Ik denk dat in de huidige omgeving phishing- en spambescherming kritieker is dan welke endpoint protection dan ook. Gebruikers zijn de zwakste schakel in cybersecurity en de bescherming van elke organisatie. Barracuda SAT vervult de rol voor training en awareness van eindgebruikers over waar ze op moeten letten. Het kan moeilijk te beheren zijn en zonder Executive buy-in om compliance af te dwingen, kan het tijdverspilling zijn. Er zijn andere producten die gemakkelijker te gebruiken en te beheren zijn.” – G2
14. Arctic Wolf
Arctic Wolf is vergelijkbaar met Barracuda, omdat het een breed security platform biedt. Security awareness is niet hun hoofdfocus, maar ze bieden het wel aan als product.
Het security awareness product, dat ze ‘Managed Security Awareness’ noemen, combineert een training platform en een phishing simulator.
Het training platform biedt korte micro-lessen die niet veel tijd van een medewerker in beslag nemen. Elke maand wordt er nieuwe content aan het platform toegevoegd, waaronder zogenaamde ‘rapid response training’ over opkomende bedreigingen.
Als een gebruiker ‘faalt’ bij een van de phishing-simulaties, wordt deze naar een micro training gestuurd. Hier leert deze over het belang van het melden van een phishing-e-mail de volgende keer. Zoals we eerder hebben aangegeven, wordt deze tactiek door sommigen geprefereerd, maar door veel onderwijskundigen afgekeurd omdat het aanvoelt als een straf.
Voordelen
- Een gecombineerde training en phishing simulatie oplossing
- Interessant als je zoekt naar een all-in-one security oplossing
Nadelen
- Geen gratis proefperiode
- Geen transparante prijzen op de website
Review
“De security awareness is kort, to the point en toch effectief. De trainingen hebben geleid tot discussies over de content en de relevantie voor onze organisatie, evenals enkele van de meer amusante onderdelen. Alle trainingen met de vertegenwoordiger, en de training over MFA fatigue waren favoriet.” – Gartner
15. Phished
Phished (petje af voor de slimme merknaamkeuze) biedt ook een combinatie van training en phishing simulaties.
Met Phished automatiseer je het hele proces van het versturen van phishing simulaties, waardoor je IT team tijd bespaart. De content is afgestemd op de locatie van je organisatie, de bedrijfscontext en actuele gebeurtenissen. Je kunt de content ook aanpassen aan individuen, om ervoor te zorgen dat ze op de meest zinvolle manier worden getest. Hoe goed de mate van automatisering werkelijk is, is moeilijk te zeggen. Er is geen gratis proefversie van het product beschikbaar.
Voordelen
- Volledig geautomatiseerde phishing campagnes
- Aangepaste campagnes voor individuen
Nadelen
- Geen transparante prijzen op de website
- Geen gratis proefperiode
Review
“Phished maakt een moeiteloze setup en beheer van simulatie phishing e-mails mogelijk. Het control dashboard is zeer beperkt gedocumenteerd. Het dashboard is uitgebreid, maar de logica van de structuur is niet altijd duidelijk (hoewel het dat waarschijnlijk wel is voor de developers).” – G2
16. Proofpoint
Het security awareness product van Proofpoint richt zich voornamelijk op het identificeren van individuen met een hoog risico binnen organisaties. Dit doen ze door rollen, kwetsbaarheden, aanvalsrisico en zakelijke privileges te evalueren.
Ze meten menselijk risico op basis van de volgende aspecten:
- Gedragskeuzes
- Dreigingscontext
- Rollen en zakelijke privileges
- Vaardigheden en culturele attitudes
- Phishing/USB/SMS simulaties gebaseerd op realistische aanvallen
Het platform heeft geen gratis proefversie en de prijzen worden niet transparant gecommuniceerd op de website. Om het product zelf in actie te zien, moet je contact opnemen met hun salesafdeling.
Voordelen
- Toont menselijk risico op individueel niveau
- Biedt ook SMS simulaties (smishing)
Nadelen
- Voornamelijk gericht op enterprise organisaties
- Geen transparante prijsstelling
- Geen gratis proefperiode
Review
“Vanuit een beheerdersperspectief is het ontworpen om een vinkje te zetten voor compliance, in plaats van de gebruikersbasis daadwerkelijk te onderwijzen. Het product is onhandig en slecht geïntegreerd in de rest van Proofpoint's platform/diensten.” – G2
17. Fortra Terranova Security
Fortra Terranova biedt een zeer breed scala aan security oplossingen. Dit betekent dat security awareness (en phishing simulaties) niet per se hun focus is, maar ze bieden het wel aan als product.
Ze bieden een mix van gamified content om de training ervaring boeiend te maken, terwijl ze ‘real-world phishing simulaties’ integreren, wat moet betekenen dat de templates zeer overtuigend zijn.
Voordelen
- Kan interessant zijn voor organisaties die op zoek zijn naar een all-in-one product
- Biedt zowel training als phishing simulaties
- Gratis proefperiode
Nadelen
- Geen transparante prijsstelling
- Geen focus op alleen security awareness
Review
“Ik gebruik voornamelijk de simulatiefunctionaliteit en ben daar best tevreden mee. Ik vind de manier waarop een simulatie is opgebouwd met een stap-voor-stap aanpak, gevisualiseerd met tabs, prettig. Het helpt precies te begrijpen wat er nog moet gebeuren. De interface is gebruiksvriendelijk. Ik vind het niet prettig dat er geen eenvoudige manier is om een bestaande template die ik heb gemaakt te kopiëren en te hergebruiken. Ik moet eigenlijk e-mail- en feedbacktemplates kopiëren en plakken, wat onnodig is. Er is ook een soort bug gerelateerd aan e-mailinstellingen en de mogelijkheid om het verzenden van e-mails te testen. Het is onduidelijk hoe de testfunctionaliteit precies werkt.” – G2
Conclusie
Er is een breed scala aan softwareprogramma’s voor phishing-simulaties op de markt. Als je de bovenstaande lijst doorneemt, kom je erachter welke oplossing het beste bij jouw organisatie past.
Voor een phishing simulator die gericht is op blijvende gedragsverandering bij medewerkers, overweeg dan Guardey te gebruiken.