Verhoog security awareness met behulp van échte phishing-e-mails

Of de link in de e-mail verwijst naar een hele andere website dan die van de instantie. Dagelijks publiceert de Fraudehelpdesk de nieuwste (spear) phishing-e-mails om organisaties voor deze social engineering-aanvallen te waarschuwen.

Trainingen in de praktijk toetsen

Onderzoek van Trend Micro heeft aangetoond dat aan 91% van alle cyberaanvallen en daaropvolgende datalekken een spear phishing-e-mail vooraf is gegaan. Met andere woorden: niet technologie, maar de mens is de zwakste schakel als het aankomt op het beveiligen van je bedrijfsdata.

Steeds meer organisaties zien daarom meerwaarde in het trainen van medewerkers om hen bewust te maken van de risico’s die phishing met zich meebrengt en van de trucjes die cybercriminelen gebruiken om hen te misleiden. Vervolgens toetsen organisaties of deze security awareness-trainingen het gewenste effect hebben door gesimuleerde phishing-e-mails te sturen naar medewerkers. Het verschil met een échte phishing-e-mail is dat je bedrijfsdata niet in gevaar komt. Want wanneer medewerker in zo’n nep-phishing-e-mail op een link klikt en/of zijn gegevens wil achterlaten, wordt hij meteen geattendeerd op de risico’s. Hoe langer je medewerkers traint en in de praktijk toetst, hoe kleiner de kans dat ze je bedrijf in gevaar brengen door onveilig gedrag. Helemaal uitsluiten kun je het natuurlijk nooit, maar de kans op een datalek wordt zo wel een stuk kleiner.

Maak effectief gebruik van écht phishing-e-mails

Wereldwijd wordt het Cybersecurity Framework van het National Institute of Standards and Technology (NIST) al jarenlang gezien als dé standaard voor cybersecurity. In een recente update van ‘Special Publication 800-53’, de sectie waar ook security awareness onder valt, schreef het NIST dat een security awarenesss-trainingsprogramma ‘should include highly crafted spear phishing attacks.’ Oftewel: als je gesimuleerde phishing-e-mails wilt inzetten om je medewerkers te testen, dan moeten ze de échte wereld nabootsen.

Wil je dit goed doen, dan is alleen gebruikmaken van dezelfde social engineering-tactieken als criminelen niet genoeg. Nog beter is om gebruik te maken van e-mails die er in look-and-feel precies hetzelfde uitzien als die van een echte instantie. Zodat je je medewerkers kunt trainen op het herkennen van phishing-e-mails die ze in de praktijk kunnen tegenkomen. Echter gaat in het maken van goede templates veel tijd zitten.

Laat cybercriminelen daarom vóór je werken in plaats van tegen je! Zo zijn er tools die het mogelijk maken om échte phishing-e-mails die je medewerkers hebben gerapporteerd en in je backend binnenkomen als template te gebruiken. De oplossing vervangt alle kwaadaardige links, domeinen of bijlagen in het template, maar neemt de e-mail verder één op één over, waardoor deze een hoge mate van authenticiteit behoudt. Bovendien wordt de échte phishing-e-mail die in de inbox van andere medewerkers terecht is gekomen meteen vervangen door deze look-a-like. Kortom, je maakt zowel de échte phishing-e-mail onschadelijk als dat je deze meteen inzet voor trainingsdoeleinden. Hoe meer phishing-e-mails je omtovert in templates, hoe realistischer je trainingsprogramma wordt. En hoe realistischer je trainingsprogramma, hoe relevanter en effectiever!

Wil jij de phishing-e-mails van cybercriminelen gebruiken in je security awareness-programma? Lees meer over PhishFlip.

Door Jelle Wieringa, Security Awareness Advocate bij KnowBe4