Phishing simulatie: hoe werkt het precies?🔐 | Surelock

| Leestijd: 6 minuten
Laatst bewerkt: 25 maart 2024

Een phishing simulatie uitvoeren hoe werkt dit? In dit artikel vertellen we je van a tot z hoe een phishing simulatie werkt:  

  • Wat is een phishing simulatie?
  • Wat is een phishing simulatie in 3 minuten.
  • Hoe werkt een phishing simulatie?
  • Hoe worden de resultaten gemeten van de simulatie gemeten?
  • Wat kost een phishing simulatie? 

Met onze jaren ervaring in informatie beveiliging, kunnen wij van Surelock jou alles vertellen over phishing simulaties. Met ons in-house software platform Holmes. Kan ook jij vandaag nog een phishing simulatie versturen. Ben jij een particulier en wil je meer informatie over het onderwerp informatie beveiliging? Raden wij je aan om eens te kijken op onze informatie beveiligingspagina.

Een phishing simulatie uitvoeren?

  • Krijg zicht op de mens in je organisatie
  • Ontvang een adviesrapport voor een juiste security awareness aanpak

Wat is een phishing simulatie?

Een phishing simulatie is een “fake” phishingmail die bij jou in je mailbox komt als echt. De nep Phishingmails worden vaak periodiek verstuurd waardoor een bedrijf beter inzicht krijgt in het kennisniveau van haar personeel. Een phishing simulatie is vaak moeilijk te onderscheiden van een échte mail. Zie Bijvoorbeeld het Microsoft office template hieronder. In de afbeelding zie je dat de simulatie er hetzelfde uitziet als een echte mail afkomstig van Microsoft.

Een phishing simulatie wordt gebruikt om inzicht te krijgen op het menselijk handelen binnen organisaties. Het is een veel gebruikte manier om de informatiebeveiliging van bedrijven/organisaties te verbeteren.

Het uitvoeren van phishing simulaties kan gebruikt worden voor het behalen van verschillende certificeringen. Een aantal voorbeelden van deze certificeringen zijn: BIO, ISAE, DigiD,  of ISO27001. Bij Surelock werken wij op dagelijkse basis samen met verschillende partijen voor het behalen van deze certificeringen.

Dit voorbeeld laat zien hoe een phishing simulatie werkt
Voorbeeld van een phishing simulatie

Eerst zien dan geloven?

Bekijk de video hieronder en zie hoe een phishing simulatie werkt (link).

Kan jij nep van echt onderscheiden? Doe de test!

Hoe werkt een phishing simulatie?

Samen met de opdrachtgever nemen we de betreffende organisatie onder de loop. We gaan kijken naar wat de organisatie bezighoudt. Je kan bijvoorbeeld geen Microsoft teams template versturen wanneer een organisatie Zoom gebruikt. Het is dus belangrijk om vooraf de scope en het doel van de simulatie te bepalen:

  • Hoeveel mensen ontvangen de simulatie;
  • Maken we onderscheid in de rollen;
  • De taal van de medewerker: Frans, Duits, Engels, Spaans, Pools of Nederlands;
  • Wat voor platformen gebruikt de organisatie,
  • Tot slot kijken we naar de processen, wat voor template past er binnen het dagelijkse proces van de organisatie.

Nu de scope van de simulatie in beeld is vragen wij aan de organisatie om de mailadressen van de deelnemers naar ons toe te sturen. Nu wij de mailadressen en een beeld van de organisatie hebben, kan de “leukste” stap van de simulatie beginnen. Het kiezen van het phishing template. In de catalogus van Holmes staan honderden templates, de keuze is dus reuze.

Na het kiezen van het template plannen we samen de interval van de phishingmails in. Dit doen we in een handige jaar kalender. Zo kan je de simulatie gedurende de gekozen interval automatisch laten versturen.

Mocht je liever de phishing simulaties handmatig versturen of je eigen scenario’s bedenken kan dit ook. Holmes is dus danig gebruiksvriendelijk dat je ook zonder enige IT affiniteit met de software kan omgaan.

Hoe worden de resultaten gemeten van de simulatie gemeten?

Wanneer je de simulatie verzend naar je medewerkers wordt deze ontvangen als een normale e-mail. Er zijn echter een aantal punten waaraan medewerkers de simulatie kunnen herkennen. Hieronder leggen we kort uit, aan de hand van een voorbeeld, hoe de simulatie werkt.

Op de afbeelding hieronder zie je een phishing simulatie van Microsoft Teams in een inbox. Dit is hoe daadwerkelijke phishing ook werkt, echter is dit een testmail. De e-mail is nep omdat de domeinnaam niet klopt: microsoft-teams.

Voorbeeld van een phishing simulatie van Microsoft teams

Via de email hierboven wordt de gebruiker verleidt te ‘klikken’, dit wordt als zodanig geregistreerd in de statistieken en de landingspagina.  

Voorbeeld van een landingspagina van een phishing simulatie.

Vult een medewerker zijn wachtwoord in op het scherm hierboven krijgt hij de melding: gelukkig dit is een simulatie. De medewerker is er nu van op de hoogte dat het een test was en dat er geen schade is en kan bekijken hoe hij deze simulatie had kunnen herkennen.

Voorbeeld van het scherm dat je krijgt nadat je getrapt bent in een phishing simulatie

Bij Surelock tonen wij heldere resultaten

Wanneer je de phishing simulatie hebt verzonden, is het belangrijk om aan de slag te gaan met de resultaten. Maar voordat je aan de slag kunt, is het belangrijk om te weten wat de resultaten zijn. Bij Surelock krijg je een gemakkelijk dashboard te zien met daarin de resultaten van iedere phishing simulatie. Omdat het platform in-house wordt gebouwd, kunnen wij het stapje extra zetten in tegenstelling tot onze concurrenten.

Periodiek security awareness in de gaten houden

Buiten het overzichtelijke dashboard bieden wij ook extra data aan. Zo kun je zien welke afdelingen het goed doen en welke minder goed, zie je de 24-uurslijn. Dit is belangrijk omdat daadwerkelijke phishing snel gemeld moet worden en biedt het inzicht in de apparaten die worden gebruikt. Zo zien we vaak veel mobiele telefoons voorbij komen, terwijl dit volgens het beleid niet mag. Met ons platform stuur je dus niet alleen phishing simulaties, het ondersteunt ook jouw gehele organisatie op het gebied van security awareness.

5 voorbeelden van een phishing simulatie

Hieronder staan 5 voorbeelden die daadwerkelijk te gebruiken zijn vanuit het Holmes platform. De voorbeelden lopen uit een van CEO-fraudeurs tot aan een Microsoft Teams. Wil jij een simulatie in het ontvangen? Neem dan direct contact met ons op.

Voorbeeld 1: Update van je computer drivers

Voorbeeld van een phishing simulatie waarin je gevraagd word je drivers te updaten.

Voorbeeld 2: Bericht in Microsoft Teams

Voorbeeld van een phishing simulatie van Microsoft teams waarin je een bericht ontvangt.

Voorbeeld 3: win een drone

Phishing simulatie: win een drone voorbeeld van een simulatie

Voorbeeld 4: Max verstappen

Voorbeeld van een phishing simulatie waarin je kaartjes kan winnen voor de Formule 1 race in Zandvoort

Voorbeeld 5: Ongelezen bericht LinkedIn

Voorbeeld van een phishing simulatie die je kunt versturen via het Holmes platform met daarin de melding dat je een bericht hebt ontvangen op LinkedIn,

De voordelen van het uitvoeren van een simulatie

Bij Surelock versturen wij jaarlijks meer dan 100.000 phishing simulaties naar bedrijven in allerlei verschillende branches en markten. Hieronder leggen we uit wat het voordeel van een phishing simulatie is en wat voor meerwaarde een phishing simulatie voor een organisatie heeft.

  • Met een phishing simulatie krijg je inzicht om het menselijk handelen binnen je bedrijf. Je weet dus hoe goed jouw organisatie is in het herkennen van phishing.
  • Onze manier van werken zorgt voor een kosten efficiënt resultaat. Je hoeft zelf geen templates te bouwen, dit doen wij voor je.
  • Door de verschillende expertises binnen Surelock ondersteunen wij onze klanten op ieder Cybersecurity een oplossing. Denk bijvoorbeeld aan het onderdeel pentesten of het behalen van een certificering. Bij Surelock hebben wij de verschillende expertises in-house en daar profiteer jij als klant uiteraard van.
  • Directe lijn met phishing experts. Bij Surelock hebben wij al meer dan 10+ jaar ervaring in het herkennen van phishing, deze kennis delen wij graag.

Wat kost een phishing simulatie?

Een phishing simulatie uitvoeren is vaak onderdeel van een security awareness project waarin je meerdere simulaties per jaar verstuurd. Een enkele simulatie kost rond de €450,- voeg je dit samen in een project met trainingen en verschillende interventies ga je naar een maand model en betaal je per gebruiker per maand.

Geschreven door: Stefan Schepers

 
Delen: Phishing simulatie: hoe werkt het precies?🔐 | Surelock

Door

- Stefan Schepers
security professional
StefanSchepers

Opdrachtgevers

Kuijpers een van de security consultancy klanten van Surelock
Univé is klant bij Surelock
Logo gemeente Schiedam
Swiss sense een van de pentest klanten van Surelock
100+ meer klanten

Verstuur deze week nog de eerste phishing simulatie

 Waarom Surelock:

  • Vertrouwd door adviseurs zoals Beko & Univé;
  • Binnen 5 minuten spreek je met een security awareness specialist;
  • 10+ jaar ervaring in de wereld van informatiebeveiliging;
  • Al meer dan 100+ bedrijven gingen je voor.

Bel of plan een afspraak in

We zijn van maandag t/m vrijdag bereikbaar van 8:00 tot 18:00.

Tel: 0348 – 796 146

E-mail: info@surelock.nl

Neem contact op
StefanSchepers
Stefan Schepers
Security awareness specialist

Veel gestelde vragen

Wat is een phishing simulatie?

Phishing is een cyberaanval waarbij aanvallers gericht te werk gaan om gevoelige informatie zoals gebruikersnamen, wachtwoorden en persoonlijke gegevens te verkrijgen. Dit doen ze door zich voor te doen als betrouwbare entiteiten als bedrijven of overheidsinstellingen.

Met het uitvoeren van een phishing simulatie train je medewerkers en maak je ze bewust van de risico's van phishingaanvallen. Tijdens de simulatie stuurt Surelock nep-phishing-e-mails naar medewerkers om te zien hoe ze reageren. Op basis van de resultaten van de simulatie kan Surelock vervolgens gerichte trainingen en maatregelen aanbevelen om de beveiliging van de organisatie te verbeteren en de kans op een succesvolle phishingaanval te verkleinen.

Hoe herken je een phishing mail?

Er zijn meerdere manieren om een phishingmail te herkennen. Een goede manier is de Google-proof methode. Hierbij kopieer je het e-mailadres van de afzender en plak je dit in Google. Vaak kun je dan al zien of het e-mailadres legitiem is of niet.

Hoeveel phishing mails per dag wereldwijd?

Het is niet mogelijk om precies te bepalen hoeveel phishingmails er dagelijks wereldwijd worden verstuurd, omdat veel van deze e-mails worden verstuurd door geautomatiseerde systemen en cybercriminelen die proberen hun activiteiten verborgen te houden.

Bovendien is het aantal phishingmails dat wordt verstuurd afhankelijk van verschillende factoren, zoals de populariteit van een bepaald doelwit, de doelgroep, de geografische locatie en de tijd van het jaar.

Desalniettemin is phishing een wijdverspreid probleem en is het waarschijnlijk dat er dagelijks honderdduizenden, zo niet miljoenen, phishingmails worden verstuurd. Het is daarom belangrijk om waakzaam te blijven bij het ontvangen van onverwachte e-mails en verdachte links en bijlagen te vermijden, om te voorkomen dat u het slachtoffer wordt van phishing aanvallen.

Hoe vaak moet mijn organisatie phishing simulaties uitvoeren?

Bij Surelock gaan wij uit van minimaal 1 simulatie per 2 maanden. Op deze manier blijft het onderwerp phishing top of mind bij medewerkers.

Wat gebeurt er als een medewerker valt voor een phishing simulatie?

Wanneer een medewerker op de e-mail zelf klikt, wordt dit gemonitord als een klik. Als de medewerker vervolgens zijn/haar gegevens invult op de webpagina, is de medewerker gephished. Deze resultaten komen vervolgens in een gemakkelijk uit te lezen dashboard te staan in het Holmes-platform.

Waarom zou mijn organisatie een phishing simulatie moeten uitvoeren?

De menselijke factor is een van de zwakste schakels binnen de 3 onderdelen van informatiebeveiliging. Het is daarom van groot belang om je medewerkers continue op de hoogte te brengen van de gevaren die deze vorm van cybercrime met zich meebrengt. Aan de hand van de resultaten kan je doelen opstellen en verder door ontwikkelen op het gebied van het menselijk handelen.