Phishing simulatie: je medewerkers trainen en phishen door Surelock.

Een phishing simulatie is een test om in kaart te brengen of medewerkers in staat zijn phishing e-mails te herkennen. Met een phishing simulatie krijg je op een gemakkelijke manier inzicht in het kennisniveau van jouw organisatie op informatie beveiligingsgebied.

Samen met de opdrachtgever nemen we de betreffende organisatie onder de loop. We gaan kijken naar wat de organisatie bezighoudt. Je kan bijvoorbeeld geen Microsoft teams template versturen wanneer een organisatie Zoom gebruikt. Het is dus belangrijk om vooraf de scope en het doel van de simulatie te bepalen:
1. Hoeveel mensen ontvangen de simulatie;
2. Maken we onderscheid in de rollen;
3. Welke talen worden er gesproken;
4. Wat voor platformen gebruikt de organisatie.

Tot slot kijken we naar de processen, wat voor template past er binnen het dagelijkse proces van de organisatie.
Nu de scope van de simulatie in beeld is vragen wij aan de organisatie om de mailadressen van de deelnemers naar ons toe te sturen. Nu wij de mailadressen en een beeld van de organisatie hebben, kan de “leukste” stap van de simulatie beginnen. Het kiezen van het phishing template. In de catalogus van Holmes staan honderden templates, de keuze is dus reuze.

Na het kiezen van het template plannen we samen de interval van de phishingmails in. Dit doen we in een handige jaar kalender. Zo kan je de simulatie gedurende de gekozen interval automatisch laten versturen.

Mocht je liever de phishing simulaties handmatig versturen of je eigen scenario’s bedenken kan dit ook. Holmes is dus danig gebruiksvriendelijk dat je ook zonder enige IT-affiniteit met de software kan omgaan.

Traditionele security awareness programma’s kennen een aantal uitdagingen. Bij grote groepen medewerkers krijg je namelijk altijd te maken met verschillende persoonlijkheden, kennisniveau, leercurves en het onderwerp continue top-of-mind te krijgen én houden.

Eigenlijk schiet je met het traditionele programma van phishing simulaties en E-learning dus nooit 100% raak. En dit is precies waar onze unieke Security Coach het verschil maakt. Als aanvulling op het spamfilter, gaat onze Security Coach verder. Veel verder.

Alles start met de gratis nulmeting. Holmes voert een (uiteraard veilige) phishing actie uit om te controleren in hoeverre jouw collega’s in staat zijn phishing mails te herkennen. Vervolgens blijkt welk aandeel van jouw collega’s niet in staat zijn phishing mails te herkennen en daardoor een veiligheidsrisico voor het bedrijf vormen.

Tijdens het versturen van een phishing simulatie komt het vaak voor dat er één medewerker op een mail klikt en vervolgens ook inlogt met zijn credentials. Deze data wordt natuurlijk niet opgeslagen, het platform slaat de velden die kunnen worden ingevuld niet op. Dus mocht je in een phishing simulatie zijn getrapt geen zorgen niemand heeft je inloggegevens.

Een phishing simulatie is een “fake” phishingmail die bij jou in je mailbox komt als echt. De nep Phishingmails worden vaak periodiek verstuurd waardoor een bedrijf beter inzicht krijgt in het kennisniveau van haar personeel. Een phishing simulatie is vaak moeilijk te onderscheiden van een échte mail. Zie Bijvoorbeeld het Microsoft office template hieronder. In de afbeelding zie je dat de simulatie er hetzelfde uitziet als een echte mail afkomstig van Microsoft.

Een phishing simulatie wordt gebruikt om inzicht te krijgen op het menselijk handelen binnen organisaties. Het is een veel gebruikte manier om de informatiebeveiliging van bedrijven/organisaties te verbeteren.

Het uitvoeren van phishing simulaties kan gebruikt worden voor het behalen van verschillende certificeringen. Een aantal voorbeelden van deze certificeringen zijn: BIO, ISAE, DigiD,  of ISO27001. Bij Surelock werken wij op dagelijkse basis samen met verschillende partijen voor het behalen van deze certificeringen.

Holmes gebruikt de hoogste beveiligingsstandaarden om de gegevens in haar platform te beveiligen. We gebruiken onder andere versleutelde verbindingen (SSL), strikt gescheiden omgevingen en laten daarnaast regelmatig ethisch hackers los op ons platform zodat we dit altijd kunnen blijven verbeteren. Ten slotte is Holmes gebouwd op ‘Claim Based Encryption’ een zeer veilige methode om gegevens versleuteld op te slaan. Meer over onze gegevensbeveiliging vind je terug in ons privacy beleid.

Gelukkig was het een simulatie en niet een echte phishing email, want dan had het zeker consequenties. In dit geval is jouw klik en het feit dat je gephisht bent opgenomen in de statistieken. Deze statistieken zijn op organisatie en afdelingsniveau, dus niet op persoonlijk niveau. Wellicht is het wel verstandig om de awareness trainingen (nogmaals) te volgen, hiermee vergroot de kans om deze situatie in de toekomst te voorkomen

We hebben jouw voornaam, achternaam en zakelijk e-mailadres gekregen van ons contactpersoon binnen jouw organisatie, om een phishing simulatie uit te kunnen voeren. Dit doen we om te onderzoeken hoe goed jij en je collega’s in staat zijn om een dergelijke mail te herkennen! Wanneer we gaan samenwerken krijg je meer informatie over hoe je zo’n mail herkent en wat je moet doen wanneer je deze ontvangt. Wil je de phishing simulaties niet ontvangen of je uitschrijven neem dan contact op met de IT-afdeling van je bedrijf.

De Holmes Life Line is een Outlook add-in welke beschikbaar zal worden gemaakt door jouw beheerder. Het zal als knop te zien zijn in jouw Outlook applicatie en hiermee kan jij verdachte e-mails melden. Ontvang je dus een email en vertrouw je het niet helemaal? Gebruik dan de Life Line en je ontvangt een oordeel van onze experts.