In dit artikel
Wat als je het security awareness niveau van je organisatie op een speelse manier kunt verhogen? Dan wordt het onderwerp security niet meer saai, maar leuk! In deze blog vertellen we je meer over phishing games en hoe je op een speelse manier het security awareness niveau van je organisatie kunt verhogen.
Wat is een phishing game?
Een phishing game, ook wel security awareness spel genoemd, is een manier om het security awareness niveau te verhogen op een speelse wijze. Het belang van security awareness binnen organisaties is een must; 1 op de 5 medewerkers in het MKB trapt in een phishingmail, volgens recent onderzoek gedaan door het Digital Trust Center. Dit kan en moet anders… Daarom bedachten wij in 2020 het NK-phishing voor IT-bedrijven: een spannende strijd voor het verhogen van het kennisniveau.
De insteek was om 5 phishing simulaties te versturen en na elke ronde te delen of de deelnemende organisatie gephished was of niet. Op deze manier bleef de spanning hoog omdat we regelmatig een simulatie verzonden en deelnemers tijdens de strijd ook daadwerkelijk phishing ontvingen. Zo werden niet alleen de simulaties herkend, maar ook phishing die daadwerkelijk kwaadaardige bedoelingen had.
Hoe kan een phishing game helpen bij het verhogen van het security awareness niveau?
Een phishing game kan helpen bij het verhogen van het security awareness niveau door medewerkers te trainen in het herkennen van phishing-aanvallen en hen bewust te maken van de gevolgen van het klikken op phishing links, op een leuke manier.
Bij een phishing game worden medewerkers getest door middel van een gesimuleerde phishing-aanval. Dit kan bijvoorbeeld door het versturen van een nep e-mail die lijkt op een daadwerkelijke e-mail van een organisatie, zoals de bank of de belastingdienst. De e-mail kan een link bevatten die leidt naar een nep-website waar de medewerker gevraagd wordt om inloggegevens of andere gevoelige informatie in te voeren.
Als de medewerker op de link klikt of gevoelige informatie verstrekt, wordt er een waarschuwingsmelding gegeven. Wanneer een medewerker dit doet, valt zijn team af. Stel dat de medewerker op de marketingafdeling werkt, dan doet zijn team nu niet meer mee om de hoofdprijs. Het team blijft wel de overige testmails ontvangen maar maakt geen kans meer op de hoofdprijs.
Na minimaal vijf rondes wordt het winnende team bekend gemaakt. Op deze manier is de security awareness campagne niet saai, maar wordt het een spel tussen de verschillende afdelingen van een organisatie. Door het versturen van phishing simulaties die lijken op daadwerkelijke phishingmails, leren medewerkers normale phishingmails herkennen en wordt het security awareness niveau op een leuke manier verhoogd.
Meer informatie over een phishing game?
- Ontvang gratis een voorstel op maat
- Train je medewerkers op een leuke manier in het herkennen van phishing
- Surelock is ISO27001 gecertificeerd en lid van Cyberveilig Nederland
De ervaring van Surelock met phishing games
Om het voortouw te nemen zijn wij in 2020 begonnen met het Nederlands kampioenschap Phishing voor IT-bedrijven. Ieder IT-bedrijf mocht meedoen, het was gratis, er was een leuke prijs en we trainden IT-partijen op een speelse wijze. Wat bleek? Het NK-phishing was en is een groot succes. Omdat het een spel was, zagen wij dat er binnen organisaties een strijd ontstond. Uitspraken zoals “Wij mogen echt niet gephished worden” kwamen vaak naar voren. Na afronding van het NK-phishing namen wij contact op met de vraag: wat vonden jullie van het NK? Uit de reacties bleek dat de organisatie op een natuurlijke wijze een manier had gevonden om phishing te herkennen en dit te delen. Zo hadden partijen WhatsApp-groepen en werd er tijdens overleggen vaak gesproken over de mails die binnenkwamen. Dit waren in de meeste gevallen daadwerkelijke phishingmails en niet de phishing simulaties van Surelock.
Test direct je kennis met de Bot-or-Not
Bij Surelock hebben we ook een phishing game die je online kunt spelen. De test is geheel vrijblijvend en test je kennis in het herkennen van phishing aan de hand van 10 e-mails. Het is aan jou de moeilijke taak om de phishing-mails eruit te halen. Interesse? Doe dan de phishingtest, deze duurt slechts 3 minuten.
Hier kan je een voorbeeld zijn van een phishing simulatie domein: noreply@dutch-f1-gp.nl
Voorbeeld van een phishing game
Hieronder geven we je twee voorbeelden van phishing games die wij bij Surelock hebben mogen organiseren. De eerste phishing game die we hebben georganiseerd is voor IT-bedrijven die gevestigd zijn in Nederland, ook wel het NK-phishing genoemd. Het doel van het event is bedrijven in de IT-branche kennis bijbrengen over het onderwerp phishing.
Het tweede even de Cyberlympics is georganiseerd in samenwerking met Univé. Een event om medewerkers van Univé op de hoogte te brengen van het onderwerp phishing. Dit ter introductie van de Cyber Fit Service een trainingsprogramma van 1 jaar voor alle zakelijke leden van Univé. Meer informatie over de Cyber Fit Service kan je lezen in de case van Univé.
Geschreven door: Stefan Schepers