In deze blog geven we je meer informatie over het gebruik van een phishing tool. Bij Surelock bieden wij een in-house ontwikkelde phishing tool genaamd Holmes aan. Wij zien hier de positieve effecten van voor organisaties. Daarom schrijven we deze blog met daarin onze bevindingen. Laten we beginnen bij het begin: wat is een phishing tool?
Wat is een phishing tool?
Een phishing tool is software die wordt gebruikt om een cyberaanval na te bootsen. Phishing tools worden gebruikt voor verschillende doeleinden. Zo kan de tool gebruikt worden voor het versturen van phishing mails, het trainen van medewerkers met behulp van e-learning, krijg je inzicht op de verschillende apparaten die gebruikt worden binnen de organisatie en krijg je grip op de menselijke factor van de organisatie.
De meeste phishing tools worden gebruikt voor legitieme doeleinden maar in sommige gevallen kunnen worden ze door kwaadwillende actoren gebruikt om gevoelige informatie te stelen of om ransomware en andere malware te verspreiden.
Kortom wanneer je organisatie zelf gebruikt maakt van een phishing tool zal dit positieve effect hebben op je organisatie. Je werknemers zullen namelijk phishing herkennen wanneer deze wordt verzonden en niet meer zomaar op phishing simulaties drukken.
Waarom een phishing tool gebruiken?
Hieronder geven we je kort 4 reden redenen waarom jouw organisatie een phishing tool moet gaan gebruiken. Let wel op een phishing tool gebruiken voor slechte doeleinde is illegaal en dus strafbaar.
- Inzicht: door het versturen van phishing simulaties test je het kennisniveau van je organisatie hierdoor krijg je inzicht in het menselijk handelen van je organisatie.
- Training: Naast het inzicht weet je ook waar er het meeste training nodig heeft. Zo zien wij vaak dat het management het lang niet zo goed doet als verwacht bij een test.
- Bewust worden: als je verschillende phishingmails stuurt worden de medewerkers bewust van het risico’s dat ze lopen door op een phishing simulatie te drukken.
- Risico’s verlagen: door het trainen en het inzichtelijke maken van de risico’s verlaag je het risico van je organisatie om gephished te worden.
Kortom een phishing tool gebruiken kan je organisatie ondersteunen in het verhogen van het kennis niveau op gebied van security awareness.
Het Holmes platform
Bij Surelock zijn wij de afgelopen jaren druk bezig geweest met het ontwikkelen van verschillende tools op het gebied van security awareness. wij hebben hiervoor ons eigen platform gebouwd: Holmes. Met daarin de leuke woordspeling: Surelock Holmes.
De twee tools die wij ontwikkeld hebben sluiten goed op elkaar aan. Zo zorgen we met het platform Holmes dat medewerkers getraind worden in het herkennen van phishing. Dit doen wij door het verzenden van gesimuleerde phishing-e-mails, het trainen van medewerkers met E-learning met behulp van bekende Nederlanders en krijg je advies door onze security consultants.
Als aanvulling van het platform hebben wij in 2022 de Security Coach gelanceerd. Een hulpmiddel dat jouw organisatie 24/7 helpt in het herkennen van phishing. Meer informatie over de coach vind je hier: bekijk de security coach.
Van 31% gephished naar 0% gephished.
Wij kunnen niets garanderen maar bieden wel een oplossing aan die het kennisniveau van je organisatie verhoogt op een leuke en leerzame manier. Gemiddeld starten we een security awareness programma met een percentage van 31% gephished en is dit binnen enkele maanden al verlaagd tot slechts 1%.
Hoe kan je een een aanval vanuit een phishing tool herkennen?
Hieronder geven we je 5 tips voor het herkennen van een aanval verzonden door een tool. Deze tips zijn hetzelfde als normale phishing, hackers maken tenslotte zelf ook gebruik van dit soort tools.
- Controleer de afzender van de email. Phishingmails komen vaak van een valse afzender of een afzender die lijkt op een vertrouwde afzender. Meer informatie over de verschillende vormen van phishing kan je vinden in onze blog over phishing soorten.
- Controleer altijd URL’s, dit kan je doen door de Google proof. Plak voordat je op de link drukt het adres in Google en controleer of de URL past bij het door jouw geplakte adres.
- Te goed om waar te zijn. Krijg je een bericht dat je meerdere miljoenen gratis kunt ontvangen? Denk dan even goed na dit is heel waarschijnlijk (altijd) niet waar.
- Noodzaak, met phishing moet vaak alles heel snel. Moet je dus snel een x bedrag over maken anders krijg je een boete is dit een red flag.
- Vreemd systeem, stel je organisatie maakt gebruik van One drive en je ontvangt een vage we transfer mail. Ook dit is waarschijnlijk een phishingmail dus kan de mail de prullenbak in.