Phishing tool: bescherm jouw organisatie met Holmes.

In deze blog duiken we dieper in de wereld van cybersecurity, met een focus op het gebruik van een phishing tool. Bij Surelock zijn we trots op onze in-house ontwikkelde phishing tool genaamd ‘Holmes’. We hebben de positieve impact op organisaties die Holmes gebruiken van dichtbij meegemaakt. Om deze redenen willen we onze inzichten en ervaringen met u delen in deze gedetailleerde blog. Laten we starten bij de basis: wat is een phishing tool?

Wat is een phishing tool?

Een phishing tool is software die wordt gebruikt om een cyberaanval na te bootsen. Phishing tools worden gebruikt voor verschillende doeleinden. Zo kan de tool gebruikt worden voor het versturen van phishing mails, het trainen van medewerkers met behulp van e-learning, krijg je inzicht op de verschillende apparaten die gebruikt worden binnen de organisatie en krijg je grip op de menselijke factor van de organisatie.

De meeste phishing tools worden gebruikt voor legitieme doeleinden maar  in sommige gevallen kunnen worden ze door kwaadwillende actoren gebruikt om gevoelige informatie te stelen of om ransomware en andere malware te verspreiden.

Kortom: wanneer je organisatie zelf gebruikt maakt van een phishing tool zal dit positieve effect hebben op je organisatie. Er zal meer bewustwording zijn onder de werknemers. Phishing wordt sneller herkent en er zal minder snel op phishing simulaties worden gedrukt.

Waarom een phishing tool gebruiken?

Phishing is de oorzaak van 91% van alle datalekken. Opvallend is dat het management en werknemers het lang niet zo goed doen als verwacht bij een test. Hieronder geven we je kort 4 reden redenen waarom jouw organisatie een phishing tool moet gaan gebruiken. Let wel op: een phishing tool gebruiken voor slechte doeleinde is illegaal en dus strafbaar.

1. Inzicht: Door phishing simulaties te versturen, test je het kennisniveau van je organisatie en begrijp je hoe werknemers in praktijksituaties handelen. Dit biedt inzicht in menselijk handelen binnen je organisatie en maakt duidelijk welke bedrijfsaspecten verbetering vereisen.
2. Training: Naast inzicht kun je een doelgericht plan opstellen dat aansluit bij de verbeterpunten van de werknemers. Met gerichte training zullen werknemers zich beter voorbereiden op het herkennen en afhandelen van phishing-pogingen en bewustwording voor cyberdreigingen vergroten.
3. Bewust worden: Het verhogen van bewustzijn over cybersecurityrisico’s is essentieel voor het beschermen van een organisatie tegen mogelijke bedreigingen. Door periodiek gesimuleerde phishing-e-mails te versturen en training en feedback aan te bieden, versterk je niet alleen de kennis, maar ook het algemene bewustzijn en de verdediging van je organisatie tegen cyberdreigingen.
4. Risico’s verlagen: Door inzicht, training en bewustwording te combineren, verlaag je de kans dat medewerkers op phishingmails klikken. Ze zullen cyberdreigingen beter herkennen en weten hoe ze in dergelijke situaties moeten handelen, waardoor het risico vermindert dat je organisatie wordt blootgesteld aan cybercriminelen.

Kortom een Phishing tool gebruiken kan je organisatie ondersteunen in het verhogen van het kennis niveau op gebied van security awareness. Medewerkers zullen meer bewustwording creëren voor cyberdreigingen en weten hoe zij moeten handelen!

Het Holmes platform

Bij Surelock zijn wij druk bezig geweest met het ontwikkelen van verschillende tools op het gebied van security awareness. Wij hebben hiervoor ons eigen platform gebouwd: Holmes. Met daarin de leuke woordspeling: Surelock Holmes.

Phishing simulaties

Het platform is makkelijk in gebruik. Binnen Holmes trainen we medewerkers onder andere in het herkennen van phishing. Dit doen we door gesimuleerde phishing-e-mails te verzenden, die gepersonaliseerd kunnen worden voor de organisatie. De naam van de directeur kan bijvoorbeeld worden gebruikt, hierdoor worden de e-mails lastiger te herkennen.

Overzicht

Nadat de phishing e-mails zijn verstuurd is er in een duidelijk overzicht te zien welke medewerker er op heeft geklikt en dus is gephised. Ook is te zien hoe veel werknemers de Lifeline hebben gebruikt. Als medewerkers een mail niet vertrouwen of denken dat er iets mis is, kan er op de Lifeline gedrukt worden. Zo wordt het probleem in kaart gebracht en kan de medewerker snel worden geholpen. Een belangrijke functie, omdat het hele team zo snel op de hoogte kan worden gebracht. In het overzicht is het makkelijk te zien welke afdelingen meer training nodig heeft. Ook kunnen Phishing e-mails vooruit worden gepland en per afdeling of persoon worden verstuurd.

E-learning

Naast de phishing simulaties, worden werknemers getraind doormiddel van E-learning. In Holmes zitten verschillende video’s en taken die werknemers kunnen uitvoeren om hun kennisniveau te verhogen. Zo worden de cyberrisico’s duidelijk en wordt er meer bewustwording gecreëerd over het onderwerp. Een werknemer leert bijvoorbeeld wat er moet worden gedaan als er op een phishing e-mail is geklikt.

Security Coach

Als aanvulling van het platform hebben wij de Security Coach gelanceerd. Een hulpmiddel dat jouw organisatie 24/7 helpt in het herkennen van phishing. Meer informatie over de coach vind je hier: bekijk de security coach.

Van 31% gephished naar 0% gephished.

Wij kunnen niets garanderen maar bieden wel een oplossing aan die het kennisniveau van je organisatie verhoogt op een leuke en leerzame manier. Gemiddeld starten we een security awareness programma met een percentage van 31% gephished en is dit binnen enkele maanden al verlaagd tot slechts 1%.

Hoe kan je een een aanval vanuit een phishing tool herkennen?

Hieronder geven we je 5 tips voor het herkennen van een cyberaanval verzonden door een tool. Deze tips zijn hetzelfde als normale phishing, hackers maken tenslotte zelf ook gebruik van dit soort tools.

1. Controleer de afzender van de email. Phishingmails komen vaak van een valse afzender of een afzender die lijkt op een vertrouwde afzender. Meer informatie over de verschillende vormen van phishing kan je vinden in onze blog over phishing soorten.
2. Controleer altijd URL’s, dit kan je doen door de Google proof. Plak voordat je op de link drukt het adres in Google en controleer of de URL past bij het door jouw geplakte adres.
3. Te goed om waar te zijn. Krijg je een bericht dat je meerdere miljoenen gratis kunt ontvangen? Denk dan even goed na dit is heel waarschijnlijk (altijd) niet waar.
4. Noodzaak, met phishing moet vaak alles heel snel. Moet je dus snel een x bedrag over maken anders krijg je een boete is dit een red flag.
5. Vreemd systeem, stel je organisatie maakt gebruik van One drive en je ontvangt een vage we transfer mail. Ook dit is waarschijnlijk een phishingmail dus kan de mail de prullenbak in.

Geschreven door: Stefan Schepers

Delen: