Incognitomodus, ook wel bekend als de privébrowsermodus, voorkomt dat uw webbrowser de browsergeschiedenis op uw apparaat opslaat. Door de incognitomodus in te schakelen, kunt u op
Bijgewerkt op 11 april 2023.
Phishing is een probleem dat alle bedrijven serieus moeten nemen. De beste manier om uw bedrijf te beschermen tegen een onvermijdelijke phishing-aanval is door u op tijd voor te bereiden. Door werknemers te informeren en phishing-tests uit te voeren, kunnen werknemers pogingen tot phishing herkennen.
Voor een geslaagde phishing-test moet u eerst een phishing-tool vinden waarmee u de test kunt uitvoeren, de test kunt ontwerpen en de resultaten kunt analyseren. In deze handleiding bespreken we hoe u een phishing-test uitvoert in een werkomgeving, zodat uw werknemers voorbereid zijn om deze aanvallen te herkennen voordat ze ten prooi vallen aan phishing-praktijken.
Wat is phishing?
Phishing is een soort cyberaanval waarbij de aanvaller gevoelige gegevens probeert te verkrijgen door zich voor te doen als een bekende van het slachtoffer. Phishing-aanvallen vinden meestal plaats via e-mail of sms-berichten en bevatten vaak dringende taal, zodat het beoogde slachtoffer snel handelt.
Hier is een voorbeeld: u opent uw inbox en ziet een e-mail van de bank Chase over een update van uw bankrekening. De e-mail lijkt belangrijk en de lay-out ziet er net zo uit als de e-mails die u normaal van Chase ontvangt, dus u klikt op de link. Die link is echter kwaadaardig en stuurt u naar een gespoofte site. Een gespoofte site is een website die er echt uitziet, maar dat eigenlijk niet is. Zodra u uw inloggegevens op deze site invoert, geeft u eigenlijk zonder dat u het weet uw gegevens door aan de aanvaller. Nu heeft de aanvaller alle nodige gegevens om in te loggen bij uw werkelijke Chase-account.
Op de werkvloer kan een phishing-e-mail eruitzien als een e-mail van uw baas, met een kleine spelfout, of van een collega met een iets ander domein dan normaal. Meestal wordt u in de e-mail gevraagd om gevoelige gegevens te verstrekken die de aanvaller vervolgens gebruikt om van uw bedrijf te stelen of het op een andere manier schade toe te brengen.
Wat is een pishing-test?
Een phishing-test is een programma waarmee bedrijven realistische, gesimuleerde phishing-e-mails naar werknemers kunnen sturen om te zien hoe ze erop reageren. Met deze phishing-tests krijgen bedrijven inzicht in hoe goed hun werknemers getraind zijn om phishing-aanvallen te herkennen en krijgen ze een phishing-training nadat ze een bericht van een phishing-test hebben ontvangen. Door werknemers gesimuleerde phishing-aanvallen te sturen, leren ze hoe ze deze beter kunnen herkennen als een echte aanval zich voordoet, waardoor uw bedrijf op de lange termijn wordt beschermd.
Uw werknemers voorbereiden op een phishing-test
Voordat u een phishing-test opstelt, moet u een phishing-tool vinden waarmee u de test kunt uitvoeren. Er zijn veel opties beschikbaar, waaronder gratis opensource-opties zoals Gophish. U kunt ook commerciële producten overwegen zoals KnowBe4 en Infosec IQ.
Nadat u een tool hebt gekozen, is het tijd om uw werknemers te informeren en te trainen. Het doel is tenslotte om hen te leren over de gevaren van phishing en vervolgens hun prestaties te testen.
Als u uw test uitvoert voordat u uw medewerkers waarschuwt, verliest u mogelijk hun vertrouwen en geeft u hen het gevoel dat de IT-afdeling op hen neerkijkt. Als u uw werknemers van tevoren waarschuwt en traint, is de kans groter dat ze het een waardevolle leerervaring vinden in plaats van een gênante en onaangename verrassing.
Bespreek ook samen met uw managers en afdelingshoofden de parameters voor de test. Veel phishers gebruiken social engineering-tactieken. Zo doen ze zich voor als een collega of manager, zodat ze meer kans maken om hun doelwit te misleiden. Over het algemeen is het dus een goed idee om samen met afdelingshoofden te overleggen hoe u specifieke werknemers tot doelwit kunt maken, net zoals een echte aanvaller dat zou doen.
Het is belangrijk om werknemers te laten weten hoe ze pogingen tot phishing kunnen melden. Moeten ze bijvoorbeeld de e-mail doorsturen naar de IT-afdeling? Of melden aan hun manager? Werknemers melden sneller e-mails als dit hun workflow niet verstoort, dus uw meldingsprocedure moet zo eenvoudig mogelijk zijn. De meldingsprocedure verschilt van tool tot tool, dus houd hiermee rekening bij het kiezen van een phishing-tool voor uw bedrijf.
Een pishing-test ontwerpen
Nadat alle voorbereidingen zijn getroffen, kunt u de specifieke voorwaarden voor de test bepalen, zoals de duur, de soorten phishing die worden getest, de statistieken waarop u let en wie de test zal uitvoeren.
De meest inzichtgevende phishing-tests blijven eindeloos doorgaan, omdat bedrijven steeds nieuwe werknemers aannemen die getraind en getest moeten worden. Elke nieuwe persoon die bij het bedrijf begint, krijgt eerst één valse phishing-e-mail per maand met een duidelijke phishing-sjabloon die later een social engineering-bericht wordt dat eruitziet alsof het van een collega komt. Als u het aantal e-mails geleidelijk aan opbouwt, wint u langzaam het vertrouwen van uw werknemers in plaats van dat werknemers ontmoedigd raken omdat ze te snel falen.
Voordat u de test begint, is het belangrijk om met uw team te bepalen welke soorten phishing-aanvallen u wilt gebruiken. Gebruikt u bijvoorbeeld spear phishing gericht tegen specifieke personen? Whale phishing om de CEO en andere leidinggevenden tot doelwit te maken? Gebruikt u ook clone phishing? Doorgaans test u het best verschillende phishing-aanvallen om te zien of uw teamleden ze allemaal herkennen.
U moet bepalen welke statistieken u wilt controleren om nauwkeurig te meten en interpreteren wat er tijdens de test gebeurt. Over het algemeen zijn dit deze drie statistieken:
- Het aantal werknemers dat het slachtoffer wordt van een phishing-poging en een gegevenslek
- Het aantal werknemers dat de phishing-poging herkent en meldt
- Klikpercentages voor links
Vergeet niet om senior managers, leidinggevenden en zelfs bestuursleden te betrekken bij uw test. Deze hooggeplaatste teamleden zijn vaak de grootste phishing-doelwitten, dus ook zij moeten voorbereid zijn.
Wanneer alle details van het testontwerp bepaald zijn, is het tijd om de test uit te voeren. Het is erg belangrijk dat de exacte planning geheim blijft. Als werknemers de planning te goed kennen, verwachten ze phishing-e-mails en dit kan uw resultaten verstoren.
Acties na de resultaten van de phishing-test
De test is misschien afgelopen, maar het werk is nog niet af. Na afloop van de test kunt u aan de hand van de gegevens zien hoe uw bedrijf het ervan af heeft gebracht.
Allereerst bekijkt u of uw beoogde doelstellingen zijn bereikt: hebben na verloop van tijd minder werknemers zich door de phishinge-e-mails laten misleiden? Is er minder op de links geklikt? Hebben meer werknemers de verdachte e-mails gemeld?
Nadat u alle gegevens heeft bekeken, beslist u hoe u verder wilt gaan. Over het algemeen is het een goed idee om de resultaten aan uw bedrijf te presenteren, zodat iedereen kan zien waar verbetering nodig is. Het is echter belangrijk om u niet publiekelijk te richten op specifieke afdelingen of werknemers.
Het is onvermijdelijk dat bepaalde werknemers slecht zullen presteren, dus is het belangrijk om hen met tact en begrip te benaderen. De test is bedoeld als leerervaring, dus is het onnodig om onbeleefd of neerbuigend te zijn tegen personen die slecht presteren. Toch geeft u hen het best extra trainingen, zodat ze zich kunnen verbeteren. De meeste phishing-tools bieden nog verdere phishing-training aan personen die dat nodig hebben.
Betere cybersecurity begint bij werknemers
Het uitvoeren van een phishing-test is slechts één stukje van een grotere puzzel inzake cybersecurity. Om uw bedrijf op de lange termijn veilig te houden, is het cruciaal dat iedereen cybersecurity voor ogen houdt door regelmatig trainingen te geven en voortdurend tests uit te voeren.
Daarnaast is het mogelijk nuttig om andere beveiligingsaspecten van uw bedrijf te verbeteren door privileged access management te implementeren en werknemers te verplichten om wachtwoordmanagers te gebruiken. Met wachtwoordmanagers kunnen werknemers eenvoudig veilige wachtwoorden bijhouden, zodat uw bedrijf beveiligd is tegen veelvoorkomende wachtwoordaanvallen. Bovendien bieden ze direct bescherming tegen pogingen tot phishing, omdat wachtwoorden alleen automatisch worden ingevuld bij directe URL-overeenkomsten, en niet bij nep-URL’s van een phishing-site.