Bricks wall human firewall building
16 april 2021 / Verdieping

Waarom je best je collega eens probeert te phishen

Oefening baart kunst en dat is voor cybersecurity niet anders. Wie nooit in contact komt met digitale dreigingen, zal ze ook niet herkennen wanneer ze er oog in oog mee staan.


Maandagochtend, 9 uur. Bert zet zich aan zijn bureau met zijn eerste koffie van de dag. In de uren die volgen, plant hij nog twee kopjes te drinken; het is zijn vaste routine. Hij begint zijn werkweek traditiegetrouw met het uitpluizen van zijn mailbox: tijdens het weekend ontvangt hij verschillende documenten van collega’s en zijn eerste werk is om deze na te gaan op dringendheid.

De eerste vier berichten sorteert hij routineus. De mappenstructuur die hij, doorheen de jaren, heeft opgemaakt, doet zijn werk en geeft hem een mooi overzicht op zijn prioriteiten. Bij de vijfde e-mail gaat het mis. Sylvie, een collega van IT, laat hem weten dat er een probleem is met zijn bedrijfsaccount – of hij dit even kan bekijken en zijn wachtwoord veranderen? Een mislukte inlogpoging later, verslikt hij zich in zijn koffie: zijn computer toont een rood scherm en eist om losgeld. De kopjes koffie moeten wachten…

Onbekend is onbemind

Het bovenstaande verhaal oogt wat saai, haast voorspelbaar. Toch is het een van de meest voorkomende scenario’s die ervoor zorgen dat volledige organisaties over de knie gaan. 90% van alle cyberproblemen komen voort uit een kleine, menselijke fout en die zijn snel gemaakt. Er hoeft maar één computer op slot te gaan om een heel bedrijf plat te leggen.

Mensen denken nog te vaak dat hackers uitgebreide, weldoordachte programma’s en strategieën gebruiken om iemand in de val te lokken. Dat komt omdat ze er simpelweg geen ervaring mee hebben. In realiteit doen cybercriminelen weinig meer dan slachtoffers uitkiezen en hen zo simpel mogelijk te benaderen. Eenvoud is troef: hoe makkelijker en geloofwaardiger, hoe groter de kans dat het slachtoffer in de val loopt.

In dit geval doet Bert in principe niets verkeerd: hij leest, beoordeelt en verwerkt e-mails die van zijn collega’s lijken te komen en hij doet zijn best om zijn bedrijf draaiende te houden. Bij een routineuze klus zit de duivel natuurlijk in de details: een crimineel stuurt vaak op goed geluk algemene berichten uit die perfect in een dagelijkse workflow kunnen passen. Wie dan onvoldoende ervaring heeft met de kleine elementen die malafide e-mails verraden, is vaak een vogel voor de kat

Phish je eigen collega’s

Ontdekken dat je in de luren werd gelegd, is nooit fijn. ‘Slachtoffers’ van onze phishingsimulaties begrijpen vaak de noodzaak van dergelijke oefeningen om hun organisatie te beschermen. Soms ontvangen we evenwel reacties die aantonen dat ze de oefening niet kunnen appreciëren. ‘Ik was er niet op voorbereid.’ ‘Dit is oneerlijk.’ ‘Te realistisch’: het is een kleine, maar veelgehoorde greep uit verontwaardigde reacties.

Voor Phished is dat net het punt: mensen zijn nooit voorbereid op een phishingaanval. Hackers gebruiken dezelfde tactieken (en technieken) als wij, maar dan met een minder pedagogische inslag of nasleep. Criminelen kennen geen genade, en daarom is het belangrijk dat iedereen zo goed mogelijk voorbereid is – door middel van training, opleiding en simulaties.

Je eigen collega’s proberen te phishen is daarom een sterke, gerechtvaardigde strategie om een organisatie beter te beschermen. Tenminste, als dat gebeurt op een verantwoorde manier. Daar komt Phished in beeld: aan de hand van realistische phishingsimulaties, op maat van de ontvanger, worden medewerkers op geautomatiseerde wijze opgeleid in het herkennen van en omgaan met echte dreigingen.