1. Blog
  2. Cybersecurity
  3. Succesvolle phishing awareness campagnes

Succesvolle phishing awareness campagnes

Ons advies om bewustmakingscampagnes van phishing tot een succes te maken.

Phishing campagnesimulatie: veelgemaakte fouten

Phishing is een van de meest gebruikte aanvalsvectoren in gevallen van datalekken (32%). Het resultaat is dat steeds meer bedrijven phishing-campagnes simuleren om hun werknemers voor te lichten. Deze simulaties zijn echter moeilijk te controleren en kunnen soms meer kwaad dan goed doen.

Tijdens missies bij onze klanten, waar phishing wordt besproken, hebben we twee fenomenen waargenomen:

  • Terughoudendheid: het voeren van een interne phishing-campagne is eng.
    Deze terughoudendheid kan komen van human resources of communicatie (die bang zijn voor de reactie van medewerkers) maar ook van beveiligingsteams, die al last hebben van een imagotekort; IT-beveiliging wordt vaak gezien als een belemmering voor het bedrijfsleven.
  • Het misbruik van deze vector: de doelgroep moet groot zijn.
    Het uitvoeren van een phishing-campagne is relatief eenvoudig, er zijn veel tools en managed services op de markt. Als de campagne echter eenmalig wordt uitgevoerd, is de kans groot dat deze nutteloos is. Men mag immers niet vergeten dat de phishing campagne een integraal onderdeel moet zijn van een bewustwordingsplan, dat tot doel heeft de vaardigheden van de medewerkers te vergroten, en niet alleen om op een gegeven moment hun tekortkomingen aan te wijzen.

Deze constatering gaf stof tot nadenken over het volgende probleem: hoe slaag je met een phishing campagne?

Vóór de campagne

1.Stel een bewustmakingsplan op voordat u een phishing-campagne plant

Gebruikersbewustzijn mag om verschillende redenen niet afhankelijk zijn van één enkele vector:

  • We leren niet allemaal op dezelfde manier.
  • Door dezelfde boodschap via verschillende kanalen te verspreiden, wordt interesse gewekt.
  • De phishing-campagne is meer een controlevector dan een leervector.

Het is dus belangrijk om ervoor te zorgen dat de campagne wordt voorafgegaan met, en gevolgd door andere acties die werknemers in staat stellen het risico van phishing te begrijpen, handvaten om ze te kunnen detecteren en lessen over hoe ze erop moeten reageren.

2.Waarschuw medewerkers

Instinctief hebben bedrijven de neiging om niet te communiceren over de realisatie van een phishing-campagne, uit angst voor vertekening van de resultaten: dit is een vergissing!

Niet vooraf communiceren betekent het risico nemen om medewerkers te frustreren en weerstand te creëren tegen cybersecurity. Het is belangrijk om transparant te zijn over het bestaan ​​van de tests en over de redenen voor deze tests: om werknemers vooruit te helpen en deel te laten nemen aan de beveiliging van het bedrijf. Het doel is om een ​​gemoedstoestand van het collectief te krijgen tegen het risico van phishing, en niet een oppositie van werknemers tegen een beveiligingsteam. Dit is een van de redenen waarom het contraproductief is om te zeggen dat het probleem “tussen de stoel en het toetsenbord” zit. Bovendien kan het waarschuwen van hen ook hun waakzaamheid dagelijks verhogen.

3.Management beheer

Het is ook noodzakelijk om te zorgen voor de ondersteuning van het management. Het management mag niet worden uitgesloten van de campagne: medewerkers zullen zich meer betrokken voelen als ze zien dat het een strategische kwestie is voor het management. Hiervoor kan het directiecomité deelnemen aan de communicatie van de resultaten.

4.Een geschikt scenario kiezen

  • Maak het niet te ambitieus: als IT- of beveiligingsprofessionals zijn we meestal beter opgeleid om phishing te detecteren, wat er vaak toe leidt dat we te geavanceerde phishing e-mails maken. Het is het beste om te beginnen met eenvoudige e-mails en op te werken in complexiteit. Een te complexe e-mail kan medewerkers ook ontmoedigen.
  • Kies geen eng scenario: De keuze van het scenario is cruciaal, je moet ervoor zorgen dat het aantrekkelijk is en ervoor zorgt dat de gebruiker wil klikken, zonder al te alarmerend te zijn. Zo kan een e-mail over een salarisreorganisatie werknemers onder druk zetten en teveel emoties opwekken.
  • Splits de campagne niet: Het is niet per se nodig om verschillende e-mails naar verschillende doelgroepen te sturen, omdat dit de statistieken verwatert.

Acties die moeten worden genomen na de campagne

1.Bestraf of ontmasker niet de werknemers die zijn “gephished”

Het zou contraproductief zijn om werknemers die zijn “gephished” te straffen, en nog meer om hun namen intern te communiceren. Naast de slechte sfeer die dit soort praktijken creëert, bestaat het risico dat werknemers in de toekomst bang zijn om ons te waarschuwen bij twijfel over een e-mail of bij een beveiligingsincident, uit angst voor sancties. Dit is het tegenovergestelde van de veiligheidscultuur die we proberen te ontwikkelen: waakzaamheid en alertheid.

Zelfs een relatief “gezonde” sanctie, zoals training voor fouten in een simulatie, wordt niet aanbevolen: werknemers zouden de training als een straf zien en het zou niet per se effectief zijn.

Omgekeerd is het misschien mogelijk om de afdeling die het beste presteert in de test te belonen: dit creëert een geest van vriendelijke concurrentie tussen medewerkers. Sommigen beweren dat dit de test zou kunnen verstoren, omdat werknemers elkaar zouden waarschuwen voor de aanwezigheid van een phishing-e-mail. In werkelijkheid is dit risico vrij klein. Ook als medewerkers elkaar waarschuwen, praten ze over phishing en hoe ze het hebben ontdekt: dit is een van de gewenste effecten!

2.Communiceren van de resultaten

Door ze anoniem te maken, is het essentieel om de resultaten te communiceren. Een alarmerende communicatie zou het doel dienen: angstmarketing werkt niet. De communicatie moet een uitleg bevatten over hoe phishing kan worden gedetecteerd of een link naar een speciale ruimte.

3.Focus niet op statistieken

Één van de voordelen van de phishing-campagne (en dat is wat het zo populair maakt) is dat je er meetbare resultaten mee kunt behalen. Men moet echter niet in de val van cijfers trappen en focussen op het aantal “phished” gebruikers:

  • De voorwaarden van de simulatie kunnen nauwelijks voor elke campagne identiek zijn (het onderwerp van de e-mail verandert, het kan minder aantrekkelijk zijn voor de medewerkers, de periode van het jaar kan meer of minder gunstig zijn, enz.). Het is daarom niet noodzakelijk gepast om de ene campagne met de andere te vergelijken.
  • Omdat het doel is om de vaardigheden van de gebruikers te vergroten, is het raadzaam om de e-mails beetje bij beetje ingewikkelder te maken. Het hebben van een constante verhouding van “phished” gebruikers is geen probleem als de complexiteit van de e-mails anders is. Het zou gemakkelijk zijn om positieve statistieken te verkrijgen door de complexiteit van de e-mail te verminderen, en toch zou het risico des te groter zijn.

Een van de indicatoren die bijzonder belangrijk zijn om in de gaten te houden, is de alert rate. Dit is wat we van gebruikers verwachten: dat ze waarschuwen bij verdachte e-mails. Hiervoor is het interessant om samen met het management IT-ondersteuning mee te nemen in de voorbereiding van de simulatie.

4.Train de medewerkers en… begin opnieuw!

Als de campagne eenmaal is afgelopen en de resultaten zijn verspreid, is het noodzakelijk om gebruikers bewust te blijven maken van phishingrisico’s. Om ervoor te zorgen dat de geïmplementeerde bewustmakingsacties worden gewaardeerd en geïmplementeerd door de werknemers, is het noodzakelijk om de hechtingsindicatoren te consolideren. Als deze niet voldoen, kunnen we de gekozen bewustwordingsvectoren aanpassen.

Bovendien raden we altijd aan om parallellen te trekken tussen het persoonlijke en het professionele leven, zodat de verzonden berichten meer impact hebben. Dit geldt met name voor phishing, dat zich richt op zowel professionals als individuen. Ten slotte, om effectiever te zijn, is het noodzakelijk om regelmatig simulaties uit te voeren. Zodra de resultaten van de simulatie verbeteren, kan het niveau van complexiteit worden verhoogd.

Conclusie: focus op bewustwording

Tot slot lijkt het belangrijk om nog even terug te komen op het feit dat een phishing-campagne een tool is die niet als awareness actie moet worden ingezet: het is vooral een controlevector. Sterker nog, aangezien bedreigingen voortdurend evolueren, moet het bewustzijn van werknemers een continu verbeteringsproces zijn. Door middel van regelmatige en gevarieerde bewustwordingsacties kunnen medewerkers hun vaardigheden op deze onderwerpen vergroten.

Bovendien moeten monitoringvectoren zoals de phishing-campagne worden gebruikt om de effectiviteit van de bewustmakingsstrategie te waarborgen. Altijd in de geest van continue verbetering, moeten ze ook nieuwe bedreigingen aanpakken: smishing (sms-phishing), vishing (telefonisch), besmetting van USB-sleutels, enz.

Delen