Phishing vormt nog altijd één van de grootste cyberdreigingen van dit moment en daarom heeft uw organisatie geïnvesteerd in awareness-trainingen en phishingsimulaties. Dit met als doel het bewustzijn van medewerkers naar een hoger niveau te brengen. Nu wilt u naar aanleiding van de resultaten passende vervolgstappen nemen. Met veel passie heeft LBVD de dienst PhishLink Red ontwikkeld, speciaal voor organisaties waar stilstaan geen optie is.
Wat is PhishLink Red?
PhishLink Red controleert de maatregelen die uw organisatie heeft genomen om de informatiebeveiliging te bevorderen door een aantal gesimuleerde maar realistische cyberaanvallen uit te voeren op het gebied van social engineering. Social engineering is een aanvalsvorm die zich richt op de menskant van een organisatie. Aanvallers maken misbruik van persoonlijke overtuigingen, maatschappelijke normen en andere factoren omtoegang te verkrijgen tot vertrouwelijke informatie of, in het ergste geval, uw informatiesystemen. De motivatie hiervoor is meestal financieel, door bijvoorbeeld met de verworven informatie een vervolgaanval (ransomware, chantage) uit te voeren of deze gegevens te verkopen. Beveiligingsmaatregelen zijn niet altijd voldoende om een aanval te weren. Social engineering speelt immers in op de gevoelens van een medewerker. Ongeveer 74% van de cyberincidenten in 2023 begonnen met een social engineering-aanval.
De PhishLink Red-dienst zal verschillende vormen van phishing inzetten om de weerbaarheid tegen social engineering meetbaar te maken. Denk hieraan aan de klassieke vorm middels e-mail, maar ook telefonisch en via berichten zoals WhatsApp en SMS. De specialisten van LBVD zullen met zo min mogelijke voorkennis gecontroleerde simulaties op afstand uitvoeren om de weerbaarheid van de medewerkers inzichtelijk te maken. Om deze aanvallen zo realistisch mogelijk te houden zal er geen whitelisting plaatsvinden en zullen de scenario’s gekozen worden vanuit een extern perspectief. Hierbij worden OSINT-technieken gebruikt om meer te weten te komen over de structuur en het karakter van uw organisatie. U krijgt hierdoor ook als bijvangst inzage in de effectiviteit van uw huidige maatregelen.
Nadat het account van een medewerker gecompromitteerd is, zullen de ethical hackers van LBVD hier deze gebruiken om in kaart te brengen wat voor vertrouwelijke informatie te achterhalen valt in het beschikbare tijdsbestek. Een uitbreiding hiervan is mogelijk in de vorm van laterale bewegingen binnen uw netwerk, alsof hackers toegang hebben weten te verkrijgen tot uw informatiesystemen.
Wat is social engineering?
Social engineering is een techniek waarbij kwaadwillenden proberen toegang te krijgen tot gevoelige informatie of informatiesystemen door in te spelen om menselijke emoties. In tegenstelling tot technische hacks, richt social engineering zich op de zwakste schakel in beveiliging: de mens. Vaak wordt hierbij ingespeeld op vertrouwen, behulpzaamheid, angst of urgentie, waardoor medewerkers onbewust gevoelige informatie prijsgeven of acties uitvoeren die de aanvaller toegang verschaffen tot systemen of netwerken.
Een veelvoorkomende vorm van social engineering is phishing, waarbij medewerkers worden misleid om inloggegevens of andere gevoelige informatie te delen via bijvoorbeeld een ogenschijnlijk legitieme e-mail. Andere methoden zijn onder meer smishing (SMS-phishing), vishing (telefonische phishing) en fysieke manipulatie, zoals het binnenkomen op een kantoor onder een valse identiteit.
Een effectieve verdediging tegen social engineering begint bij bewustwording. Door training metgesimuleerde aanvallen en inzicht in kwetsbaarheden te verkrijgen kunnen organisaties de weerbaarheid van medewerkers verhogen. Zo wordt niet alleen het risico op een geslaagde aanval verkleind, maar ook de algehele beveiligingscultuur versterkt. PhishLink Red meet het bewustzijn van de medewerkers met een realistische aanval. Aan de hand van de resultaten kunt u passende vervolgstappen nemen die aansluiten op het bewustzijnsniveau binnen de organisatie. Ons advies is dan ook om de resultaten zelf te communceren naar de medewerkers toe, ter lering.
Verschil tussen PhishLink Red en andere diensten
Ten opzichte van andere PhishLink-diensten, focust PhishLink Red zich op realisme en social engineering. Een phishingsimulatie is bedoeld ter bewustwording en/of oefening: ingevoerde gegevens worden niet opgeslagen en derhalve ook niet gebruikt in een vervolgaanval. PhishLink Red doet dit wel, met als doel het risico te kwantificeren in een daadwerkelijke ‘buit’ die is opgedaan tijdens de aanvalsperiode. Verder zal LBVD ook zelf de scenario’s prepareren zonder inhoudelijk overleg met de opdrachtgever. Uiteraard zal de voortgang op de aanvalsdagen transparant gecommuniceerd worden. Er worden meerdere manieren van phishing gebruikt, om zo de verschillende vormen van social engineering te toetsen op uw organisatie. Een limitatie is dat alle social engineering-aanvallen op afstand worden uitgevoerd, er zal geen MysteryGuest ingezet worden op locatie(s). Hiervoor verwijzen wij naar onze dienst Red Teaming 360°-assessment. PhishLink Red richt zich alleen op social engineering en de mogelijke gevolgen hiervan.
NIS2
De NIS2-richtlijn – en vanaf 2025 de Cyberbeveiligingswet – verplicht tot awarenesstraining, d.w.z. tot bewustmaking van cyberdreigingen, -risico’s en social engineering. Via de inzet van HackDemo/Roadshows, KennisToets en/of PhishLink voldoet u aan deze verplichting. Deze diensten voldoen aan alle eisen die NIS2 aan awarenesstraining stelt.
De resultaten zullen uitgebreid uiteengezet worden, inclusief aanbevelingen, in een op maat-gemaakte rapportage.