Phishing e-mail? De gijzeling komt van binnenuit.

Als je wilt weten hoe sterk je bent, zal je jezelf moeten meten. Dat zien we terug op de groene mat als 22 mannen of vrouwen proberen de bal in de goal te schieten. Weten hoe je een bal moet schieten is niet genoeg, je zult moeten oefenen. Dat weet iedereen. Als ik zeg dat ik sport door naar de tv te kijken, dan hoor boe-geroep. Zeker als ik ga klagen dat ik zoveel kilo’s aankom, ondanks dat ik wel 3 uur per dag naar sport kijk. Kortom van kijken wordt je niet fitter, van oefenen wel.

Als we dit zo normaal vinden voor onze fysieke conditie, hoe zit fit zijn we dan om foute e-mails te herkennen. Is het voldoende om te weten dat je geen phishing e-mails moet openen, of is het beter om zo goed getraind te worden dat je ze ook echt niet opent?

 

De sportschool voor informatiebeveiliging.

Als wij nep phishing e-mails op een organisatie afsturen, dan bouwen we de oefenzwaarte op. We beginnen met een makkelijk te herkennen e-mail. Dat maakt het trainen leuk. Als je dat niveau hebt bereikt, dan maken we het lastiger voor je: je krijgt een aantrekkelijk aanbod of zelfs een beloning in het vooruitzicht: een boekenbon of slimme speaker in je kerstpakket. Jawel dat aanbod kan je niet afslaan, je wachtte al zolang op waardering. Een beetje hacker weet de mens hier gevoelig voor is. Hacken is meesterschap in social engineering!

Alleen als je goed getraind bent, trap je daar niet in. Herkennen van zo’n e-mail voelt goed. Erin trappen, dat geeft schaamte. Als de organsiatie daar goed mee omgaat, dan is dat van korte duur en heb je je lesje geleerd. Samen wordt je daardoor sterker.

Onterecht Omdenken verzwakt de organisatie

Toch zien we regelmatig dat juist deze zwaardere, meer ‘persoonlijke’ nep e-mails leiden tot omgekeerd gedrag. In plaats van bewust te worden dat jij misschien wel deze keer de zwakke schakel bent, springt de vakbond er bovenop. “Dat mag niet, dit is niet eerlijk”. De vakbond grijpt zijn kans om aan tafel te komen en zijn rol te bevestigen als weldoener van de medewerker. Misbruik van het zo krachtige Omdenken, gehuil om het niet krijgen van de beloning. Deze reactie hoor ik bij sommige opdrachtgevers. En vanmorgen las ik zo’n bericht in de krant over de ‘zielenpieten’ van ABN Amro.

Mijn oproep

Mijn oproep is dan ook: Best bonden, zie dit als training en gijzel de organisatie niet met valse argumenten. Als je hier in trapt, dan maak je weg vrij voor nog meer foute e-mails, die de organisatie en haar klanten echt in gijzeling nemen.

Aan iedereen die er in getrapt is: kom op, doorgaan en houd moed. Je wordt sterker en weerbaar als je blijft oefenen.

Hugo Majoor – Consultant bij LBVD – hmajoor@lbvd.nl
Opdrachtgevers