Een nepphishingmail versturen en de klikken tellen is gemakkelijk. Dat cijfer omzetten in een team dat aanvallen meldt in plaats van erin te trappen, dat is het echte werk.
door Aydan Arabadzha
Bijna elk datalek waarvoor wij achteraf worden ingeschakeld, begon op dezelfde manier: iemand klikte op iets. Niet omdat die persoon onzorgvuldig was, maar omdat het bericht er normaal uitzag en de persoon het druk had.
Daarom bestaan phishingsimulaties. Goed uitgevoerd maken ze van uw grootste risico uw beste systeem voor vroege waarschuwing. Slecht uitgevoerd irriteren ze enkel mensen en leren ze hen IT te wantrouwen. Het verschil zit in hoe u ze uitvoert.
De meeste simulaties rapporteren één cijfer: hoeveel mensen klikten. Dat is de verkeerde kop.
Een klik vertelt u dat iemand zich even liet misleiden. Een melding vertelt u dat iemand de aanval opmerkte en de rest van het bedrijf waarschuwde. Het tweede cijfer is datgene wat u werkelijk beschermt, want hoe sneller een echte phishingmail wordt gemeld, hoe sneller u die kunt stoppen voor ze zich verspreidt.
Volg ze allebei op. Vier de melders luid. Na verloop van tijd wilt u dat de klikratio daalt en de meldratio stijgt, en het is de meldratio waar u op moet focussen.
Er bestaat een verleiding om de gemeenste mail te ontwerpen die mogelijk is, om zo veel mogelijk mensen te vangen. Weersta die verleiding. Een simulatie die een echt wreed lokmiddel gebruikt, zoals een nepbonus of een nepontslagbrief, zal mensen vangen, maar verbrandt ook vertrouwen en leert niets nuttigs.
Baseer uw simulaties op wat aanvallers dit kwartaal werkelijk naar uw sector sturen. Een leveringsbericht. Een gedeeld document. Een waarschuwing dat een wachtwoord verloopt. Echte lokmiddelen, eerlijk ingezet, leveren resultaten op waar u mee aan de slag kunt en een team dat zich getest voelt, niet bedrogen.
De waardevolste dertig seconden van de hele oefening zijn net nadat iemand heeft geklikt. Dat is het lesmoment. Een korte, kalme pagina die zegt "dit was een simulatie, dit is het ene detail dat het verraadde" blijft veel beter hangen dan een cursus van een uur drie maanden later.
Hou het specifiek. Wijs op het gelijkende domein, de niet-overeenkomende afzender, de urgentie. Mensen onthouden het verraderlijke detail. Ze onthouden zelden de les.
Eén enkele phishingtest is een momentopname. Gedrag verandert wanneer testen een rustig, regelmatig ritme wordt. Voer campagnes uit doorheen het jaar, varieer de lokmiddelen en wissel af wie het doelwit is. Het doel is geen perfecte score op één dag. Het is een personeelsbestand dat elk onverwacht bericht met een beetje gezonde argwaan behandelt, elke dag.
Niet iedereen is een gelijkwaardig doelwit. Financiële teams die geld kunnen verplaatsen, leidinggevenden met brede toegang en iedereen met adminrechten zijn meer waard voor een aanvaller en verdienen meer gerichte, meer realistische tests. Behandel hen daarnaar.
Meet meldingen, hou de lokmiddelen realistisch en eerlijk, train op het moment dat het telt en voer het geheel uit als een routine in plaats van als een eenmalige verrassing. Zo houdt een phishingsimulatie op een cijfer op een dia te zijn en wordt ze de reden waarom een aanval op dag één wordt gevangen.
Wilt u zien hoe uw team standhoudt? Phishingtesten is een van de dingen die we het best doen.