Een phishing-simulatie is een internetveiligheid oefening die het vermogen van een organisatie test om een ​​phishingaanval te herkennen en erop te reageren.

A phishing-aanval is een frauduleus e-mail-, sms- of spraakbericht dat is ontworpen om mensen te misleiden om te downloaden malware (Zoals ransomware), het vrijgeven van gevoelige informatie (zoals gebruikersnamen, wachtwoorden of creditcardgegevens) of het sturen van geld naar de verkeerde mensen.

Tijdens een phishing-simulatie ontvangen werknemers gesimuleerde phishing-e-mails (of sms-berichten of telefoontjes) die echte phishing-pogingen nabootsen. De berichten gebruiken hetzelfde social engineering tactieken (bijv. zich voordoen als iemand die de ontvanger kent of vertrouwt, een gevoel van urgentie creëren) om het vertrouwen van de ontvanger te winnen en hem te manipuleren om ondoordachte actie te ondernemen. Het enige verschil is dat ontvangers die op het lokaas klikken (bijvoorbeeld door op een kwaadaardige link te klikken, een kwaadaardige bijlage te downloaden, informatie op een frauduleuze bestemmingspagina in te voeren of een nepfactuur te verwerken) gewoon niet slagen voor de test, zonder nadelige gevolgen voor de organisatie.

In sommige gevallen worden werknemers die op de nep-kwaadaardige link klikken, naar een bestemmingspagina geleid die aangeeft dat ze ten prooi zijn gevallen aan een gesimuleerde phishing-aanval, met informatie over hoe ze phishing-scams en andere cyberaanvallen in de toekomst. Na de simulatie ontvangen organisaties ook statistieken over de klikfrequenties van werknemers en volgen ze vaak aanvullende phishing-bewustzijnstrainingen op.

Waarom phishing-simulaties belangrijk zijn 

Recente statistieken laten zien dat phishing-dreigingen blijven toenemen. Sinds 2019 is het aantal phishing-aanvallen met 150% procent gestegen per jaar-met de Anti-Phishing Working Group (APWG) rapporteert een record voor phishing in 2022, waarbij meer dan 4.7 miljoen phishingsites werden geregistreerd. Volgens Propoint, 84% van de organisaties in 2022 heeft ten minste één succesvolle phishingaanval meegemaakt.

Omdat zelfs de beste e-mailgateways en beveiligingstools organisaties niet tegen elke phishingcampagne kunnen beschermen, wenden organisaties zich steeds vaker tot phishingsimulaties. Goed gemaakte phishing-simulaties helpen de impact van phishing-aanvallen op twee belangrijke manieren te verminderen. Simulaties bieden informatiebeveiligingsteams die medewerkers nodig hebben om echte phishing-aanvallen beter te herkennen en te vermijden. Ze helpen ook beveiligingsteams om kwetsbaarheden op te sporen, de algehele reactie op incidenten te verbeteren en het risico op datalekken en financiële verliezen door succesvolle phishingpogingen.

Hoe werken phishing-simulaties?

Phishing-tests maken meestal deel uit van een bredere beveiligingsbewustzijnstraining onder leiding van IT-afdelingen of beveiligingsteams.

Het proces bestaat over het algemeen uit vijf stappen:

1. Planning: Organisaties beginnen met het definiëren van hun doelstellingen en het bepalen van de reikwijdte, beslissen welk type phishing-e-mails ze willen gebruiken en de frequentie van simulaties. Ze bepalen ook de doelgroep, inclusief het segmenteren van specifieke groepen of afdelingen en, vaak, leidinggevenden. 
2. Het opstellen van: Nadat ze een plan hebben opgesteld, maken beveiligingsteams realistische nep-phishing-e-mails die sterk lijken op echte phishing-bedreigingen, vaak gemodelleerd naar phishing-sjablonen en phishing-kits die beschikbaar zijn op het dark web. Ze besteden veel aandacht aan details zoals onderwerpregels, afzenderadressen en inhoud om realistische phishing-simulaties te maken. Ze omvatten ook social engineering-tactieken - zelfs het nabootsen (of 'spoofen') van een leidinggevende of collega als afzender - om de kans te vergroten dat werknemers op de e-mails klikken. 
3. Bezig met verzenden: Zodra ze de inhoud hebben voltooid, sturen IT-teams of externe leveranciers de gesimuleerde phishing-e-mails op veilige wijze naar de doelgroep, met privacy in het achterhoofd.
4. Monitoring: Na het verzenden van de nep-kwaadaardige e-mails houden leiders nauwlettend bij en registreren ze hoe werknemers omgaan met de gesimuleerde e-mails, waarbij ze controleren of ze op links klikken, bijlagen downloaden of gevoelige informatie verstrekken.
5. Analyseren: Na de phishing-test analyseren IT-leiders de gegevens van de simulatie om trends zoals klikfrequenties en beveiligingsproblemen te bepalen. Daarna nemen ze contact op met medewerkers die de simulatie niet hebben doorstaan ​​met onmiddellijke feedback, waarbij ze uitleggen hoe ze de phishing-poging correct hadden kunnen identificeren en hoe ze echte aanvallen in de toekomst kunnen voorkomen. 

Zodra ze deze stappen hebben voltooid, stellen veel organisaties een uitgebreid rapport samen met een samenvatting van de resultaten van de phishing-simulatie om te delen met relevante belanghebbenden. Sommigen gebruiken de inzichten ook om hun beveiligingsbewustzijnstraining te verbeteren voordat ze het proces regelmatig herhalen om het cyberbeveiligingsbewustzijn te vergroten en evoluerende cyberdreigingen voor te blijven.

Overwegingen bij phishing-simulaties

Bij het uitvoeren van een phishing-simulatiecampagne dienen organisaties rekening te houden met het volgende.

• Frequentie en variëteit van testen: Veel experts stellen voor om het hele jaar door regelmatig phishing-simulaties uit te voeren met behulp van verschillende soorten phishing-technieken. Deze verhoogde frequentie en variëteit kunnen helpen het bewustzijn van cyberbeveiliging te versterken en ervoor te zorgen dat alle werknemers waakzaam blijven voor zich ontwikkelende phishing-bedreigingen.
• Inhoud en methoden: Als het op inhoud aankomt, zouden organisaties gesimuleerde phishing-e-mails moeten ontwikkelen die lijken op realistische phishing-pogingen. Een manier om dit te doen is door phishing-templates te gebruiken die zijn gemodelleerd naar populaire soorten phishing-aanvallen om werknemers te targeten. Een sjabloon kan zich bijvoorbeeld richten op zakelijke e-mailcompromis (BEC)- ook wel CEO-fraude genoemd - een vorm van speervissen waarin cybercriminelen e-mails van een van de C-level executives van de organisatie nabootsen om werknemers te misleiden om gevoelige informatie vrij te geven of grote sommen geld over te maken naar een vermeende leverancier. Net als cybercriminelen die echte BEC-scams lanceren, moeten beveiligingsteams die de simulatie ontwerpen de afzender en de ontvangers zorgvuldig onderzoeken om de e-mail geloofwaardig te maken.
• timing: De ideale timing voor organisaties om een ​​phishing-simulatie uit te voeren, blijft een voortdurende bron van discussie. Sommigen geven er de voorkeur aan een phishing-test uit te voeren voordat werknemers een bewustmakingstraining voor phishing volgen om een ​​benchmark vast te stellen en de efficiëntie van toekomstige phishing-simulatieoplossingen te meten. Anderen wachten liever tot na de bewustmakingstraining voor phishing om de effectiviteit van de module te testen en te kijken of de medewerkers phishingincidenten correct melden. Het tijdstip waarop een organisatie besluit een phishing-simulatie uit te voeren, hangt af van de behoeften en prioriteiten. 
• Educatieve opvolging: Het maakt niet uit wanneer organisaties besluiten een phishingtest uit te voeren, het maakt meestal deel uit van een groter en uitgebreider trainingsprogramma voor beveiligingsbewustzijn. Vervolgtraining helpt werknemers die de test niet doorstaan, zich gesteund te voelen in plaats van gewoon bedrogen te worden, en biedt kennis en stimulansen voor het identificeren van verdachte e-mails of echte aanvallen in de toekomst.
• Voortgangs- en trendregistratie: Na simulaties moeten organisaties de resultaten van elke phishing-simulatietest meten en analyseren. Dit kan gebieden voor verbetering identificeren, inclusief specifieke werknemers die mogelijk aanvullende training nodig hebben. Beveiligingsteams moeten ook op de hoogte blijven van de nieuwste phishingtrends en -tactieken, zodat ze de volgende keer dat ze een phishingsimulatie uitvoeren, werknemers kunnen testen met de meest relevante reële bedreigingen.

Krijg meer hulp in de strijd tegen phishing-aanvallen

Phishing-simulaties en beveiligingsbewustzijnstrainingen zijn belangrijke preventieve maatregelen, maar beveiligingsteams hebben ook geavanceerde dreigingsdetectie- en reactiemogelijkheden nodig om de impact van succesvolle phishing-campagnes te beperken.

IBM Security® QRadar® SIEM is van toepassing machine learning en analyse van gebruikersgedrag (UBA) voor netwerkverkeer naast traditionele logboeken voor slimmere detectie van bedreigingen en sneller herstel. In een recent onderzoek van Forrester hielp QRadar SIEM beveiligingsanalisten in drie jaar tijd meer dan 14,000 uur te besparen door fout-positieven te identificeren, de tijd die ze besteedden aan het onderzoeken van incidenten met 3% te verminderen en hun risico op een ernstige inbreuk op de beveiliging met 90% te verminderen.* Met QRadar SIEM-beveiligingsteams met veel middelen beschikken over het inzicht en de analyses die ze nodig hebben om bedreigingen snel te detecteren en onmiddellijke, weloverwogen actie te ondernemen om de effecten van een aanval te minimaliseren.

Meer informatie over IBM QRadar SIEM

*De Totale economische impact van IBM Security QRadar SIEM is een onderzoek in opdracht van Forrester Consulting namens IBM, april 2023. Gebaseerd op verwachte resultaten van een samengestelde organisatie, gemodelleerd op basis van vier geïnterviewde IBM-klanten. Werkelijke resultaten zullen variëren op basis van klantconfiguraties en omstandigheden en daarom kunnen algemeen verwachte resultaten niet worden geleverd.