Nieuws en blogs

Phishingsimulatie als tool voor gedragsverandering. De do’s & don’ts.

Phishing simulatie geeft je als organisatie inzicht in de kwetsbaarheid voor phishing (spoiler alert: je loopt risico). Daarnaast is het een perfect middel zijn om bewustwording te creëren, medewerkers alert te houden én hen weerbaarder te maken tegen phishingaanvallen. Mits goed uitgevoerd natuurlijk! Tegelijkertijd is het belangrijk dat je het draagvlak bij medewerkers behoudt en dat zij jouw security awareness-inspanningen begrijpen en aanmoedigen.

Zet je phishing simulatie op een verkeerde manier in dan kan het een averechts effect hebben. Medewerkers voelen zich dan in de maling genomen of niet serieus genomen, waardoor je draagvlak verliest. Alle goede bedoelingen ten spijt, er zijn tal van voorbeelden te noemen van organisaties die de plank volledig missloegen met een phishing simulatie. Gelukkig gaat het in veel meer gevallen wel goed.

Om je te helpen om phishing simulatie als strategisch instrument in te zetten hebben we vijf do’s en vijf don'ts voor je op een rij gezet.

03 feb Foto van een vrouw die aan het werk is op een laptop

Do's voor een succesvolle phishingcampagne

1. Een sterke mail als start van je campagne

Aan het begin van de phishingcampagne wil je medewerkers een "shockeffect" bezorgen. Door een sterke mail te gebruiken toon je de noodzaak aan voor een security awareness programma en creëer je draagvlak onder medewerkers. Daarbij wil je als organisatie een zo nauwkeurig mogelijke weergave van de huidige stand van zaken. Begin niet met een bovengemiddeld moeilijke spear phishingmail waar men bijna gegarandeerd op klikt en kies ook zeker niet voor de eenvoudigste mail die iedereen herkent. De beste mail ligt ergens in het midden.

2. Kondig de phishingcampagne aan

Kondig in het begin van een security awareness traject aan dat er regelmatig phishing simulaties uitgevoerd worden en waarom het voor de organisatie belangrijk is om te doen. Zo weet iedereen wat hij of zij kan verwachten. Bovendien wil niemand falen en zal men mails dus kritischer gaan beoordelen. Het zou immers zomaar een phishingmail kunnen zijn. Hierdoor bereik je al voor een gedeelte het gewenste resultaat: een hogere mate van alertheid.

3. Phishingsimulatie als leermoment

Vraag jezelf af hoeveel waarde phishing simulatie heeft wanneer je het alleen inzet als meetinstrument. Om phishing simulatie een waardevolle tool te laten zijn in het creëren van bewustzijn dienen medewerkers er iets van te leren. Toon medewerkers die geklikt hebben een landingspagina met tips over hoe ze phishing kunnen herkennen en benadruk nogmaals het belang van extra aandacht voor het onderwerp.

> Tips over hoe je phishing kan herkennen vind je hier.

4. Beloon medewerkers bij meldingen van phishing

Wanneer medewerkers binnenkomende mails kritischer gaan bekijken kan het zijn dat de servicedesk of IT-afdeling regelmatig met meldingen van phishing overspoeld wordt. Zorg ervoor dat deze niet direct in de prullenbak verdwijnen, maar stuur een bedankje voor de melding. Het sturen van een bedankje zorgt ervoor dat medewerkers zich gehoord voelen en dat ze het ergens voor doen, namelijk het bijdragen aan een veilige werkomgeving. En stel je voor dat er tussen de simulaties een echte phishingmail is doorgekomen…

> Meer over het creëren van een veilige meldcultuur lees je in deze blog.

5. Communiceer de resultaten

Transparantie is essentieel voor het creëren en behouden van draagvlak onder medewerkers. Geef medewerkers daarom regelmatig updates over de behaalde resultaten en wat ze de komende periode qua vervolgstappen kunnen verwachten. Let wel op: deel resultaten anoniem. Noem dus geen namen van medewerkers die geklikt hebben.

Don’ts om teleurstellingen te voorkomen

1. Onethische phishingmails

Het behalen van een zo hoog mogelijk klikpercentage moet niet het doel van een phishing simulatie zijn. Het is namelijk erg makkelijk om een spear phishingmail te maken met heel veel organisatiespecifieke zaken waar men bijna gegarandeerd op klikt. Je moet medewerkers de kans geven om het als phishing te kunnen herkennen. Wij adviseren om phishingmails zo algemeen mogelijk te houden. Uiteraard kan je af en toe een spear phishing simulatie versturen, maar laat een externe partij deze mails dan verzinnen.

Ook kan je onderwerpen die gevoelige snaren kunnen raken beter vermijden. Een voorbeeld is de phishing simulatie die ABN Amro verstuurde, waarin werd meegedeeld dat het kerstpakket dat het jaar daarvoor was wegbezuinigd weer terugkwam. Bewaar het behandelen van de echt smerige trucs die criminelen gebruiken daarom voor eventuele vervolgtrainingen.

"Maar zo doen criminelen het toch ook?!”, hoor ik je denken. Inderdaad, maar er zijn genoeg manieren te bedenken die indruk maken op medewerkers én waarmee je hen niet tegen je in het harnas jaagt. Met een dergelijke aanpak streef je het doel voorbij - namelijk het creëren van bewustzijn en hen alert houden - en is de kans groot dat medewerkers zich afzetten tegen verdere inspanningen voor het creëren van security awareness.

2. Breng medewerkers niet in verlegenheid

Het is te makkelijk om medewerkers die klikken de schuld van alles te geven. Je moet binnen de organisatie medewerkers stimuleren om hulp in te schakelen. Geef medewerkers die klikken niet het gevoel dat ze gefaald hebben door hen te overladen met extra (straf)training. Door hen te straffen verlies je draagvlak en loop je het risico dat medewerkers in het vervolg hun mond houden bij (potentiële) incidenten, bang voor de consequenties.

3. Eenmalige phishing of te vaak phishen

Een eenmalige phishing simulatie is een prima tool om de noodzaak voor een trainingsprogramma aan te tonen en security awareness op de agenda van de directie te krijgen. Medewerkers zullen er echter weinig van leren. Binnen de kortste keren is iedereen de simulatie weer vergeten en is de alertheid weer op het oude niveau.

Phish ook zeker niet te vaak. Door te vaak te phishen kom je in de irritatiezone van medewerkers. Zorg voor een goede balans in de frequentie van de phishing simulaties. Wij adviseren onze klanten om eens per twee maanden een simulatie te versturen.

4. Staar je niet blind op klikpercentages

Een phishing simulatie is een prima methode om de huidige stand van zaken te meten, maar het is niet 100% waterdicht. Mensen die niet hebben geklikt kunnen bijvoorbeeld out-of-office zijn of de mail simpelweg niet gezien hebben. Bij phishing simulaties speelt de toevalsfactor altijd een rol. Staar je dus niet blind op klikpercentages en monitor daarom ook het aantal meldingen dat is binnengekomen bij de servicedesk of IT. Zie je in verloop van tijd een toename in het aantal meldingen? Dan weet je dat de phishingcampagne en de rest van het programma effect hebben.

5. Phishingsimulatie zonder vervolgtraining

Medewerkers hebben basiskennis nodig om phishing te kunnen herkennen. Het phishing awareness-niveau dient ook op peil te worden gehouden door een periodieke aanpak. Een goede phishingcampagne gaat dus verder dan simulatie alleen. Zorg ook voor training over het onderwerp en gebruik verschillende invalshoeken om de aandacht en interesse van medewerkers vast te houden. Denk bijvoorbeeld aan basistraining die worden afgewisseld met games en kennistesten.

Phishingsimulatie van Awaretrain

Wij bieden verschillende opties voor phishing simulatie binnen jouw organisatie. Wij kunnen de campagne voor je beheren, maar je kan ook ons selfservice trainings- en phishingplatform inzetten. Hiermee houd je zelf volledige controle over de phishing- en trainingscampagnes.

Neem eens vrijblijvend contact met ons op om de mogelijkheden te bespreken.

Probeer ons phishingplatform 1 maand gratis

Meer info over het gratis gebruik van ons phishingplatform of jouw gratis toegang aanvragen? Dat kan via onderstaande button.

Start met phishing!

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Take me there!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

Thumbnail webinar 11 oktober 19 aug
Webinar 11 oktober | Cybersecurity musthaves 2022-2023 Lees meer
Plaatje van een crimineel die aan het phishen is 26 jul
Phishing: De kloof tussen kennis en gedrag Lees meer
Foto van een man die zijn op zijn telefoon zit 21 jul
9 Privacy-instellingen voor je iPhone die je direct moet instellen Lees meer
Bekijk alle blogs