FAQ

Vragen over phishingtests en van alles wat hierbij komt kijken worden hier beantwoord. Heeft u nog een vraag? We horen het graag. Neem in dat geval gerust contact op!

FAQ - de meest gestelde vragen rondom phishingtests

Hieronder vindt u de door ons verzamelde vragen en antwoorden rondom de uitvoering van phishingtests.

Naast de overeenkomt (een getekende offerte) hebben we een getekend vrijwaringsbewijs nodig om de test uit te voeren en hebben jullie een verwerkersovereenkomst nodig. We hebben een standaard verwerkersovereenkomst die we gezamenlijk kunnen ondertekenen. 

Op de vrijwaring staan de afspraken over wanneer we de test uit mogen voeren en de gegevens van de contactpersoon. Het invullen en ondertekenen van de vrijwaring is vereist voor de start van de phishingtest. 

Een verwerkersovereenkomst is een juridisch document dat de verantwoordelijkheden en verplichtingen regelt tussen een verwerkingsverantwoordelijke en een verwerker met betrekking tot de verwerking van persoonsgegevens.  
De verwerkersovereenkomst is nodig om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG) in Europa rondom het verwerken van persoonsgegevens tijdens en na afloop van de phishing simulatie.  
We kunnen een voorbeeld van een verwerkersovereenkomst toesturen voor aanvang van de phishing simulatie, waarmee jullie organisatie voldoet  

Whitelisting is nodig bij phishingtests om ervoor te zorgen dat test-e-mails zonder problemen door de e-mailfilters komen en afgeleverd kunnen worden bij de e-mailontvangers. Whitelisting verbetert de efficiëntie van de test: het doel is om de medewerkers te trainen, niet om het IT-systeem te testen. U bespaart dus geld doordat whitelisting makkelijker is dan omzeilen van de bij u ingestelde mail filters. Wij verstrekken de whitelistingsgegevens aan uw IT-beheerder en geven het ook door als deze gegevens verwijderd kunnen worden. Ons ethisch hackteam kan wel assisteren, maar wij doen dit eigenlijk nooit zelf.  

Enkele veelvoorkomende phishing-technieken zijn spear phishing (gerichte aanvallen op specifieke individuen), vishing (phishing via telefoon), smishing (phishing via sms), en pharming (het omleiden van gebruikers naar valse websites). Bij het versturen van de mails wordt vaak ‘name spoofing’ toegepast. 
 

Phishing-aanvallers gebruiken meestal e-mails, berichten of websites die er legitiem uitzien om slachtoffers te misleiden om persoonlijke informatie vrij te geven of schadelijke acties uit te voeren, zoals het klikken op kwaadaardige links of het downloaden van geïnfecteerde bijlagen. 

 

U kunt onze phishing-simulatie scenario’s afnemen (eenmalig of meerdere per jaar) waarbij wij alles regelen zonder dat er software geïnstalleerd hoeft te worden. Dat kan heel eenvoudig door ons te mailen, een bericht te sturen via het contactformulier of te bellen. Ook kunt u via ons de abonnementsdiensten van Knowbe4 in te kopen, waarbij per deelnemer een maandbedrag wordt betaald. De gegevens moeten bij de start eenmalig ingericht worden maar daarna ook onderhouden. Wij kunnen deze inrichting en onderhoud regelen maar u kunt dit ook zelf doen of samen met ons.  Neem gerust contact op voor meer informatie!

De resultaten van de phishingtests worden in de eindrapporten geanonimiseerd. Afhankelijk van de gebruiken, privacyregels en behoefte aan individueel opvolgen kan onze contactpersoon via een dashboard wel per persoon de uitkomsten inzien.

Ingetypte wachtwoorden worden client-sided (dus op de laptop of telefoon van de medewerker) omgezet in sterretjes (*****). Omdat dit javascript is, kunt u dat ook controleren als u dat wilt. We zien wel de eerste twee karakters en de totale lengte van het wachtwoord (als sterretjes), omdat we daarmee de veiligheid van uw organisatie soms kunnen vergroten: te korte wachtwoorden of terugkerende wachtwoordpatronen zijn soms verbeterpunten binnen het wachtwoordbeleid. Het komt bijvoorbeeld voor dat een groot deel van de wachtwoorden van gebruikers er zo uit zag tijdens een test: We******  
De kans is dan groot dat medewerkers het standaard wachtwoord Welkom01 nooit hebben hoeven aanpassen. Naast het feit dat de medewerkers de phishing niet hebben herkend, kunnen we hierdoor ook aanbevelingen voor betere beveiliging geven. 

Een belangrijk voordeel van ons inschakelen is dat wij extern zijn en geheimhouding hebben. Dit is een groot voordeel ten opzichte van het zelf, als organisatie, draaien van phishingtest. Er komt namelijk soms erg persoonlijke of vertrouwelijke informatie retour die bij ons team in goeden handen zijn maar die, als het over directe collega’s zou gaan, lastige situaties kunnen opleveren. Denk bijvoorbeeld aan het opslaan of direct reageren aan de phishingmailbox (onze ethisch hacker) in plaats van het échte mailadres van de persoon te gebruiken. 

Bij onze phishing as a service worden ook de reacties die niet online of via mail gegeven worden meegenomen. Dit is relevant omdat je hiermee ook een deel van het kennisniveau (over de procedures) per ronde kunt vaststellen en verbeteren.

De drie routes die wij los en in een risico matrix samengebracht rapporteren zijn:

  • Route 1: het onlinegedrag, wat doet de medewerker met de mail en wat doet de medewerker op onze phishing webpagina’s?
  • Route 2: het mail gedrag: Naast klikken op een link of openen van een bijlage zijn er altijd ook terugmailers. Tenzij we expliciet afspreken dat we de terugmailers niet opvangen, classificeren we de terugmailers ook in vier verschillende categorieën.
    De indeling van de terugmailers is: 
    1) Auto replies, meestal out-of-office 
    2) Believers: mensen die hulp vragen, zeggen dat ze de actie uit de phishing mail hebben uitgevoerd of die om hulp vragen.
    3) Non-believers: Er zijn altijd een paar mensen die terugmailen met een grap of ík trap er niet in’ toch is dit geen goede reactie omdat er informatie wordt weggegeven aan de hackers. De medewerkers kunnen namelijk tijdens de test nooit zeker weten of het een test is of een echte aanval.
    4) Technische errors bijvoorbeeld als een medewerker uit dienst is en het mailadres niet meer bestaat.
  • Route 3: Mensen die bellen, mailen of binnenlopen op de helpdesk of bij de ‘verzender’ van de mail als name poofing is gebruikt. Ook deze reacties moeten (handmatig) worden bijgehouden en ingedeeld in drie typen (believers, melders die het door hebben en twijfelaars of mensen die navragen of het echt was of niet).

Bij knowbe4 (en andere Cloud apps voor phishing) moet de inrichting en het onderhoud gedaan worden en is dit dus nooit bij de prijs inbegrepen. Bij onze eigen phishing simulaties betaalt u misschien alleen uw IT-bedrijf misschien een uur werk voor de whitelisting en export van de gebruikers, verder doet ons team alles en is dat altijd inbedrepen in de prijs.

Door te oefenen worden bedrijven minder gehacked. Phishing-simulaties helpen organisaties om de bewustwording van phishingrisico’s te vergroten, de reactie van medewerkers op phishingaanvallen te testen, en de effectiviteit van beveiligingsmaatregelen te evalueren. 
 

De training omvat onderwerpen als het herkennen van phishingmails- en websites en adviezen om hacks te voorkomen. 

Als u denkt dat u het slachtoffer bent van een phishing-aanval, meld dit dan onmiddellijk aan uw IT-afdeling of beveiligingsteam, verander eventuele gelekte wachtwoorden en volg de richtlijnen van uw organisatie voor het omgaan met dergelijke incidenten. 

U kunt uw medewerkers trainen om phishing te herkennen door regelmatige educatie en trainingssessies aan te bieden, phishing-simulaties uit te voeren en door hen bewust te maken van de nieuwste phishing-technieken en -trends. 

Ga daarvoor naar onze informatiepagina die de verschillen voor u op een rij zet. (deze pagina komt binnenkort online).