Login
Persoon die kijkt naar een gesimuleerde phishing e-mail op zijn laptop.

Phishing simulatie

Phishing simulaties zijn gesimuleerde phishingaanvallen die medewerkers leren hoe ze e-mail gebaseerde dreigingen kunnen herkennen en verdedigen. Ze helpen de bewustwording van medewerkers verbeteren, kwetsbaarheden te identificeren en een veerkrachtige cybersecurity cultuur te bevorderen.

23 mei 2024 · 14 min read

Wat is een phishing simulatie?

Stel je voor dat een voetbalcoach de verdedigende vaardigheden van het team tegen strafschoppen wil testen. De coach kan eindeloze lezingen geven over strategie, maar de meest effectieve methode is om een daadwerkelijke strafschop na te bootsen. Deze praktische aanpak stelt de coach in staat om de echte paraatheid van het team te evalueren en te zien waar verbetering nodig is. 

Een phishing simulatie werkt volgens hetzelfde principe, maar dan op het gebied van cybersecurity. De IT-afdeling van een organisatie stuurt gesimuleerde phishing e-mails naar medewerkers waarbij tactieken worden ingezet die in de praktijk worden gebruikt door echte oplichters. Denk bijvoorbeeld aan het vragen om gevoelige informatie of het aanzetten tot het downloaden van een kwaadaardige bijlage.

Het doel van de oefening is niet om medewerkers te straffen die voor de zwendel vallen, maar om mogelijke kwetsbaarheden binnen de organisatie te identificeren. Degenen die op de gesimuleerde phishing links klikken, krijgen geen terechtwijzing. In plaats daarvan worden ze ideale kandidaten voor verdere training. Na de simulatie kun je medewerkers voorzien van aanvullende informatie en training die hen helpt de rode vlaggen van phishing pogingen te herkennen.

Een phishing simulatie is dus een praktische oefening om phishing dreigingen te herkennen. Het is gericht op het beoordelen en verbeteren van de cybersecurity bewustwording van je organisatie. Hierdoor worden medewerkers voorbereid op de eventualiteit van een echte aanval. Laten we eens beter kijken naar de manier waarop deze simulaties werken en hoe ze succesvol kunnen worden geïmplementeerd om de verdediging van jouw organisatie te maximaliseren.

Een laptop met een open browserschrem met verschillende elementen als buttons en sliders. Aan de linkerkant van de laptop staat een abstracte vorm met schuiven die je in kunt stellen. Aan de rechterkant van de laptop staat een groen schild met een cursorpijltje erop als symbool voor de phishing report button.

Hoe werken phishing simulaties?

Phishing simulaties zijn een geweldige manier om de lessen van de bewustwordingstraining in de praktijk te oefenen. Je creëert een veilige, gecontroleerde omgeving waarin je de vaardigheid van je medewerkers om e-mail gebaseerde dreigingen te detecteren en erop te reageren kunt evalueren. Laten we eens kijken hoe deze simulaties werken:

  • Planning en doelstellingen: Het proces begint met een gedegen planning. Beveiligingsteams definiëren de doelstellingen en reikwijdte van de simulatie, zoals het aantal medewerkers dat deelneemt, de complexiteit van phishing e-mails en de soorten scenario’s die je wilt gebruiken.
  • Doelbepaling: Het IT- of beveiligingsteam selecteert de medewerkers voor de simulatie aan de hand van eerder vastgestelde criteria of door willekeurige keuze.
  • Monitoring van reacties: Het beveiligingsteam houdt nauwlettend in de gaten hoe medewerkers reageren op de gesimuleerde phishing e-mails. Ze volgen hoeveel mensen op links klikken, bijlagen openen of de in de e-mails gevraagde informatie verstrekken. Op basis van deze gegevens krijg je inzicht in de vatbaarheid van de organisatie voor phishing dreigingen.
  • Educatie en feedback: Na afloop van de simulatie worden medewerkers die hebben gereageerd op de gesimuleerde phishing e-mails niet gestraft. In plaats daarvan worden ze doorverwezen naar educatieve bronnen, zoals trainingsmaterialen en tips over het herkennen van phishing kenmerken. Deze feedback laat medewerkers zien hoe ze hun vaardigheden voor het detecteren van phishing kunnen verbeteren.
  • Analyse en rapportage: Beveiligingsteams analyseren de resultaten van de simulatie om trends, kwetsbaarheden en specifieke medewerkers te identificeren die mogelijk verdere training nodig hebben. Ze genereren vaak een gedetailleerd rapport om het management te informeren over de beveiligingsstatus van de organisatie.
  • Herhaling en verbetering: Phishing simulaties moeten regelmatig plaatsvinden wil je de voortgang kunnen zien en het beveiligingsbewustzijn van jouw medewerkers verbeteren. Het proces is iteratief, waarbij elke simulatie de medewerkers verder traint om dreigingen (nog) beter te herkennen in de volgende ronde, terwijl ze tegelijkertijd op de hoogte blijven van de nieuwste cyberdreigingen.
Informatiekader met uitleg over de belangrijkste kengetallen voor phishing simulaties en hun betekenis: het klikpercentage, het interactiepercentage en het meldpercentage.

Wie heeft baat bij phishing simulaties?

Leidinggevende in beveiliging zouden moeten overwegen om phishing simulaties in te zetten voor alle medewerkers als essentieel onderdeel van elke cybersecurity strategie. Cyberdreigingen kunnen behoorlijk willekeurig zijn, dus elk teamlid heeft baat bij een zekere mate van paraatheid.

Echter, aangezien niet elk bedrijf dezelfde behoeften heeft als het gaat om bewustwording, moeten phishing simulaties worden aangepast wat betreft de moeilijkheidsgraad, frequentie en relevante onderwerpen om het leren te maximaliseren en het effect van de simulaties te verhogen.

Hoe vaak moeten phishing simulaties worden uitgevoerd?

Met phishing als het belangrijkste aanvalskanaal van cyberaanvallen in 2023 (namelijk in 41% van de gevallen) is de belangrijkste vraag niet of je phishing simulaties moet uitvoeren, maar hoe vaak je ze moet uitvoeren.

Het bepalen van de ideale frequentie voor phishing simulaties is een dynamisch proces en hangt af van de specifieke behoeften en omstandigheden van je organisatie. Overweeg factoren zoals je branche, de mate van cybersecurity volwassenheid en het dreigingslandschap. Het is belangrijk om te onthouden dat simulaties die te vaak voorkomen stress kunnen veroorzaken en de productiviteit kunnen verminderen. Aan de andere kant bereiden incidentele simulaties medewerkers mogelijk onvoldoende voor op daadwerkelijke phishing dreigingen.

Hoewel er geen one-size-fits-all antwoord is, hebben veel organisaties ontdekt dat het uitvoeren van één gesimuleerde phishing e-mail per maand een goede balans creëert. Deze maandelijkse cadans beschermt de geleerde informatie tegen de Vergeetcurve en zorgt ervoor dat medewerkers bewust blijven van het belang van cybersecurity. Bovendien is de kans kleiner dat je je medewerkers overvoert met teveel simulaties, waarmee je ervoor zorgt dat ze betrokken en bereid blijven om deel te nemen.

Ebbinghaus’ Vergeetcurve

Als je meer dan één phishing simulatie per maand uit wilt voeren, kun je dat zeker doen. Maar houd het aantal simulaties wel onder de drie om te voorkomen dat je medewerkers teveel mails ontvangen en daardoor minder betrokken raken bij het leerproces.

Onthoud dat het vinden van het juiste ritme voor gesimuleerde e-mails een dynamisch proces is en dat je het in de loop van de tijd moet aanpassen. Houd nauwlettend in de gaten hoe je medewerkers reageren en pas je aanpak indien nodig aan.

5 veelvoorkomende mythen over phishing simulaties

Phishing simulaties zijn in de loop der tijd effectiever en geavanceerder geworden. Hierdoor dragen ze bij aan een robuuste en duurzame verdediging tegen voortdurend evoluerende digitale dreigingen. Niet iedereen is echter voorstander van phishing simulaties en mythen en misvattingen vertroebelen vaak de praktische toepassing ervan. Laten we eens kijken naar vijf hardnekkige mythen over phishing simulaties en deze op waarheid beoordelen.

Infographic met 5 veelvoorkomende mythes over phishing simulaties als veroorzaker van wantrouwen en onzekerheid en het versterken van de kwetsbaarheid van medewerkers, het overweldigen van medewerkers en IT-teams en de misleidende doelstelling om een 0% klikpercentage te realiseren.

Mythe 1: Phishing simulaties leiden tot onzekerheid en wantrouwen

Phishing simulaties worden vaak ten onrechte gezien als veroorzaker van wantrouwen en onzekerheid in teams. Wanneer ze correct worden uitgevoerd kunnen ze een cruciale rol spelen bij het versterken van digitale zelfverdedigingsvaardigheden. Op die manier zaaien ze geen angst, maar zorgen ze voor een sterke veiligheidscultuur en verantwoordelijkheid onder medewerkers. Het geheim voor succes ligt in transparante en effectieve communicatie met je medewerkers. Door de doelstellingen van de simulaties proactief te bespreken en medewerkers onderdeel te maken van het proces, zijn zij zich meer bewust van hun rol in het beschermen van de organisatie en van de noodzaak om deel te nemen aan deze simulaties.

Mythe 2: Phishing simulaties maken medewerkers kwetsbaarder

Phishing simulaties worden vaak gezien als de oorzaak van een hogere kwetsbaarheid van medewerkers voor cyberdreigingen. In werkelijkheid is bewezen dat voortdurend leren en regelmatige training de vatbaarheid voor phishing aanvallen aanzienlijk vermindert. Gegevens uit ons trainingsplatform laten een afname zien van 70% in klikpercentage en een daling van 80% in interactiepercentage na de simulatie. Soortgelijke trends worden waargenomen in andere onderzoeken, waaronder het Digital Defence Report van Microsoft, dat een jaarlijkse afname van 50% in de kwetsbaarheid van medewerkers laat zien na het implementeren van simulaties.

Mythe 3: Phishing simulaties overweldigen medewerkers

Deze zorg is met name relevant in het huidige klimaat, waarin de werklast van IT-medewerkers hoger is dan ooit tevoren. Echter, moderne trainingsmethodologieën zoals microleren en gamificatie gaan effectief met dit probleem om. Microleren levert informatie in kleine, behapbare stukjes om informatie-overload te voorkomen. Gamificatie voegt een element van plezier toe aan het trainingsproces. Door deze elementen in de simulatie te introduceren, leren gebruikers zonder dat ze hier veel moeite voor hoeven doen. Bovendien ontvangen ze alleen de minimaal relevante informatie om doorlopend leren te bevorderen.

Mythe 4: Phishing simulaties belasten IT-teams teveel

Het tegengestelde is waar: effectieve simulaties hebben geavanceerde tools zoals een geïntegreerde risicoanalyse en geautomatiseerde rapportageknoppen, die de extra inspanning voor IT-teams verminderen. Deze functies helpen medewerkers verdachte e-mails te identificeren, waardoor ze minder onzeker worden en IT-teams zich kunnen concentreren op echte dreigingen. Daarnaast stroomlijnt deze aanpak rapportage en monitoring, waardoor de administratieve last voor IT-teams aanzienlijk wordt verminderd. Als gevolg hiervan verbeteren phishing simulaties niet alleen de effectiviteit van de beveiliging, maar verlicht het ook de druk op het IT-personeel op de lange termijn, omdat medewerkers meer kennis hebben en proactief bijdragen aan cybersecurity.

Mythe 5: Phishing simulaties moeten zorgen voor een klikpercentage van 0%

Het streven naar een klikpercentage van 0% kan misleidend zijn, omdat dit medewerkers ertoe kan brengen zich uitsluitend te richten op het identificeren van gesimuleerde e-mails in plaats van het ontwikkelen van een breder begrip van phishing tactieken. In plaats daarvan zou het doel moeten zijn om een breder bewustzijn en veerkracht onder medewerkers te bevorderen, zodat ze echte phishing e-mails beter herkennen. Om dit te bereiken is een gebalanceerde aanpak nodig waarbij simulaties op de persoon kunnen worden afgestemd qua inhoud en moeilijkheidsgraad.

Belangrijke strategieën voor succesvolle phishing simulaties

Om ervoor te zorgen dat de mythen over phishing simulaties slechts mythen blijven, is het belangrijk om hun creatie zorgvuldig aan te pakken. Dit houdt niet alleen in dat je valkuilen vermijdt die de veerkracht van medewerkers kunnen schaden of IT-teams kunnen belasten, maar ook dat je de mens centraal stelt. Door principes uit de psychologie en gedragswetenschappen te integreren, kunnen we phishing simulaties ontwerpen die effectief zijn en tegelijkertijd rekening houden met de behoeften van ons team. Hieronder volgen enkele eenvoudige strategieën die je helpen deze principes naadloos in je phishing simulaties op te nemen:

  • Aankondigen in plaats van verrassen: Het vooraf aankondigen van je plannen helpt verwarring te voorkomen en motiveert je medewerkers om deel te nemen aan de simulatie. Je kunt een paar weken voor de start van de simulatie een aankondiging doen, misschien via een bedrijfsbrede e-mail of zelfs door er een leuke competitie van te maken tussen collega’s. Vermeld in je aankondiging details als waarom je de simulatie uitvoert, wat medewerkers kunnen verwachten, wanneer de simulatie begint (geen specifieke datum nodig), hoe de simulatie werkt en met wie ze contact kunnen opnemen voor vragen.
  • Trainen in plaats van testen: Het straffen van medewerkers  voor verkeerde acties doet afbreuk aan hun bereidheid om te leren van de ervaring van de phishing simulatie. Door de simulatie anoniem te houden, zullen medewerkers zich niet gemonitord voelen, waardoor ze zich op hun eigen tempo kunnen ontwikkelen. De verzamelde gegevens moeten uitsluitend zijn gericht op het verbeteren van leerprestaties en niet op het bestraffen van onveilig gedrag. De gegevens kunnen onder andere worden gebruikt om inzichtelijk te maken waar de trainingsinhoud moet worden aangepast.
  • Educatie in plaats van kritiek: Het draait niet alleen om het versturen van phishing simulatie e-mails als ‘tick in the box’. In plaats daarvan gaat het erom je medewerkers daadwerkelijk te helpen leren hoe ze veilig kunnen blijven op het moment dat ze daadwerkelijk een phishing e-mail ontvangen. Nadat je medewerkers hebben geklikt op een gesimuleerde phishing e-mail, moeten ze worden doorverwezen naar nuttige leermiddelen zodat ze informatie krijgen aangeboden op het moment dat ze hier echt voor openstaan. Dit stimuleert je medewerkers om in de toekomst (nog) voorzichtiger te zijn en geeft hen de kennis om veiligere keuzes te maken.
  • Gepersonaliseerd in plaats van algemeen: Het is belangrijk om de phishing simulatie aan te passen aan de behoeften van je medewerkers. Als de simulatie te eenvoudig is, kan het minder boeiend zijn. Is het te moeilijk, dan zul je medewerkers ontmoedigen. De truc is om de juiste balans te vinden. Dit betekent het combineren van eenvoudige en uitdagende e-mails en deze aanpassen aan de specifieke ontvangers. Het doel is om de simulatie echt te laten lijken, zodat je medewerkers effectief kunnen leren.
Quote van Juliane Mroz, Senior Social Engineering Ontwerper bij SoSafe: Gesimuleerde phishing-e-mails moeten er net zo echt uitzien als die van cybercriminelen, met het belangrijke verschil dat ze zich moeten richten op het maximaliseren van leereffecten terwijl ze ethische richtlijnen respecteren. Hackers daarentegen hebben slechts één kwaadaardig doel - mensen ertoe brengen op hun link te klikken.

Het volledige potentieel van phishing simulaties benutten, vraagt om een veelzijdige aanpak. Naast eerder genoemde strategieën zijn er nog aanvullende overwegingen, zoals het waarborgen van naleving van de AVG en het implementeren van effectieve incidentresponsplannen. Meer informatie over deze en andere onderwerpen vind je in onze e-guide Best-practices in phishing simulaties.

Best-practices
in phishing simulaties

Lees de e-guide

Ontdek hoe je je eigen phishing simulaties kunt aanpassen aan de behoeften van jouw organisatie.

Het opvullen van de lacunes in phishing: Wat te doen tussen campagnes door

Phishing simulatie campagnes moeten doorlopend worden uitgevoerd wil je cybersecurity hoog op de agenda houden en een sterke veiligheidscultuur waarborgen. Er kunnen echter momenten zijn waarop er een pauze is tussen phishing campagnes. In deze tijd hebben organisaties de kans om hun cybersecurity te versterken en een cultuur van verhoogd bewustzijn te bevorderen. Het is belangrijk om deze periodes niet te beschouwen als pauzes, maar als cruciale momenten voor evaluatie, educatie en bekrachtiging. Dit is wat je moet doen tussen campagnes door:

  • Identificeer kwetsbaarheden: Controleer phishing simulatie rapportages om te zien waar je staat qua cybersecurity. Als een specifieke afdeling consequent een hoog klikpercentage heeft van gesimuleerde phishing e-mails, analyseer dan de reden daarvoor en pas je training aan om die dreiging aan te pakken. Pas je verdediging aan op basis van geïdentificeerde zwakke punten en gebruik gerichte leermodules om je team te versterken.
  • Onderneem actie: Basistraining behandelt algemene preventie, maar daarnaast is het cruciaal om specifieke kwetsbaarheden of afdelingen tussen campagnes door aan te pakken. Voer regelmatig campagnes uit die zijn gericht op zwakke punten om je voortgang te controleren en zorg ervoor dat regelmatige phishing simulaties je doorlopende trainingsinspanningen ondersteunen. 
  • Houd het bewustzijn op peil: Houd je team op de hoogte van de nieuwste phishing tactieken. Gebruik MS Teams-integraties zoals Sofie Rapid Awareness om op een snelle manier nieuws en updates binnen je organisatie te delen.
  • Stimuleer open discussies: Faciliteer interne fora waar medewerkers openlijk hun phishing ervaringen kunnen delen, zowel de echte als gesimuleerde. Creëer een cultuur waarin het melden van verdachte e-mails wordt aangemoedigd en bevorder een omgeving waar medewerkers zich op hun gemak voelen om beveiligingszorgen aan de orde te stellen.
  • Beloon en vier verbeteringen: Prijs interne groepen of afdelingen die het beste presteerden in je laatste phishing campagne en identificeer beveiligingskampioenen op elke afdeling – mensen die meer dan gemiddeld betrokken zijn bij beveiliging en de drive hebben om kengetallen te verbeteren en met nieuwe ideeën te komen. Hierdoor blijft de rest van de afdeling ook vooruitgang boeken.
  • Zorg voor executive sponsors: Zorg ervoor dat je een C-level sponsor hebt die de aandacht kan vestigen op en middelen vrij kan maken voor je bewustzijnsinspanningen. Zorg daarnaast voor een duidelijke verantwoordelijkheidsketen van managers en medewerkers.

De strategische acties die worden ondernomen tussen phishing simulaties in kunnen aanzienlijke invloed hebben op je mate van paraatheid om echte cyberdreigingen aan te pakken wanneer ze zich daadwerkelijk voordoen. Gebruik deze tijd om je verdedigingsstrategieën te verfijnen, waardevolle inzichten te verkrijgen uit eerdere ervaringen en ervoor te zorgen dat je medewerkers geïnformeerd, betrokken en bekwaam blijven om phishing aanvallen effectief tegen te gaan.

Hoe SoSafe je kan helpen veerkrachtiger te worden door middel van phishing simulaties

Phishing simulaties zijn niet alleen tests – ze zijn jouw geheime wapen om van je team waakzame beschermers van digitale veiligheid te maken. Een holistische aanpak die theoretische kennis combineert met praktische training is essentieel om de algehele beveiliging van je organisatie te verbeteren.

Door het complexe onderwerp van phishing en vergelijkbare cyberaanvallen te vertalen naar hapklare training, biedt ons microleren boeiende leerervaringen die helpen om een informatie-overload te voorkomen. Onze op spel gebaseerde trainingsmethoden voegen een element van plezier toe aan de training, waardoor continu leren wordt gestimuleerd zonder je medewerkers te overvoeren. En onze  functielancering van gepersonaliseerd leren zorgt ervoor dat elke medewerker alleen díe informatie ontvangt die voor hem of haar relevant is.

Om het trainingsproces verder te versterken, creëren de phishing simulaties van SoSafe een veilige omgeving waar medewerkers kunnen oefenen wat ze hebben geleerd tijdens de training. Ze bieden een veilige omgeving om phishing pogingen te begrijpen, detecteren en neutraliseren. Het doel is niet alleen om kennis op te doen over hoe je phishing pogingen kunt herkennen, maar ook om deze kennis om te zetten in daadwerkelijk veilig gedrag.

Maar wat gebeurt er nadat medewerkers gesimuleerde phishing e-mails – of zelfs daadwerkelijke dreigingen – hebben geïdentificeerd? Een snelle reactie is essentieel om je organisatie te beschermen en risico’s te minimaliseren. Dit is waar de Phishing Rapporteer Button in actie komt door medewerkers een eenvoudige manier te bieden om dreigingen te melden. Deze stroomlijnt het meldproces en biedt medewerkers de begeleiding waarmee ze betere beslissingen kunnen nemen via de PhishAssist-functie. Bovendien verlicht de meldknop de werklast van de IT-afdeling door e-mails van de simulatie automatisch te filteren.

Het belangrijkste is dat de Phishing Rapporteer Button inzichtelijke gegevens biedt over het meldpercentage van je organisatie. Combineer je dit meldpercentage met twee andere belangrijke kengetallen – het klik- en interactiepercentage van de simulatie – dan draagt dat bij aan een totale beoordeling van de beveiligingsstatus van je organisatie. Deze inzichten zijn verwerkt in het gedragsscore kengetal, dat het cybersecurity risico van je organisatie kwantificeert en een meer gerichte en effectieve responsstrategie mogelijk maakt.

In het voortdurend veranderende dreigingslandschap van vandaag de dag is investeren in voortdurende educatie je sterkste verdediging tegen de genadeloze golf van cyberaanvallen. Met elke simulatie wordt je team veerkrachtiger, klaar om je organisatie te beschermen tegen elke denkbare phishing dreiging.