Overzicht

Actueel

smishing

23 augustus 2020

SMS-phishing simulatie traint jouw medewerkers op smishing

Smishing of SMS-phishing is een vorm van oplichting waarbij internetcriminelen je met tekstberichtjes benaderen. Het doel van SMS-phishing is hetzelfde als bij phishing: het bemachtigen van informatie (zoals login- en bankgegevens). Die gegevens worden vervolgens misbruikt om verder in jouw organisatie binnen te dringen.

Een fraudeur doet zich bijvoorbeeld voor als collega van de IT-afdeling in een poging het netwerk binnen te dringen. Of als iemand van HR of Finance op zoek naar een laatste stukje informatie om zijn slag te slaan. Dankzij onze training kun je jouw medewerkers daarop voorbereiden – praktisch, effectief en kostenefficiënt.

Is jouw organisatie voldoende beschermd?

Smishing: SMS-phishing

E-mail is bepaald niet het enige kanaal dat zich leent voor phishing. Internetcriminelen weten je ook eenvoudig te vinden via sms. Dat noemen we smishing ofwel ‘SMS-phishing’ en daar hebben we nu – net als voor phishing – een aparte training voor ontwikkeld. We zien namelijk dat deze vorm van fraude enorm in opkomst is, want ook per tekstbericht kan jouw medewerkers gevraagd worden om informatie aan te leveren (zoals logingegevens en bankgegevens).

De risico’s van SMS-phishing zijn groot. Zeker nu veel mensen nog steeds thuiswerken en gewend zijn om ook daar zakelijk benaderd te worden, en werk en privé nog meer met elkaar verweven zijn geraakt. Daarnaast bestaat er geen techniek of IT-ondersteuning om je tegen SMS-phishing te wapenen. Het netwerk en de systemen kunnen namelijk nog zo goed beveiligd zijn, als een medewerker via een sms voldoende informatie prijsgeeft of een verkeerde link volgt, houdt geen enkele firewall een inbraak tegen. Daarom is het verhogen van de awareness – het bewustzijn over deze risico’s – cruciaal voor iedere organisatie.

Spoofing en social engineering

Een ander aanzienlijk risico van smishing is het feit dat de ontvanger het idee krijgt dat de afzender een betrouwbare bron is. Voor kwaadwillenden is het kinderlijk eenvoudig om die afzendgegevens te manipuleren: door middel van spoofing versturen ze het bericht ogenschijnlijk vanuit het telefoonnummer van een collega of directe leidinggevende. Bovendien reageren mobiele gebruikers doorgaans véél sneller op sms-berichten dan op e-mails; bijna 90 procent wordt onmiddellijk geopend, in vergelijking met een openingsratio van slecht 20 procent bij e-mail.

Daarnaast is ook je aandacht en oplettendheid bij mobiele devices anders. Hoe vaak kijk je op je telefoon terwijl je tegelijkertijd iets anders aan het doen bent? De drempel om op een verzoek in te gaan wordt vervolgens verder verlaagd doordat er veel voorbereiding aan voorafgaat. Dankzij social engineering weten fraudeurs al wie ze moeten hebben, en wat ze moeten vragen. Ze kiezen de juiste toon en weten het vertrouwen te winnen.

Tot slot zien we in de praktijk dat social engineers de verschillende fraudemiddelen (zoals phishing en vishing – voice phishing) regelmatig samen inzetten. Dat maakt het noodzakelijk om op alle fronten het informatiebewustzijn én de weerbaarheid te verhogen. We raden daarom aan om ook de trainingen te combineren. In combinatie met andere social engineering interventies is deze simulatie bovendien een kostenefficiënt ‘breekijzer’ is om meer mandaat te krijgen bij management.

SMS-phishing simulatie

De SMS-phishing Training is geen generieke simulatie, maar wordt op maat gemaakt om de dagelijkse praktijk, werksituatie en informatievoorzieningen van jouw organisatie zo goed mogelijk te benaderen. Voor de strategie wordt uit wetenschappelijk onderzoek geput, waarbij bekende scam principes leidend zijn. Ook wordt bij de medewerkers een zekere mate van urgentie gecreëerd om actie te ondernemen en informatie te verstrekken.

Hoe het werkt

We versturen een tekstbericht naar jouw medewerkers, in lijn met een realistische aanval van buitenaf. Door middel van spoofing is de getoonde afzender bijvoorbeeld een collega, afdelingshoofd of manager. Het bericht kan naar de gehele organisatie verstuurd worden, of specifiek gericht worden op een afdeling met een hoog risico, zoals Finance of HR.

In het bericht is een link opgenomen naar een landingspagina, opgemaakt in de herkenbare toon en stijl van de organisatie. De medewerkers die de link volgen, worden opgevangen met een briefing over het doel en de achtergrond van de training. Ook krijgen ze concrete tips en adviezen om met deze en andere vormen van phishing om te gaan, en leren ze hoe ze dergelijke incidenten kunnen melden. De simulatie wordt afgerond met een rapportage.

De SMS-phishing Training kan inhoudelijk aansluiten op de leerdoelen van bestaande interventies, of als losstaande campagne ingezet worden. SMS-phishing als aanvalsstrategie is geen fictieve buitenwereld meer, maar een realistisch en zeer risicovol veiligheidsincident dat ook jouw organisatie kan treffen, en waar medewerkers op voorbereid moeten worden.

Ondersteunende communicatiecampagne

Vanuit onze smishing software kunnen realistische aanvallen op een simpele en kosteneffectieve manier kunnen worden gesimuleerd. We zijn ervan overtuigd dat we met ons team van experts de juiste aanpak hebben om iedere organisatie weerbaar te maken tegen SMS-phishing en andere vormen van digitale dreigingen.

Medewerkers krijgen rechtstreeks een hele intensieve training, op maat én op individueel niveau. Daarnaast levert het voor de gehele organisatie waardevol lesmateriaal op. Je krijgt namelijk ook een inzichtelijke rapportage van de resultaten.

Ook die rapportage is maatwerk, waarbij we op verschillende niveaus resultaten kunnen overleggen – zodat je vervolgens intern kunt bekijken waar de eventuele aandachtspunten zitten, om daar verder op in te zoomen. Want we kennen allemaal de onderzoeken over ‘aantal gevallen van cyberfraude X’ en ‘slagingspercentage X’, maar als die rapportage daadwerkelijk de eigen organisatie beschrijft, dan beklijft dat natuurlijk veel meer!

Geïnteresseerd?

Neem contact op om de mogelijkheden met ons te bespreken!

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.

Neem contact op