Tips voor interne phishing tests
Tal van bedrijven voeren phishing tests uit om de alertheid van het personeel te meten. Bij de start van een intern testtraject is het klikpercentage vaak hoger dan verwacht. Bij testmails over een actueel onderwerp in het bedrijf is het klikpercentage zelfs verontrustend. Een goede phishing mail leidt tot een emotionele reactie (zoals angst, nieuwsgierigheid of hebzucht).
Na WannaCry en NotPetya waarbij honderden bedrijven slachtoffer werden van ransomware, neemt het aantal bedrijven dat tests uitvoert toe. Zo proberen bedrijven te vookomen dat medewerkers op valse e-mails reageren waardoor ongemerkt malware wordt geïnstalleerd, vertrouwelijke bedrijfsinformatie wordt buitgemaakt of zij worden overgehaald om geld over te maken. Naast technische maatregelen blijft het trainen van personeel noodzakelijk. Ook toezichthouders in diverse sectoren dringen aan op continu leren, trainen en verbeteren op weg naar een secure culture.
Tips
- Kondig via intranet, e-mail of een nieuwsbrief aan dat er phishing tests uitgevoerd gaan worden. Informeer de raad van medewerkers vooraf over de plannen
- Informeer de IT afdeling en helpdesk over de datum van de test(s) om onderscheid te kunnen maken tussen verdachte e-mails en testmails
- Zorg voor een duidelijke boodschap op de landing page als medewerkers klikken, bijvoorbeeld een training hoe men de phishing e-mail had kunnen herkennen
- Als u het logo van een ander bedrijf gebruikt, informeer dit bedrijf dan tijdig
Overwegingen
- Bepaal of u al de medewerkers wilt testen of een selecte groep, bijvoorbeeld zij die toegang hebben tot kritieke systemen
- Gaat u samenwerken met een externe partner (bijv. BeOne, PhishMe, HoxHunt, Deloitte) maak dan goede afspraken over het bestand met e-mailadressen en de rapportage
Meer informatie
In dit document geven wij u tips hoe u een interne phishing test uit kan voeren onder uw medewerkers en geven we voorbeelden van phishing en CEO-fraude e-mails die u hiervoor zou kunnen gebruiken.
Zelf cybermaatregelen treffen of fraude melden?
Ongeveer 1 op de 5 ondernemers krijgt te maken met cybercriminaliteit. Zo’n cyberincident kan grote gevolgen hebben voor de bedrijfsvoering, klanten, leveranciers of reputatie. Het treffen van passende maatregelen is daarom van belang voor elke onderneming.
- Leer meer over de 4-in-1-cyberoplossing Cyber Veilig & Zeker en verlaag jouw cyberrisico's.
- Bekijk slimme tools, handige artikelen en cyberwebinars op onze Veilig ondernemen-pagina.
- Meld fraude bij ons, ook bij twijfel, waarna onze helpdesk je direct verder helpt.
