Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

Wat is een phishing simulatie

Icon van een phishing simulatie

Phishing is een van de meest gebruikte manieren om bij een organisatie binnen te komen. U kunt uw firewall, antivirus en endpoint protection nog zo goed inrichten, maar als één medewerker op een phishing e-mail klikt en zijn inloggegevens invoert, omzeilt een aanvaller dat allemaal. De mens blijft de zwakste schakel in uw beveiliging.

Phishing is bovendien een stuk geraffineerder geworden. De berichten over een Nigeriaanse prins zijn vervangen door gerichte aanvallen die MFA omzeilen, door CEO-fraude en door nagebootste inlogpagina’s die niet van echt te onderscheiden zijn. Aanvallers spelen in op haast en autoriteit om een medewerker te misleiden. Het gevolg kan een ransomware-infectie, fraude via Business Email Compromise of een datalek zijn.

Een phishing simulatie (ook wel phishing test of security awareness test genoemd) test hoe weerbaar uw medewerkers zijn tegen phishing. Wij sturen daarvoor realistische phishing e-mails. Onze ethische hackers bootsen echte aanvalsscenario’s na, van een eenvoudige klik-test tot een scenario waarin MFA wordt omzeild. Zo ziet u hoe uw organisatie op phishing reageert en waar een awareness training nodig is.

Waarom en wanneer is een phishing simulatie belangrijk?

Voor een cybercrimineel is een medewerker vaak het makkelijkste doelwit. Eén klik op een phishing e-mail is genoeg voor een gecompromitteerd account, een ransomware-infectie of financiële fraude. Spamfilters en antivirus vangen lang niet alle phishing af. Een gerichte spear phishing e-mail glipt er meestal moeiteloos langs.

Een phishing simulatie is verstandig in de volgende situaties:

  • u wilt weten of een eerdere awareness training daadwerkelijk effect heeft gehad
  • u moet voldoen aan de awareness-eisen van ISO 27001, NIS2 of SOC 2
  • u wilt elk kwartaal of halfjaar meten hoe het met de alertheid van uw medewerkers staat
  • u heeft een phishing- of ransomware-incident gehad en wilt controleren of de alertheid is verbeterd
  • u wilt afdelingen die extra in het vizier liggen, zoals finance, HR en de directie, apart testen

Een phishing simulatie is geen eenmalige actie. Aanvalstechnieken veranderen, dus het is verstandig de simulatie met enige regelmaat te herhalen zodat medewerkers alert blijven.

Welke vormen van phishing simulaties bestaan er?

We werken met vier types phishing simulatie. Elk type test een andere aanvalsvector en gaat een stap verder dan het vorige. Samen bootsen ze de keten na die een echte phishing-aanval doorloopt.

Type 1: Klik-test (basis phishing awareness)

De klik-test is de eenvoudigste vorm. Medewerkers ontvangen een phishing e-mail met een link of een knop. We meten hoeveel medewerkers de e-mail openen en hoeveel er op de link klikken.

Wie klikt, komt op een landingspagina die uitlegt dat dit een test was en waaraan de e-mail te herkennen viel. Zo krijgt de medewerker meteen iets mee.

Type 2: Klik & login (credential harvesting test)

De klik & login simulatie gaat een stap verder en test of medewerkers ook hun inloggegevens invoeren op een nagebootste portal. Wie op de link klikt, komt op een namaak-inlogpagina, bijvoorbeeld van Microsoft 365, een VPN of een HR-portaal. Naast de cijfers uit type 1 meten we:

  • hoeveel medewerkers hun inloggegevens invoeren
  • de sterkte van de ingevoerde wachtwoorden, op basis van lengte en complexiteit (het wachtwoord zelf bewaren we nooit)
  • of medewerkers het inloggen meerdere keren proberen

Dit is de meest voorkomende vorm van phishing: het stelen van inloggegevens via een namaakpagina.

Type 3: Klik & login & download (malware execution test)

De klik & login & download simulatie test het scenario waarin een medewerker een bestand downloadt en opent. Zo verspreiden aanvallers ransomware en malware via phishing. Naast de cijfers uit type 1 en 2 meten we hoeveel medewerkers het bestand downloaden en hoeveel het ook daadwerkelijk uitvoeren.

We gebruiken hiervoor veilige testbestanden die geen schade aanrichten, maar wel te detecteren zijn, bijvoorbeeld via een macro, een HTA-bestand of een executable met een onschuldige payload. Zo ziet u of uw endpoint protection deze bestanden blokkeert en of medewerkers de waarschuwingen negeren.

Type 4: MFA-test (multi-factor authentication bypass)

De MFA-test bootst een aanval na waarbij een aanvaller MFA probeert te omzeilen via social engineering. MFA is namelijk geen garantie tegen phishing. Aanvallers gebruiken MFA-fatigue, prompt bombing of adversary-in-the-middle (AiTM). Naast de cijfers uit type 1 en 2 meten we hoeveel medewerkers de MFA-melding goedkeuren en hoe zij reageren op een verdachte melding.

We tonen daarvoor na het invoeren van inloggegevens een namaak-MFA-prompt, of we triggeren een echte MFA-melding via bijvoorbeeld Microsoft Authenticator of Duo. Zo zien we of medewerkers de melding goedkeuren, ondanks de verdachte situatie.

Waarom kiezen voor Hackify?

  • Bewezen expertise - Ethische hackers met minimaal 5 jaar ervaring, 3 certificaten en relevante expertise per testonderdeel (niet branche minimum van 1 jaar en 1 certificaat)
    • Track record - Responsible disclosures bij Philips, Zoom, Oracle, Politie en vele anderen
    • Hackcompetitie winnaars - Prijzen bij Hack010, PVIB CTF, Hackerhotel en HackTheHague
  • Phishing expertise - Specialistische kennis van moderne phishing technieken, MFA-bypass en Evilginx tools
  • Direct contact - Geen accountmanagers, spreek direct met pentesters die uw simulatie uitvoeren
  • Flexibiliteit - Phishing simulaties vaak binnen 2-3 weken te plannen

Meer over onze aanpak en expertise op onze over ons pagina.

Plan uw phishing simulatie

Wilt u weten hoe weerbaar uw medewerkers zijn tegen phishing? Neem dan vrijblijvend contact met ons op. We vertellen u graag meer over ons bedrijf en onze aanpak, en horen graag meer over uw organisatie en de scope van de simulatie.

Elke phishing simulatie is anders, dus stellen we voor elke opdracht een voorstel op maat op. Een simulatie kan binnen 3 weken starten. De uitvoering duurt, afhankelijk van de scope, 1 tot 3 dagen. De rapportage levert u binnen een week na de campagne.

Klaar voor een phishing simulatie?

Wij toetsen de phishing-weerbaarheid van uw medewerkers met een realistische campagne, inclusief MFA-bypass via Evilginx als dat in scope past. Vraag een voorstel op maat aan.

Neem contact op

Of mail ons direct via [email protected]

Veelgestelde vragen over phishing simulaties

Wat is het verschil tussen een phishing simulatie en een pentest?

Een phishing simulatie test hoe alert uw medewerkers zijn op phishing. We kijken daarbij naar een aantal dingen:

  • Herkennen medewerkers een phishing e-mail als zodanig?
  • Klikken zij op een verdachte link?
  • Voeren zij inloggegevens in op een nagebootste portal?
  • Keuren zij een MFA-melding goed in een verdachte situatie?

Een pentest onderzoekt de technische kwetsbaarheden in uw systemen. Een phishing simulatie onderzoekt de menselijke laag, vaak de zwakste schakel in uw beveiliging.

Wat kost een phishing simulatie?

De prijs van een phishing simulatie is afhankelijk van de scope, het aantal medewerkers en andere aspecten zoals maatwerk en specifieke vereisten. Na een intakegesprek stellen wij een passend voorstel voor u op dat aansluit bij uw situatie.

Kunnen jullie phishing scenario’s op maat maken?

Ja. We werken met standaardscenario’s en met scenario’s die we volledig op uw organisatie afstemmen.

Standaardscenario’s die we vaak gebruiken:

  • een melding dat het wachtwoord is verlopen
  • een verzoek om een printerupdate uit te voeren
  • het uitkiezen van een kerstpakket
  • een gedeeld bestand dat bekeken moet worden
  • extra verificatie voor een pakketlevering

Bij een scenario op maat passen we de verzendernaam en het e-mailadres aan, gebruiken we uw eigen huisstijl in de e-mail en landingspagina, en registreren we een eigen domein voor de website en e-mail. Een scenario op maat is realistischer, omdat het is toegesneden op uw organisatie.

Wat gebeurt er met de ingevoerde wachtwoorden?

We gaan zorgvuldig om met privacy. Het wachtwoord zelf slaan we nooit op. We registreren alleen statistieken over het wachtwoord, zoals de lengte en de sterkte. Gebruikersnamen en e-mailadressen leggen we wel vast, want zo kunnen we meten hoeveel medewerkers op de link klikten. Na oplevering van de rapportage verwijderen we alle gegevens, conform de GDPR.

Zo kunnen we u laten zien hoeveel medewerkers een zwak wachtwoord gebruiken, zonder dat wij die wachtwoorden zelf kennen.

Wat staat er in de phishing simulatie rapportage?

U ontvangt een rapportage met de statistieken van de campagne en een technische analyse.

Onder de statistieken vindt u:

  • het aantal verzonden e-mails en hoeveel medewerkers de e-mail openden
  • hoeveel medewerkers op de link klikten
  • hoeveel medewerkers inloggegevens invoerden
  • een analyse van de sterkte van de gebruikte wachtwoorden
  • bij type 3 hoeveel medewerkers het bestand downloadden en uitvoerden
  • bij type 4 hoeveel medewerkers de MFA-melding goedkeurden

De technische analyse beschrijft de configuratie van uw SPF, DKIM en DMARC, de effectiviteit van uw phishingfilter en de beveiliging van de mailclient. Daar geven we concrete aanbevelingen bij, zoals het instellen van een waarschuwingsbanner bij externe e-mail.

Op verzoek bespreken we de resultaten met uw management of verzorgen we aansluitend een awareness training. Alle cijfers presenteren we met diagrammen, zodat u meteen ziet waar verbetering nodig is.

Hoe lang duurt een phishing simulatie?

De doorlooptijd hangt af van de scope. Voor het intakegesprek en de voorbereiding rekenen we ongeveer een week. De campagne zelf duurt 1 tot 3 dagen, en de rapportage levert u binnen een week na de campagne. Wilt u aansluitend een training, dan plannen we die direct na de resultaten in. Tijdens het intakegesprek leggen we de planning samen vast.