Een gewone phishing-aanval wordt breed verspreid naar honderden of duizenden ontvangers. Een spear phishing-aanval is juist gericht op een paar specifieke personen of afdelingen. Dat maakt deze vorm van social engineering gevaarlijk. Een aanvaller investeert soms weken in OSINT (Open-Source Intelligence) om informatie te verzamelen over een doelwit: zijn functie, zijn projecten, zijn collega’s en zijn interesses. Met die kennis stelt hij een geloofwaardige phishing e-mail op die zelfs een alerte medewerker kan misleiden.
Een spear phishing test (ook wel targeted phishing assessment of whaling attack simulation genoemd) bootst zo’n gerichte aanval op uw organisatie na. Onze OSCP-gecertificeerde ethische hackers voeren uitgebreide OSINT uit, kiezen aantrekkelijke doelwitten en stellen scenario’s op die volledig op die personen zijn afgestemd. Zo ziet u hoe ver een aanvaller zou komen, niet alleen tot het stelen van inloggegevens maar tot daadwerkelijke toegang tot uw systemen en gegevens.
Een spear phishing test is bedoeld voor organisaties waar een gewone phishing simulatie weinig resultaat oplevert, omdat de medewerkers algemene phishing e-mails al goed herkennen. De vraag is dan of zij ook een gerichte, persoonlijke aanval doorzien, met kloppende details over hun functie, projecten en organisatie.
Een spear phishing test is verstandig in de volgende situaties:
Een spear phishing test bootst een aanvalsvector na waar organisaties in de praktijk mee te maken krijgen.
Een spear phishing test verloopt in drie fasen die samen een complete gerichte aanval nabootsen. We beginnen met informatie verzamelen, stellen daarna de scenario’s op maat op en voeren tot slot de aanval uit.
We beginnen met een uitgebreide OSINT-fase. Daarin verzamelen we informatie over uw organisatie en uw medewerkers die openbaar te vinden is. Het gaat om de organisatiestructuur, lopende projecten, partnerships en de technische gegevens van uw infrastructuur, zoals domein, DNS en e-mailconfiguratie. Over de doelwitten zelf zoeken we informatie via LinkedIn, social media en publieke documenten. Deze OSINT vormt de basis voor scenario’s die nauwelijks van echte communicatie te onderscheiden zijn.
Op basis van de OSINT-fase kiezen we de doelwitten: bijvoorbeeld de directie, de finance-afdeling, HR-medewerkers, IT-beheerders, sales en marketing of nieuwe medewerkers. Voor elk doelwit stellen we een eigen scenario op met de informatie uit de OSINT-fase. We gebruiken kloppende verzendernamen, e-mailhandtekeningen, huisstijl en details die alleen iemand binnen de organisatie zou weten, zoals verwijzingen naar echte projecten, collega’s of interne processen.
Daarna voeren we de aanval uit met eigen domeinen en nagebootste inlogpagina’s die niet van echt te onderscheiden zijn. We stoppen niet zodra een medewerker zijn inloggegevens invoert. We proberen daadwerkelijk in te loggen met die gegevens, testen technieken om MFA te omzeilen (AiTM via Evilginx, MFA-fatigue en social engineering) en kijken welke systemen, gegevens en rechten daarmee toegankelijk worden. We leggen vast hoe ver we komen, van toegang tot e-mail en SharePoint tot lateral movement en privilege escalation. Zo krijgt u een realistisch beeld van de impact van een geslaagde spear phishing-aanval.
Meer over onze aanpak en expertise op onze over ons pagina.
Wilt u weten hoe weerbaar uw organisatie is tegen een gerichte spear phishing-aanval? Neem dan vrijblijvend contact met ons op. We vertellen u graag meer over ons bedrijf en onze aanpak, en horen graag meer over uw organisatie en de scope van de test.
Elke spear phishing test is anders, dus stellen we voor elke opdracht een voorstel op maat op. Een test kan binnen 3 weken starten. De uitvoering duurt, afhankelijk van de scope, 3 tot 4 weken, verdeeld over OSINT, scenario-ontwikkeling, uitvoering en rapportage.
Wij voeren een gerichte spear phishing-aanval uit op een vooraf afgesproken doelgroep en rapporteren wat een aanvaller in uw organisatie zou kunnen bereiken. Vraag een voorstel op maat aan.
Neem contact opOf mail ons direct via [email protected]
Een spear phishing test is gerichter en gaat verder dan een reguliere phishing simulatie.
Een reguliere phishing simulatie is een brede campagne naar veel medewerkers tegelijk. We gebruiken daarbij standaardscenario’s of een basisversie op maat, en meten vooral of medewerkers klikken en inloggen. Dat geeft een goed algemeen beeld van de alertheid binnen uw organisatie.
Een spear phishing test begint met een uitgebreide OSINT-fase, waarin we informatie verzamelen. Daarna richten we ons gericht op een aantal specifieke personen of afdelingen, met een scenario dat volledig op die persoon is afgestemd. We meten niet alleen of iemand klikt, maar hoe ver een aanvaller daadwerkelijk zou komen. Deze test is bedoeld voor organisaties die hun beveiliging al goed op orde hebben.
Spear phishing bootst de gerichte aanval na die ook APT-groepen en ransomwarebendes gebruiken.
Een spear phishing test is bedoeld voor organisaties die hun beveiliging al goed op orde hebben. De test past goed bij u als:
Herkennen uw medewerkers standaard phishing al? Dan toont een spear phishing test of zij ook een gerichte, persoonlijke aanval doorzien.
OSINT (Open-Source Intelligence) is het verzamelen van informatie over uw organisatie en uw medewerkers die openbaar te vinden is. Daarbij kijken we onder meer naar:
Met die informatie wordt een phishing e-mail veel geloofwaardiger. Een algemene e-mail over een ‘Microsoft account verificatie’ herkent een medewerker snel. Een e-mail van HR over het project waar diezelfde medewerker echt aan werkt, met kloppende details, is veel lastiger te doorzien.
Echte aanvallers gebruiken precies dezelfde technieken. Wij bootsen dat na, zodat u ziet hoe goed uw organisatie tegen een gerichte aanval bestand is.
Op basis van de OSINT-fase kiezen we de mensen en afdelingen die voor een aanvaller het aantrekkelijkst zijn. Vaak gaat het om:
Wie we kiezen, bepalen we samen met u. We kijken daarbij naar uw dreigingsmodel en naar de afdelingen die voor u het belangrijkst zijn.