Security Professionals - ipfw add deny all from eindgebruikers to any

Ervaring met interne phishingtests

28-02-2024, 08:57 door Anoniem, 18 reacties
Hallo,
Wij willen onze gebruikers awareness creëeren bij gebruikers over phishingaanvallen. Nu gaan we binnenkort zelf een test doen. Nu vraag ik mij alleen af hoe ver we moeten gaan en wat jullie ervaringen zijn.

Het plan is nu om nep e-mails te versturen vanuit een clouddienst die veel gebruikt wordt. We hebben de website ook nagemaakt met een nep SSO inlogknop van microsoft365. Na het invullen van gegevens (worden nergens opgeslagen natuurlijk en er is een beveiligde verbinding) krijgen ze een text en uitleg dat ze dit beter niet hadden kunnen doen en langs moeten lopen bij ICT. We tracken 2 zaken, hebben ze op de link geklikt en hebben ze het formulier ingevuld.

Er zijn herkenningspunten in zowel de e-mail als website waardoor je kan zien dat ze nep zijn. Onder andere Engels en Nederlands door elkaar, het domein klopt niet, de pop-up voor de SSO inlogpagina kan je niet buiten de website plaatsen (het is een html pop-up) en natuurlijk taalfouten.

Als de gebruikers het helemaal doorlopen krijgen ze ook het verzoek om bij ons langs te lopen. Ze krijgen dan een kleinigheidje. We willen namelijk niet dat ze gestraft worden maar er iets van leren.

Hoor graag jullie mening en ervaringen.
Reacties (18)
28-02-2024, 10:52 door Anoniem
heel goed dat jullie aan dit soort training / verbeteren van awareness doen. Ikzelf heb erg goede ervaring met een dienst van Hoxhunt. Die gebruiken gamification.
in jullie situatie: probeer de gebruiker in je eerste melding niet teveel af te schrikken, en laat hem vooral weten dat het iedereen kan overkomen en wat hij de volgende keer moet doen als hij per ongeluk toch heeft geklikt.
28-02-2024, 11:21 door Anoniem
Bij ons loopt die test continue, met 2 testmails per user per maand, geheeld geautomatiseerd. Leverancier is knowbe4. Zij hebben een prima platform dat je hiervoor kunt gebruiken. Niet zelf gaan sleutelen is mijn advies…
28-02-2024, 11:44 door Erik van Straten
Mensen die niet vooraf geïnformeerd zijn en in jullie test trappen worden -m.i. terecht- hartstikke boos, en dat gaat tegen je werken. Het risico bestaat dat zij, nog méér dan daarvoor, over security denken: "Not my problem" (zie -Engels- https://infosec.exchange/@ErikvanStraten/111996985377746835).

Tenzij je persé eerst een nulmeting wilt doen (hou de uitkomsten dan geheim, ga zeker geen man en paard noemen), geef eerst een training (desnoods een foldertje) over phishing.

En wees eerlijk: bijna NIEMAND kan een "goede" nepmail van een echte onderscheiden; da's technisch vaak onmogelijk - naast dat er steeds meer mail vanaf gehackte accounts wordt verzonden.
28-02-2024, 12:46 door Anoniem
Stel je eerst de vraag: test je je medewerkers of test je je processen?

Maak eerst een week ervoor nog een heel duidelijk hoe je verwacht dat je collegas moeten handelen bij phishing. En controleer ook of dat makkelijk genoeg is (naar IT lopen / bellen is dat niet; een knop om elke verdachte mail te melden wel).

Zo een phishingsimulatie zou moeten gaan of je collega’s weten waar ze het moeten melden, zelfs als ze geklikt hebben. Dus een beloning voor elke gemelde phishing is dan op z’n plek.

Namaken van een microsoft site? Zorg goed dat je site niet vanuit de wereld bereikbaar is voor je een notice of takedown aan je broek hebt.
28-02-2024, 13:05 door Anoniem
Door Erik van Straten: Mensen die niet vooraf geïnformeerd zijn en in jullie test trappen worden -m.i. terecht- hartstikke boos, en dat gaat tegen je werken.

Als ik aanneem dat er de gebruikelijke phishing training/awareness cursus geweest is, dan is het helemaal niet terecht dat ze boos zijn als een tijd(je) later een test/awareness mail komt.

"vanmiddag komt er een test mail" is echt niet nodig of normaal om aan te kondigen,.


[..]
En wees eerlijk: bijna NIEMAND kan een "goede" nepmail van een echte onderscheiden; da's technisch vaak onmogelijk - naast dat er steeds meer mail vanaf gehackte accounts wordt verzonden.

Het is niet (alleen) het herkennen van mail, maar ook de alertheid om niet blindelings je credentials te gaan intikken op het scherm dat volgt.
28-02-2024, 13:07 door Anoniem
Door Erik van Straten: Mensen die niet vooraf geïnformeerd zijn en in jullie test trappen worden -m.i. terecht- hartstikke boos, en dat gaat tegen je werken. Het risico bestaat dat zij, nog méér dan daarvoor, over security denken: "Not my problem" (zie -Engels- https://infosec.exchange/@ErikvanStraten/111996985377746835).

Tenzij je persé eerst een nulmeting wilt doen (hou de uitkomsten dan geheim, ga zeker geen man en paard noemen), geef eerst een training (desnoods een foldertje) over phishing.

En wees eerlijk: bijna NIEMAND kan een "goede" nepmail van een echte onderscheiden; da's technisch vaak onmogelijk - naast dat er steeds meer mail vanaf gehackte accounts wordt verzonden.

Ik sluit mij aan bij bovenstaande, deze werkwijze maakt mensen -terecht- razend.

Zorg dat je zelf als afdeling automatisering er iets van leert, dus geen foldertje, maar een training. Laat ook goede, in schijnbaar foutloos Nederlands opgestelde nep- en phishing mails zien. Afdelingen automatisering worden ook wel eens misleid.

Deze aanpak verlaagt de drempel bij sommige gebruikers om bij de geringste twijfel melding te doen van verdachte mail of site Bedenk een werkwijze die past bij jullie werksituatie en onderzoek de twijfel en/of vraag van de gebruiker, en koppel terug. Gebruik echte vragen en meldingen binnen jullie organisatie van de gebruikers bij follow up-training, documentatie.
Op deze wijze ontdek je de individuen die een neus voor phishing en scams hebben, en wellicht kan je op deze mensen aangaande security in de organisatie verder bouwen. Hobbyisten binnen de organisatie die jullie alertheid en bekwaamheid op proef willen stellen, zal je wellicht ook op deze wijze opsporen.
28-02-2024, 13:21 door Anoniem
Door Erik van Straten: Mensen die niet vooraf geïnformeerd zijn en in jullie test trappen worden -m.i. terecht- hartstikke boos, en dat gaat tegen je werken. Het risico bestaat dat zij, nog méér dan daarvoor, over security denken: "Not my problem" (zie -Engels- https://infosec.exchange/@ErikvanStraten/111996985377746835).

Tenzij je persé eerst een nulmeting wilt doen (hou de uitkomsten dan geheim, ga zeker geen man en paard noemen), geef eerst een training (desnoods een foldertje) over phishing.

En wees eerlijk: bijna NIEMAND kan een "goede" nepmail van een echte onderscheiden; da's technisch vaak onmogelijk - naast dat er steeds meer mail vanaf gehackte accounts wordt verzonden.
Eerst een nulmeting doen, waarbij je niet naar personen kijkt maar naar afdelingen. Vergeet niet het management in de nul-meting mee te nemen want dat zijn degene die je het hardst nodig hebt om veranderingen te bewerkstelligen. Op basis van de meting kun je gericht kijken welke aandacht er nodig is.
Ik ben het overigens niet met je eens dat niemand een phishing email zou kunnen herkennen want dat is gewoon niet waar. Er zijn e-mails in omloop die heel lastig zijn om van nep te onderscheiden maar met de juiste kennis en gezond wantrouwen zou iedereen in staat moeten zijn om ze te herkennen. Wat naar mijn ervaring eerder een veel groter probleem is het gebrek aan digitale vaardigheden bij veel medewerkers. Je kunt ze van alles proberen te leren maar als ze de digitale basis vaardigheden niet hebben ga je nooit iets veranderen of een hogere score op het herkennen van o.a. nepmails bewerkstelligen. Mijn advies is dan ook om juist de basisvaardigheden van medewerkers in zo'n onderzoek mee te nemen. Het zal je verbazen hoe sterk de bewustwording van medewerkers verbeterd als er wordt geinvesteerd in het op niveau brengen van digitale basis vaardigheden.
Daarna kun je altijd phishing testen organiseren maar er moet voorkomen worden dat het de bedoeling is om mensen erin te luizen. Verbind idd nooit en te nimmer een beloning aan een phishing e-mail. Als je tenminste niet gelyncht wilt worden.
Maak een goede landingspagina waar mensen op terecht komen en waar ze exact wordt verteld hoe ze hadden kunnen herkennen dat ze op een verkeerde link hebben geklikt. Keep it simple & stupid.
Publiceer de uitkomsten van de phishing test op het Intranet (leest toch niemand!) maar alleen in het percentage klikkers. Medewerkers weten van zichzelf wel of zij wel of niet bij dat percentage klikkers behoren of niet. Verder leren veel mensen door betrokken te worden i.p.v. het alleen maar aanhoren dus neem ze vooral mee in de ontwikkelingen. En communiceer alleen gericht en vooral niet overdreven veel, want bij veel grote organisaties ontvangen medewerkers zoveel e-mail dat ze jouw zoveelste e-mail zullen negeren.
Voornaamste taak is om management commitment, dus geld, tijd en middelen plus eigen inzet, te krijgen. Zonder dat voer je een kansloze strijd en krjg je alleen de reeds digitaal vaardigen mee. Afhankelijk van je business kunnen dat er veel zijn maar wees je bewust van de zwakke schakels. Er hoeven maar een paar medewerkers niet mee te doen om daarmee potentieel grote schade te kunnen aanrichten.
28-02-2024, 14:44 door Anoniem
Door Anoniem:
Door Erik van Straten: Mensen die niet vooraf geïnformeerd zijn en in jullie test trappen worden -m.i. terecht- hartstikke boos, en dat gaat tegen je werken. Het risico bestaat dat zij, nog méér dan daarvoor, over security denken: "Not my problem" (zie -Engels- https://infosec.exchange/@ErikvanStraten/111996985377746835).

Tenzij je persé eerst een nulmeting wilt doen (hou de uitkomsten dan geheim, ga zeker geen man en paard noemen), geef eerst een training (desnoods een foldertje) over phishing.

En wees eerlijk: bijna NIEMAND kan een "goede" nepmail van een echte onderscheiden; da's technisch vaak onmogelijk - naast dat er steeds meer mail vanaf gehackte accounts wordt verzonden.
Eerst een nulmeting doen, waarbij je niet naar personen kijkt maar naar afdelingen. Vergeet niet het management in de nul-meting mee te nemen want dat zijn degene die je het hardst nodig hebt om veranderingen te bewerkstelligen. Op basis van de meting kun je gericht kijken welke aandacht er nodig is.
Ik ben het overigens niet met je eens dat niemand een phishing email zou kunnen herkennen want dat is gewoon niet waar. Er zijn e-mails in omloop die heel lastig zijn om van nep te onderscheiden maar met de juiste kennis en gezond wantrouwen zou iedereen in staat moeten zijn om ze te herkennen. Wat naar mijn ervaring eerder een veel groter probleem is het gebrek aan digitale vaardigheden bij veel medewerkers. Je kunt ze van alles proberen te leren maar als ze de digitale basis vaardigheden niet hebben ga je nooit iets veranderen of een hogere score op het herkennen van o.a. nepmails bewerkstelligen. Mijn advies is dan ook om juist de basisvaardigheden van medewerkers in zo'n onderzoek mee te nemen. Het zal je verbazen hoe sterk de bewustwording van medewerkers verbeterd als er wordt geinvesteerd in het op niveau brengen van digitale basis vaardigheden.
Daarna kun je altijd phishing testen organiseren maar er moet voorkomen worden dat het de bedoeling is om mensen erin te luizen. Verbind idd nooit en te nimmer een beloning aan een phishing e-mail. Als je tenminste niet gelyncht wilt worden.
Maak een goede landingspagina waar mensen op terecht komen en waar ze exact wordt verteld hoe ze hadden kunnen herkennen dat ze op een verkeerde link hebben geklikt. Keep it simple & stupid.
Publiceer de uitkomsten van de phishing test op het Intranet (leest toch niemand!) maar alleen in het percentage klikkers. Medewerkers weten van zichzelf wel of zij wel of niet bij dat percentage klikkers behoren of niet. Verder leren veel mensen door betrokken te worden i.p.v. het alleen maar aanhoren dus neem ze vooral mee in de ontwikkelingen. En communiceer alleen gericht en vooral niet overdreven veel, want bij veel grote organisaties ontvangen medewerkers zoveel e-mail dat ze jouw zoveelste e-mail zullen negeren.
Voornaamste taak is om management commitment, dus geld, tijd en middelen plus eigen inzet, te krijgen. Zonder dat voer je een kansloze strijd en krjg je alleen de reeds digitaal vaardigen mee. Afhankelijk van je business kunnen dat er veel zijn maar wees je bewust van de zwakke schakels. Er hoeven maar een paar medewerkers niet mee te doen om daarmee potentieel grote schade te kunnen aanrichten.
Goed punt, het management meekrijgen. In autocratische piramides, is het lastig om informatie daar te krijgen waar de beslissingen genomen worden over commitment, geld, tijd en middelen. Leven in hun eigen afgeschermde machtswereld.
Maar wat is een strategie om aldaar te agenderen, terwijl je op je boerenklompen kunt aanvoelen dat juist op dat niveau, de meest geavanceerde phishing scams op losgelaten worden, en afhankelijk van de organisatie, professioneel onder het tapijt geveegd worden.
29-02-2024, 13:06 door Anoniem
Wij hebben in het verleden ook van een dergelijke dienst gebruik gemaakt, Phished Academy.

Die boden op zich een mooi platform met trainingen, awareness videos, en verstuurden inderdaad ook phishing mails die je netjes kon forwarden naar een specifiek adres. Kreeg je als gebruiker netjes een mailtje terug van "Goed gedaan, je hebt onze test herkend" of "Oei, deze was niet van ons. Wees voorzichtig en neem contact op met je IT-afdeling." En een vriendelijk berichtje en verwijzing naar meer informatie als je er toch ingetrapt zou zijn en ergens op geklikt of iets ingevuld had.

Wellicht inderdaad handiger om een dergelijke dienst te gebruiken en gebruikers vooraf te informeren met eventueel een trainingsessie dan ze er onaangekondigd "in te luizen". Er komt dan toch een stukje schaamte en persoonlijke identificatie bij kijken dat je met een extern, geautomatiseerd platform wat minder hebt.
29-02-2024, 14:02 door Anoniem
Zorg ervoor dat je niet overkomt als iemand met een wijzend vingertje "dat heb je niet goed gedaan jongen!" - dat werkt uiteraard averechts.
Verzorg eerst awareness zonder die phishing campagne. Vertel wat phishing mails zijn, hoe ze die kunnen melden, enz. Zorg dat je beleid up-to-date is en bekend is (zou moeten zijn) onder de medewerkers.
Vertel dan dat je bedrijf ook phishing testen gaat doen, maar niet wanneer. Maar ook dat je let op clean-desk policy, computer vergrendelen, en dat soort dingen.
Bouw niet zelf phishing testen (misschien heb je heel veel capaciteit over?) maar gebruik een leverancier. Wij hebben goede ervaringen met KnowB4, ProofPoint, Ninjio maar er zijn zat aanbieders, ook in Nederland denk ik.
Denk vantevoren na over wat je gaat meten (bv. click-rate, report rate), wij hebben geen aparte nulmeting gedaan, de eerste phishing test jaren terug was eigenlijk de "nul-meting". Anyway, iedere phishing test is anders en daardoor is de clickrate ook niet helemaal te vergelijken.
Denk na over trainen van de service desk (of wie dan ook waar meldingen binnenkomen), denk na of je iemand bij de service desk vlak voor een phishing test wil informeren, of niet, voor als meldingen met tientallen tegelijkertijd binnen zouden kunnen komen.
Wat voor feedback ga je geven, aan medewerkers, aan management. Hoe vaak.
Begin niet met hele "geniepige" phishing mails, maar simpele dingen die best op mogen vallen. Dan heeft niemand er problemen mee dat ze er ingetuind zijn, want het was eigenlijk overduidelijk en dat zien ze achteraf ook wel. Wij zijn langzaamaan naar minder opvallende phishing mails gegaan. We hebben hierdoor nauwelijks negatieve feedback gekregen, het tegenovergestelde zelfs, er zijn nu een aantal 'ambassadors' van goede email etiquette.
01-03-2024, 13:44 door Anoniem
Door Anoniem: heel goed dat jullie aan dit soort training / verbeteren van awareness doen. Ikzelf heb erg goede ervaring met een dienst van Hoxhunt. Die gebruiken gamification.
in jullie situatie: probeer de gebruiker in je eerste melding niet teveel af te schrikken, en laat hem vooral weten dat het iedereen kan overkomen en wat hij de volgende keer moet doen als hij per ongeluk toch heeft geklikt.

Ik heb ook goede ervaringen met deze partij en zij doen dit op een leuke manier. Het niveau wordt geautomatiseerd afgestemd op de gebruiker en moeilijker na verloop van tijd. Je verdiend punten en kan op die manier ook een soort interne competitie ervan maken hoe goed men aan het opletten is. Uiteindelijk is dat hetgeen wat je zou willen bereiken, meer bewustzijn bij de gebruiker en verhoging van de kennis.

Ga zeker niet zelf lopen vogelen met scripts geautomatiseerde mails is mijn advies.
01-03-2024, 14:46 door Anoniem
Door Anoniem:
Door Anoniem: heel goed dat jullie aan dit soort training / verbeteren van awareness doen. Ikzelf heb erg goede ervaring met een dienst van Hoxhunt. Die gebruiken gamification.
in jullie situatie: probeer de gebruiker in je eerste melding niet teveel af te schrikken, en laat hem vooral weten dat het iedereen kan overkomen en wat hij de volgende keer moet doen als hij per ongeluk toch heeft geklikt.

Ik heb ook goede ervaringen met deze partij en zij doen dit op een leuke manier. Het niveau wordt geautomatiseerd afgestemd op de gebruiker en moeilijker na verloop van tijd. Je verdiend punten en kan op die manier ook een soort interne competitie ervan maken hoe goed men aan het opletten is. Uiteindelijk is dat hetgeen wat je zou willen bereiken, meer bewustzijn bij de gebruiker en verhoging van de kennis.

Ga zeker niet zelf lopen vogelen met scripts geautomatiseerde mails is mijn advies.

Zelfde ervaringen, grootste voordeel is dat ze internationaal opereren, dus phishing mails in diverse talen kunnen maken.
01-03-2024, 15:07 door Anoniem
Door Anoniem:
Na het invullen van gegevens (worden nergens opgeslagen natuurlijk en er is een beveiligde verbinding) krijgen ze een text en uitleg dat ze dit beter niet hadden kunnen doen en langs moeten lopen bij ICT. We tracken 2 zaken, hebben ze op de link geklikt en hebben ze het formulier ingevuld.

Als deze test bij mij had uitgevoerd, had ik dat formulier wel ingevuld, maar niet met bruikbare gegevens. Die gegevens krijgt de aanvaller te zien, dus bij uitstek geschikt om deze persoon te laten weten wat ik van hem denk.

Waarschijnlijk anders dan de meesten hier heb ik echte gehackte systemen onderzocht die voor phishing werden misbruikt en daarop stond ingevulde data. Ongeveer 90% daarvan is onbruikbaar voor de phisher, onvolledig ingevuld of zo maar wat getypt. Daar maak je dan geen onderscheid in. Je moet dus oppassen met het beschuldigen van mensen van iets dat ze niet gedaan hebben.

Nu kun je stellen dat het klikken van de link al gevaarlijk is, maar dat is een zeer zeldzaam geval, alleen als er zero days worden gebruikt. Zero-days zijn dermate kostbaar dat die vooral voor targeted attacks worden gebruikt en meestal is het dan geen websitelink maar een download die misschien niet eens door de filters komt. Dus een klein deel van een klein deel van een klein deel. Het waarschuwen voor klikken op links is wel makkelijk voor beheerders, maar realistisch is het doorgaans niet. Het probleem zit hem eerder in het openen van bestanden die iets uitvoeren en niet zozeer in het klikken op links. Let ook op dat je mensen niet aanzet tot het zoeken van een manier om iets gedaan te krijgen die helemaal onveilig is, zoals gebruik van een online maildienst die niet bij het bedrijf hoort. Jaag mensen niet het slecht verlichte pad op.
01-03-2024, 16:04 door Anoniem
Door Anoniem:
Door Anoniem: heel goed dat jullie aan dit soort training / verbeteren van awareness doen. Ikzelf heb erg goede ervaring met een dienst van Hoxhunt. Die gebruiken gamification.
in jullie situatie: probeer de gebruiker in je eerste melding niet teveel af te schrikken, en laat hem vooral weten dat het iedereen kan overkomen en wat hij de volgende keer moet doen als hij per ongeluk toch heeft geklikt.

Ik heb ook goede ervaringen met deze partij en zij doen dit op een leuke manier. Het niveau wordt geautomatiseerd afgestemd op de gebruiker en moeilijker na verloop van tijd. Je verdiend punten en kan op die manier ook een soort interne competitie ervan maken hoe goed men aan het opletten is. Uiteindelijk is dat hetgeen wat je zou willen bereiken, meer bewustzijn bij de gebruiker en verhoging van de kennis.

Ga zeker niet zelf lopen vogelen met scripts geautomatiseerde mails is mijn advies.

Beetje oppassen met gamification en interne competitie. Die haken af, of gaan stommetje spelen, en dat zijn meestal de mensen die je nog iets bij wilt brengen.
02-03-2024, 11:20 door Anoniem
Het is zo doorzichtig binnen ons bedrijf met die Phishing tests.
Ze gaan altijd naar hetzelfde IP Block in een cloud omgeving.
Nu heb ik deze IP range geblokkeerd.
04-03-2024, 14:24 door Anoniem


Beetje oppassen met gamification en interne competitie. Die haken af, of gaan stommetje spelen, en dat zijn meestal de mensen die je nog iets bij wilt brengen.

Waar ik gewerkt heb was een soort ranglijst tussen afdelingen wie het meeste rapporteerde. De eerste die een phishing mail vond waarschuwde meteen het hele team.
04-03-2024, 14:28 door Anoniem


En wees eerlijk: bijna NIEMAND kan een "goede" nepmail van een echte onderscheiden; da's technisch vaak onmogelijk - naast dat er steeds meer mail vanaf gehackte accounts wordt verzonden.

Met een beetje context filter je al veel uit. Bij voorbeeld: een mail over een bestelling, terwijl je functie niets met bestellen te maken heeft en je je werk adres niet voor prive bestellingen gebruikt.
04-03-2024, 15:50 door Bitje-scheef
Ach, er is altijd iemand die te weinig tijd heeft om de email te "bekijken".

De gekunstelde emails met taalvouten die kun je vergeten. AI maakt prachtige emails voor je met een redelijk goed verhaal.
Hidden pixels en proxy-links doen de rest.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.