Phishingcampagne

Project description

Voor ISAH hebben we een phishingcampagne uitgevoerd, waarbij het vergroten van de cybersecuritybewustwording onder nieuwe medewerkers centraal stond. Tijdens deze campagne hebben we een phishingmail verstuurd naar de medewerkers om te monitoren hoe ver zij gingen in hun acties. We hebben drie niveaus van betrokkenheid gemeten:

Niveau 1: het openen van de link in de e-mail,
Niveau 2: het geven van toestemming via een pop-upmelding,
Niveau 3: het daadwerkelijk inschrijven op een nep-registratiewebsite.

Alle acties zijn gemonitord en geanonimiseerd gerapporteerd aan het bedrijf. Op basis van de resultaten hebben we aanbevelingen gedaan om de bewustwording over cybersecurity verder te vergroten.

Context

Om de phishingaanval zo geloofwaardig mogelijk te maken, hebben we deze rond nieuwjaar uitgevoerd. In de phishingmail werd beloofd dat er vanuit ISAH een oliebollenkraam zou komen, waarvoor medewerkers zich moesten inschrijven. Als extra motivatie kregen medewerkers bij inschrijving een tegoedbon voor gratis oliebollen. Om de campagne nog overtuigender te maken, hebben we zowel een maildomein als een webdomein aangeschaft, zodat het geheel professioneel en geloofwaardig overkwam.

Results

De resultaten van het project omvatten een plan van aanpak, een aanvalsplan, een realisatiedocument en een eindrapport. In het eindrapport hebben we geanonimiseerd vastgelegd welke acties we hebben gemonitord. Uit de resultaten bleek dat:

3 medewerkers de website hebben bezocht via de link in de phishingmail,
1 medewerker toestemming heeft gegeven op de pop-upmelding,
2 medewerkers zich hebben ingeschreven voor de oliebollen.

Deze resultaten hebben we gebruikt om aanbevelingen te doen voor het vergroten van de cybersecuritybewustwording binnen ISAH.