Phishingsimulaties zijn een vorm van digitale gaslighting

DoorFleur van Leusden
Phishingsimulaties zijn een vorm van digitale gaslighting cover

Je bent aan het werk op kantoor. Zittend achter je laptop met een verse cappuccino werk je gestrest aan het stuk dat vandaag nog naar het bestuur toe moet. Red je het niet? Dan kan het bedrijf een schadeclaim en reputatieschade verwachten. Doorwerken dus. Dan gaat plotseling het brandalarm af. Je kijkt jouw collega naast je aan. Oefening, denk je? Ineens zie je uit de gang rook komen. Een BHV-collega rent buiten adem langs, terwijl zij haar fluorescerende vest aantrekt en roept: “Iedereen naar buiten! Laat alle spullen liggen!”. Beduusd blijf je een paar tellen voor je uit staren. Je collega twijfelt geen moment en rent naar het trappenhuis. Je denkt: dit stuk voor het bestuur is van cruciaal belang. Snel maak je een back-up naar de cloudomgeving om het veilig te stellen. Ook loop je gauw langs je kluisje en haalt je autosleutel en huissleutel uit je jas. Dan ren je de 14 trappen af naar beneden.

Buiten adem voeg jij je bij de rest van de collega’s. Zo te zien heeft iedereen het op tijd gered naar buiten. Als je een beetje bent bijgekomen en opgelucht ademhaalt dat iedereen oké is, komt jouw manager naar je toe gelopen. “Ik zie dat jij nadat het alarm afging niet meteen naar buiten bent gelopen, zoals wel de afspraak is. Dit hebben we meermaals zo geoefend, toch?” Een beetje verbaasd kijk je jouw manager aan. Je bent toch veilig buiten gekomen? “Dit keer hebben we besloten om niet aan te kondigen dat het om een oefening ging. We hebben rookmachines neergezet, zodat het echter leek. We wilden weten wie in een échte noodsituatie de regels niet zou opvolgen. Jij was één van de laatste medewerkers die buiten was, en we zien dat je na het tijdstip van het alarm nog stukken hebt geüpload. Dat is een risico voor de veiligheid. Daarom moet je komende week een brandveiligheidgedragstraining volgen van drie dagen.” Collega’s om je heen kijken je aan alsof je dom bent. Iedereen weet toch dat je alles moet laten vallen bij een brand?

Wat als we brandoefeningen zouden doen zoals we phishingsimulaties doen?

Ik heb nog nooit gehoord dat iemand een brandoefening deed op deze manier. Oefeningen worden vrijwel altijd aangekondigd. Eventueel zelfs kort vooraf. Zouden de oefeningen niet veel effectiever zijn als we ze realistischer maakten? En gewoon niet erbij vertellen dat het een oefening is, totdat het voorbij is? Nee. Dat vinden we ethisch niet verantwoord. We vinden het ethisch een probleem dat mensen het gevoel hebben fysiek in gevaar te zijn, wanneer dit feitelijk niet zo is.

Maar digitaal gevaar? Daar mogen we alles voor inzetten

Waarom sturen we in security dan wél nog steeds nep-phishingmails rond in het kader van awareness? Mensen zijn dan wellicht niet fysiek in gevaar, maar we zeggen wel: “Ja, die ene klik van jou op de link had de hele organisatie in gevaar kunnen brengen! Gelukkig was het dit keer niet echt.”

In coronatijd stuurde een grote ISP een interne e-mail rond met daarbij het bedrijfslogo en de mededeling dat door corona het jaarlijkse eindejaarsfeest niet door kon gaan. In plaats daarvan zouden alle medewerkers het budget persoonlijk uitgekeerd krijgen tijdens de kerstdagen. Het enige wat zij even moesten doen was op de onderstaande link klikken en hun gegevens achterlaten. Zij zouden dan rond kerst zo’n 650 dollar ontvangen.[1] Een paar dagen later ontvingen medewerkers die op de link hadden geklikt een bericht: “Je bent gezakt voor de phishingtest.” Meerdere medewerkers hadden intussen het geldbedrag dat zij dachten te ontvangen uitgegeven aan kerstcadeaus voor vrienden en familie. Het geld kwam er nooit.

Geen effectiviteit, geen ethiek – waarom doen we dit eigenlijk nog?

Ik kan deze column vullen met argumenten over waarom phishingsimulaties niet voldoende effectief zijn tegen het risico op phishing. Maar dat bewaar ik voor een andere keer. Mij gaat het nu vooral om het ethische aspect. Het feit dat wij het blijkbaar in sommige gevallen nog altijd nodig vinden om collega’s die hard aan het werk zijn van hun werk af te houden door hen lastig te vallen met nepmails. En dat terwijl:

  1. Wij de SPF-records hebben aangepast, anders kwam de mail niet aan.
  2. Wij het te ingewikkeld vonden de SPF-records aan te passen en het dus maar hebben verstuurd vanaf het legitieme mailaccount van de helpdesk (echt gebeurd!).
  3. Securityexperts zelf de grootste moeite hebben phishingmails nog te herkennen.[2]
  4. We typefouten maken in legitieme e-mails en legitieme mails ontvangen met obscure links van vreemde mailadressen zoals noreply@vreemddomein.nl.
  5. We jaarlijks een VVV-cadeaucode sturen per mail met een link waar je op moet klikken, in plaats van het vroegere kerstpakket.

Phishingsimulaties: goedkoop, zichtbaar, maar vooral zinloos

We outsourcen steeds meer van onze IT-dienstverlening. Securitymedewerkers die niet voor een techbedrijf werken zoeken naar mogelijkheden om zichtbaar effectief iets te doen rondom security awareness. De phishingsimulaties zijn dan het makkelijkst. Ze zijn goedkoop, zichtbaar, hebben een schok-effect en leveren “meetbare” resultaten in de vorm van clickrates (die vooral demonstreren hoe goed je bent in het phishen van je collega’s in een organisatie die je van binnenuit goed kent).

Onze collega’s lachen als een boer met kiespijn. “Hah, ben ik er toch wéér ingetrapt dit jaar!” Ondertussen sturen wij mails rond via niet gelockte computers als iemand even naar het toilet is (op een afgesloten kantoortuin met toegangspassysteem) dat de collega morgen taart zal uitdelen. En we spreken hen erop aan als zij hun toegangspas een minuut uit het oog verliezen tijdens een geanimeerd telefoongesprek.

En dan vragen wij ons af waarom security niet zo’n geliefd team is. Zou het echt alleen komen omdat we zoveel “nee” zeggen?

Ik denk dat het tijd is dat we oude en verstofte securitypraktijken opnieuw onder de loep nemen. Hoeveel veiligheid voegen phishingsimulaties nu daadwerkelijk toe? Hoeveel gaat die clickrate (na al die jaren!) nu daadwerkelijk naar beneden? En zullen we met duizenden medewerkers ooit die gouden 0% halen?

“Maar wij doen het wél ethisch, Fleur!” hoor ik je zeggen. “Wij kondigen het altijd aan!”

Ik kan de exacte toot niet meer terugvinden helaas. Maar een tijd geleden berichtte iemand op Mastodon dat hij het zat was maandelijks nep-phishingmails rond te sturen. In plaats daarvan stuurde hij een verder lege mail met daarin: “Dit is de maandelijkse nep-phishingmail. Klik NIET op de link!”. Een deel van de medewerkers klikte naar eigen zeggen alsnog.

Mensen klikken. Punt.

Mensen klikken op links. Dat is een feit. Medewerkers hebben geen tijd om elke email aan een forensisch onderzoek te onderwerpen om de echtheid te controleren. Laten we ons richten op maatregelen die daadwerkelijk het risico verkleinen en de impact wanneer een phishing mail toch doel weet te raken.

Voorkom brand, in plaats van te testen wie te laat naar buiten rent

Er is al zo’n capaciteit en budget gebrek in ons vakgebied. Als we echt risico’s willen verkleinen, moeten we stoppen met testen wie het laatst naar buiten rent bij een brandoefening en beginnen met zorgen dat het gebouw zelf niet in brand vliegt.

[1] https://www.cbsnews.com/news/godaddy-apologizes-insensitive-phishing-email-bonuses-employees/

[2] https://www.digit.fyi/report-ai-phishing-nearly-impossible-to-detect-even-for-ai/

Over Fleur

Fleur is een ervaren professional met meer dan 10 jaar ervaring in informatiebeveiliging. Ze is CISO bij de overheid en produceert een podcast voor CISOs, genaamd ‘CISO praat’. Haar passie ligt bij het vinden van oplossingen en het adviseren over strategische vraagstukken binnen informatiebeveiliging.

Met een focus op de technische en strategische aspecten, duikt Fleur graag de diepte in en onderzoekt oplossingen, zoals het veilig gebruik van openbare wifi-netwerken en effectieve bescherming tegen phishing. Ze is vooral geïnteresseerd in de balans tussen gebruiksgemak en beveiliging én de uitdagingen van specialistische kennis in een digitaliserende wereld.

In haar columns behandelt Fleur fundamentele uitdagingen voor informatiebeveiligers, zoals de effectiviteit van beveiligingsmaatregelen en het groeiende aanbod van beveiligingsdiensten. Ze hoopt haar lezers te inspireren tot nieuwe inzichten en innovatieve ideeën.

Vergelijkbare berichten