Welke manieren zouden jullie gebruiken om phishing binnen een bedrijf te beperken?
Mijn grootste angst is een crypto aanval door toedoen van phishing. Wij hebben ca. 160 medewerkers met een e-mailadres en om te testen hoe medewerkers ermee om gaan heb ik phishing mail in elkaar geknutseld over wachtwoordherstel t.b.v. beveiligingsupdates.
Deze mail is verzonden van een niet-bestaand (afwijkend) emailadres omdat phishing veelal gebruik maakt van gespoofde afzenders.
De mail staat vol spelfouten, bevat een verkeerd bedrijfslogo en staat er een tekstueel stappenplan in om het wachtwoord van hun account op onze website aan te passen. Daarnaast staat er bij de ontvanger duidelijk een banner:
"u ontvangt niet vaak mails van ... @bedrijfsnaam.nl. Meer informatie hierover..."
Om het realistisch te benaderen heb ik ook een vreemd en lang subdomein aangemaakt en hier een duplicaat van onze website op gezet. Paginatje aangemaakt, formuliertje mbt nieuw wachtwoord en na het versturen hiervan redirect ik naar een pagina waarop de collega ziet dat zijn/haar gegevens zijn gestolen, vervolgd met een uitleg over het herkennen van phishing en de fake url.
Na een halve dag kan ik concluderen dat de resultaten best zorgwekkend zijn. Meer dan 35 collega's hebben het wachtwoord formulier klakkeloos ingevuld terwijl niemand een account heeft op onze website, enkel op de webshop.
Ik hoop dat ze het positief opvatten om alert te blijven, ook voor hun eigen online veiligheid.
Zijn er nog andere manieren? Gebruikt er iemand bijvoorbeeld phishing IO en wat zijn je ervaringen?