Het Nederlands Kampioenschap Phishing voor
IT bedrijven
Benchmarkrapport
Het NK Phishing
Het Ingram Micro Cyber Security Center of Excellence en Holmes presenteren het NK Phishing voor IT Bedrijven. Een bloedserieuze competitie tussen IT bedrijven om de prestigieuze titel; meest bewuste IT Partner van Nederland. Daarnaast ontvangt de winnaar een geheel verzorgde blackbox pentest verzorgt door het Ingram Micro Cyber Security Center of Excellence team, een prachtige prijs ter waarde van €3200,-.
Waarom NK Phishing voor IT bedrijven?
Cybercriminaliteit wordt met de dag relevanter. De creativiteit van hackers en constante innovatie van malware vraagt om bewustzijn van medewerkers en strategie van het management. Het is daarom van groot belang dat organisaties regelmatig meten hoe veilig hun beveiliging écht is.
Het is belangrijk dat organisaties hun beveiliging regelmatig verbeteren met slimme oplossingen en de valkuilen voor henzelf helder en inzichtelijk maken. Dit omdat ze alleen dan weten waar hun valkuilen liggen en hierop kunnen anticiperen. De cyber security oplossing Holmes helpt bedrijven te voorkomen dat ze het volgende slachtoffer worden. Met deze competititie willen wij, de organisatie, aandacht voor het onderwerp Phishing vragen. En tegelijkertijd de kwetsbaarheid van onze samenleving op dit thema aan te tonen.
De organisatie
De organisatie van het NK Phishing voor IT Bedrijven is in handen van Ingram Micro en Holmes. Ingram Micro helpt ondernemingen de belofte van technologie te realiseren. Geen ander bedrijf levert het complete spectrum aan wereldwijde technologie- en supply chain services aan partners over de hele wereld. Ingram Micro’s mondiale infrastructuur en diepgaande expertise in technologieoplossingen, supply chain, cloud en mobility stellen zijn business partners in staat efficiënt en succesvol te opereren in de markten die zij bedienen.
Ongeëvenaarde flexibiliteit, diepgaande kennis van de markt en betrouwbaarheid, die het resultaat zijn van decennia aan hechte relaties, maken Ingram Micro uniek en toonaangevend. Ontdek hoe Ingram Micro u kan helpen de belofte van technologie te realiseren. Bezoek www.ingrammicro.nl.
Holmes helpt organisaties zich te beschermen door middel van het meest krachtige spamfilter: de collega. De mens vormt de zwakke schakel in cybersecurity en dat is minder slecht nieuws dan het lijkt. Eindklanten hebben invloed op de online veiligheid van hun bedrijf en dat gedrag is nu juist een knop waar ze aan kunnen draaien.
Holmes combineert bewustwording, training en toetsing in één digitale, online oplossing, ondersteund met een professionele introductie en implementatie. Bezoek https://holmes.nu/.
De aanpak
Iedere deelnemende organisatie meldde 10 medewerkers aan wie de phishing simulaties zouden gaan worden verstuurd. Van iedere medewerker was uiteraard de naam en het emailadres opgegeven, maar ook de rol/
afdeling waar hij/zij voor werkt. Daarnaast is er per organisatie in kaart gebracht welke rol security awareness speelt in het huidige beleid of producten portfolio.
OSINT
Om relevante (spear)phishing emails te kunnen versturen is gebruik gemaakt van OSINT. OSINT staat voor Open Source Intelligence en het is het verzamelen van informatie door gebruik te maken van publiekelijk beschikbare informatie. De verzamelde informatie is gebruikt in de phishing emails van de verschillende rondes.
3 rondes
Voor iedere ronde is een scenario opgezet. Een scenario bestond uit een toepasbare phishing template, het ontwerp van de phishing email en de webpagina, en de getoonde teksten in zowel de email als op de webpagina.
De verschillende rondes maakten gebruik van technieken die cybercriminelen ook zouden gebruiken. De emails werden verstuurd vanaf fictieve domeinen en ook de linkjes in de emails leidde naar dit fictieve domein. De emails en de webpagina’s zijn ook zo gebouwd dat het nagenoeg niet van echt te onderscheiden is.
Dit was ook te zien in de resultaten, in de eerste en tweede ronde sneuvelden veel organisaties. De derde ronde begon met nog maar een handje vol deelnemers en het betrof een afvalronde. Alles werd uit de kast getrokken;
van zeer gefocuste spearphishing emails tot spearphishing emails in combinatie met Vishing (Voice phishing).
Uiteindelijk is er één organisatie als winnaar over gebleven.
“De meest phishing- bewuste IT-partner van het jaar”
Stefan en Jan Willem van Surelock brachten een bezoek aan de grote winnaar van het NK-Phishing voor IT-Bedrijven, Aspect ICT. Zij spraken met Rijk Prosman, Jeroen Jeroense en Twan Mourik over de competitie.
“De 10 plaatsen voor ons team waren eigenlijk direct vol” vertelt Rijk Prosman. Het enthousiaste team van Aspect ICT is de hele competitie gebrand geweest op de winst, het onderwerp werd vaak aangehaald intern en de alertheid was tijdens de volledige competitie hoog. En dat heeft geloond.
Aspect ICT heeft een Security Awareness programma van een andere vendor dan Holmes.
Knowbe4. Als deze competitie iets heeft aangetoond is het dat periodiek phishing simulaties versturen een enorme positieve bijdrage levert aan de vaardigheden van een team om phishing te herkennen.
Het is dan ook niet voor niets dat Aspect ICT een Security Awareness oplossing biedt. ‘De behoefte is absoluut aanwezig in de markt’. Het belang voor een organisatie om zich tegen phishing te wapenen speelt vandaag de dag meer dan ooit.
In de derde ronde werd Twan Mourik, vanuit zijn commerciele functie het doelwit van de Vishing aanval. ‘In eerste instantie had ik het niet in de gaten dat het om het NK Phishing ging, maar ik had er een vreemd gevoel bij’, toen we de afzender van de ontvangen mail gingen natrekken zagen we dat Surelock er achter zat. We hebben toen lachend terug gebeld gaf Twan aan, niet wetende dat juist die reactie uiteindelijk tot de winst heeft geleid’. Dat is achteraf logisch, op het moment dat je niets valideert en er gemakshalve van uit gaat dat het Phishing is, en het bericht negeert, kan het natuurlijk zijn dat meer collega’s de mail ontvangen. Nu wisten we het zeker, dit ging om Phishing.
En vanuit die wetenschap is het veel effectiever handelen.
Namens het volledige team van Surelock, Holmes en Ingram Micro feliciteren we Aspect ICT met de eerste prijs. Maar in het verleden behaalde resultaten...
We dagen jullie graag uit de titel dit jaar te verdedigen.
Hartelijke groet, Surelock Holmes Ingram Micro
Ingram Micro Cyber Security Center of Excellence
Phishing mail ronde 1
Datum: 18 november 2020 Template: WeTransfer Categorie: Spearphishing
Gebruikte informatie: Naam collega Scenario: Foto’s website
Domein: we-transfer.eu
De ontvangen phishing email betrof een WeTransfer email met ook een WeTransfer webpagina. Het doel van de phishing email was de ontvanger overtuigen om het Zip-bestand te downloaden van de fictieve WeTransfer webpagina. In potentie kan een vergelijkbaar bestand malafide software bevatten en dus de PC of het gehele netwerk van de ontvanger infecteren.
Door te klikken op de link in de phishing email werd de webpagina geopend. Ook deze webpagina was geheel in WeTransfer stijl en vormgeving, maar ook hier was het niet het echte WeTransfer domein. Zodra de deelnemer op de download link klikte was de persoon gephisht en kwam deze op de ‘Phishing-succes-pagina’. Een webpagina waarin uitgelegd werd dat het een phishing simulatie betrof en hoe zowel de email als de webpagina herkend hadden kunnen worden.
Hier had je de phishing mail aan kunnen herkennen
De afzender leek op WeTransfer, maar was het niet;
De gebruikte naam van de afzender was ‘Transfer’ en niet ‘WeTransfer’;
Ook het emailadres klopte niet, het was ‘noreply@we-transfer.eu’ en dit is niet het emailadres van WeTransfer;
In de email stond de naam van een collega, maar deze persoon heeft dit bericht niet verstuurd;
Waarschijnlijk komt dit bericht volledig uit de lucht vallen? Dat klopt ook, berichten zoals deze worden in een normale situatie waarschijnlijk wel aangekondigd;
Het domein achter de downloadknop in de email is ‘we-transfer.eu’ en dit niet het domein van WeTransfer.
Let dus goed op de domeinnaam!
Let dus goed op domeinnamen in emails! Als je twijfels hebt over een domeinnaam kan je dit uiteraard controleren.
Google een domeinnaam eens en je komt erachter van wie het domein is.
Deze WeTransfer phishing simulatie is verstuurd naar alle deelnemers. De volgende gemiddelde geklikt en gephisht percentages zijn behaald met deze simulatie:
0% 17% 100%
Gemiddeld clicked percentage
0% 10% 100%
Gemiddeld phished percentage
Datum: 3 december 2020
Template: Sharepoint link / Microsoft Excel met Macro Categorie: Spearphishing
Gebruikte informatie: Naam collega Scenario: COVID-19 maatregelen Domein: mlcrosoftleam.nl
De ontvangen phishing email betrof een plain tekst email met daarin een Microsoft Sharepoint link. Het aanklikken van de link leidde naar een nagemaakte Microsoft Excel Online webpagina. Dit Excel bestand bevatte Macro’s en dus moest de inhoud ingeschakeld worden. Het doel van de phishing email was de ontvanger overtuigen om externe inhoud in te schakelen. In potentie kan een vergelijkbaar bestand malafide software bevatten en dus de PC of het gehele netwerk van de ontvanger infecteren.
BEVEILIGINGSWAARSCHUWING Bepaalde actieve inhoud is uitgeschakeld. Klik voor meer informatie. Inhoud inschakelen
Inhoud inschakelen
Hier had je de phishing mail aan kunnen herkennen
De afzender leek op Microsoft, maar was het niet;
De gebruikte naam van de afzender was ‘Notification’;
Ook het emailadres klopte niet, het was ‘noreply@mlcrosoftteams.nl’ en dit is niet een emailadres van Microsoft;
In de email stond de naam van een collega, maar deze persoon heeft dit bericht niet verstuurd;
Waarschijnlijk komt dit bericht volledig uit de lucht vallen? Dat klopt ook, berichten zoals deze worden in een normale situatie waarschijnlijk wel aangekondigd;
Het domein achter de downloadknop in de email is ‘mlcrosoftteams.nl’ en dit geen domein van Microsoft.
Let dus goed op domeinnamen in emails! Als je twijfels hebt over een domeinnaam kan je dit uiteraard controleren. Google een domeinnaam eens en je komt erachter van wie het domein is.
Deze Excel Online phishing simulatie is verstuurd naar alle deelnemers. De volgende gemiddelde geklikt en gephisht percentages zijn behaald met deze simulatie:
0% 14% 100%
Gemiddeld clicked percentage
0% 6% 100%
Gemiddeld phished percentage
Excel Online gebruikt. Zodra de deelnemer op de ‘Inhoud inschakelen’ knop klikte was de persoon gephisht en kwam deze op de
‘Phishing-succes-pagina’. Een webpagina waarin uitgelegd werd dat het een phishing simulatie betrof en hoe zowel de email als de webpagina herkend hadden kunnen worden.
Datum: 17 december 2020 – 18 januari 2021 Template: DocuSign & Microsoft OneDrive Categorie: Spearphishing & Vishing
Gebruikte informatie: Naam collega & fictieve potentiele klant Scenario: Potentiele klant met RFP
Domein: sign-document.com & onedrive-microsoft.nl
De derde en laatste ronde van het NK Phishing was een afvalronde. In een periode van een maand tijd zijn diverse phishing simulaties verstuurd en is phishing gecombineerd met Vishing (Voice phishing).
De eerste phishing email was een DocuSign template. Deze phishing email werd niet meer naar alle 10 de deelnemers per overgebleven organisatie verstuurd, maar heel gericht naar 1 persoon. Het aanklikken van de link leidde naar een nagemaakte DocuSign webpagina. Het doel van de phishing email was de ontvanger te overtuigen om de knop ‘Controleer Document’ aan te klikken. In potentie kan het aanklikken van een vergelijkbare link resulteren in het downloaden van bijvoorbeeld malafide software en dus de PC of het gehele netwerk van de ontvanger infecteren.
Door te klikken op de link in de phishing email werd de webpagina geopend.
Deze webpagina was een nagemaakte DocuSign webapplicatie. Uiteraard was ook hier niet het echte domein van DocuSign gebruikt. Zodra de deelnemer op de ‘Controleer Document’ knop klikte was de persoon gephisht en kwam deze op de ‘Phishing- succes-pagina’. Een webpagina waarin uitgelegd werd dat het een phishing simulatie betrof en hoe zowel de email als de webpagina herkend hadden kunnen worden.
Phishing Webpagina Vishing
De DocuSign simulatie resulteerde in een aantal afvallers, maar er was nog geen onbetwiste winnaar van de competitie. Vandaar dat er een stap verder werd gegaan, vishing combineren met phishing. Het scenario was als volgt: een stagiair van een potentiele klant is onderzoek aan het doen naar de mogelijkheden van Office365. Deze stagiair wil graag een offerte en informatie ontvangen. Hij heeft zelfs een kleine RFP geschreven en dit wil hij graag delen met de deelnemer van het NK Phishing. Vervolgens komt de phishing email bij de deelnemer binnen.
Door te klikken op de link in de phishing email werd de webpagina geopend.
De phishing email was een nagemaakte OneDrive email waar een bestand wordt gedeeld met de ontvanger. Het aanklikken van de link in de email leidde naar een fictieve Microsoft webpagina waar een bestand gedownload kan worden.
Hier had je de phishing mail aan kunnen herkennen
De afzender leek op Microsoft, maar was het niet;
De gebruikte naam van de afzender was ‘Sharefolder’;
Ook het emailadres klopte niet, het was ‘noreply@sharedfolder.nl’ en dit is niet een emailadres van Microsoft;
In de email stond de naam van een collega, maar deze persoon heeft dit bericht niet verstuurd;
Waarschijnlijk komt dit bericht volledig uit de lucht vallen? Dat klopt ook, berichten zoals deze worden in een normale situatie waarschijnlijk wel aangekondigd;
Het domein achter de downloadknop in de email is ‘sharedfolder.nl’ en dit geen domein van Microsoft.
Let dus goed op domeinnamen in emails! Als je twijfels hebt over een domeinnaam kan je dit uiteraard controleren.
Google een domeinnaam eens en je komt erachter van wie het domein is.
cyberaanvallen zijn
phishing aanvallen.”
Algemeen dashboard ronde 1
Gemiddeld phished percentage per beleidsvorm
13%
11%
10%
4%
training geen applicatie ISO 27001
Gemiddeld clicked en phished per rol
Phished percentage Clicked percentage
Management IT Operations Service HR Sales
5%
0%
Algemeen dashboard ronde 1 - vervolg
Gemiddeld clicked en phished per locatie (Provinicie)
Gemiddelde van locatie (Phished) Gemiddelde van locatie (clicked)
40%
20%
0%
Utrecht
Gelderland
Limburg
Noord-Holland
Groningen
Overijssel
Zuid-Holland
