Binnen deze tool, beschreven in deze blogpost is het mogelijk om verschillende phishingacties met elkaar te vergelijken en te kunnen meten hoe geavanceerd deze is. Dit formulier is dynamisch; er zullen verschillende rijen toegevoegd worden bij verschillende keuzes. In de onderstaande balk wordt uiteindelijk een percentage aangegeven: wordt bij iedere categorie gekozen voor de meest geavanceerde optie, dan zal de actie op 100% uit komen. Dit betekent overigens niet dat legitieme email automatisch op 100% uit komt: ook collega’s kunnen typo’s maken, een interne nieuwsbrief bevat geen persoonlijke aanhef of een externe partij is gevraagd een enquête te versturen.
| Categorie | Onderdeel | Keuze |
|---|---|---|
| Context | Aanleiding | Belangrijke waarde voor ontvanger Voorbeelden: beoefende hobby, gesteunde goede doel, functiespecifieke kennis
Recente gebeurtenisVoorbeelden: recente organisatieverandering, gewijzigde arbeidsvoorwaarden, migratie naar nieuw systeem
Actueel themaVoorbeelden: corona, themaweek van de duurzaamheid, kerstdagen
Tijdloze activiteitVoorbeelden: enquête, betaling, factuur
|
| Afzender | Eigen organisatie of collega Bekende organisatie Onbekende organisatie Particulier/persoon |
|
| Doel | Verkrijgen informatie of toezetten tot (offline) actie Voorbeelden: CEO-fraude, aanleveren persoonsgegevens, bestanden of foto's
Verkrijgen geld door middel van online overboekenVoorbeelden: boete of factuur die direct online voldaan moet worden
Verkrijgen inloggegevensLink stuurt slachtoffer naar inlogpagina
Verkrijgen toegang door malware op websiteLink stuurt slachtoffer naar downloadpagina
Verkrijgen inloggegevens en toegang door malware op websiteLink stuurt slachtoffer naar loginpagina en downloadpagina
Verkrijgen toegang door malware in bijlageBijlage bevat bijvoorbeeld Office-macro of ZIP-bestand met malware
AfpersingVoorbeelden: betalen Bitcoin door 'gelekte documenten', ransomware
|
|
| Overtuigingsprincipe | Commitment, reciprocation and consistency Voorbeelden: behulpzaamheid gevraagd, gunst vragen aan medewerker
Social proofVoorbeelden: andere collega's hebben ook aandelen gekocht in bedrijf
Liking, similarity and deceptionVoorbeelden: uitnodiging conferentie, speciale gelegenheid voor collega's met dezelfde functie, mogelijkheid om een goed doel te steunen
AuthorityVoorbeelden: vraag van de CEO, verzoek van manager
DistractionVoorbeelden: tijdsdruk om iets in te vullen, inlog op ander account
CuriosityVoorbeelden: nieuw bericht van collega, nieuwe arbeidsvoorwaarden, betere leaseregeling
|
|
| Content | Taal en tekst Meerdere keuzes: kies alles wat van toepassing is |
Voertaal binnen organisatie Foutloze tekst zonder typfouten Aanspreekvorm binnen organisatie (u, jij) Geen gebruik van extra speciale tekens en extra spaties |
| Design | Huisstijl van interne mail
Tekstopmaak en bijvoorbeeld handtekening komen overeen met gebruik binnen de organisatie Gekopieerde huisstijl
Herkenbare huisstijlHuisstijl is een kopie van originele organisatie Huisstijl bevat bijvoorbeeld logo en kleuren, maar is geen exacte kopie
Neutrale huisstijlHuisstijl is neutraal / aanvaller probeert zich niet voor te doen als een andere organisatie
Platte tekstEr is geen huisstijl of opmaak aanwezig
|
|
| Persoonlijke informatie | Slachtoffer wordt aangesproken met goede aanhef, voor- en/of achternaam Slachtoffer enkel wordt aangesproken met de juiste aanhef (heer / mevrouw) Email bevat persoonlijke informatie verkregen via social media Voorbeelden: woonplaats, geboortedatum
Email bevat persoonlijke informatie verkregen uit breach databasesVoorbeelden: gelekt wachtwoord, gelekt emailadres
Email is onpersoonlijk, kan naar iedereen / alle collega's verstuurd zijn
|
|
| Domeinnaam | Afzender | Emailadres is letterlijk het emailadres van een collega Door interne phishing is het emailaccount van een collega misbruikt
Emailadres is gespooft van eigen organisatie of bekende (relevante) instantieEmailadres is exact zoals deze van een collega of andere bekende entiteit door foute emailconfiguratie
Emailadres gebruikt verlopen domeinnaam van eigen organisatie of bekende (relevante) instantieEmailadres bevat een eerder gebruikte (bekende) naam
Emailadres gebruikt getyposquate naam van eigen organisatie of bekende (relevante) instantie als domeinnaamEmailadres is een variatie op een bekend emailadres, waarbij tekens weggelaten of vervangen zijn
Emailadres bevat eigen organisatienaam of van bekende (relevante) instantieEmailadres heeft bedrijfnaam in het domein staan. Voorbeeld: info@bedrijfsnaam-office.com
Emailadres lijkt van particulier (Gmail, Hotmail, etc)Voorbeelden: afzender vanuit Gmail of Hotmail
Emailadres lijkt random of vanuit irrelevante instantieVoorbeelden: price@flostracizedent.ru of gebruik domeinnaam van verlopen sneakerwebshop bij een email over Office 365 |
| URL naar phishingsite | URL is verlopen domein van eigen organisatie of bekende (relevante) instantie URL is eerder bezocht, maar domein is verlopen en opnieuw aangeschaft door aanvallers
URL is getyposquatte naam van eigen organisatie of bekende (relevante) instantieURL is een variatie op een bekende URL, waar tekens weggelaten of vervangen zijn
URL bevat eigen bedrijfsnaamURL bevat bedrijfsnaam. Voorbeeld: bedrijfsnaam-online.nl
URL lijkt van relevante/bekende organisatieVoorbeeld: URL bevat bijvoorbeeld het woord 'Microsoft' of 'Office'
URL lijkt van irrelevante/onbekende organisatieVoorbeeld: URL bevat bijvoorbeeld het woord 'sneakers', maar doet zich voor als office-organisatie
URL bevat naam hosterVoorbeelden: site is een Wixsite of gratis aangemaakte website
URL maakt gebruik van een linkverkorterserviceVoorbeelden: bit.ly, goo.gl
URL lijkt randomVoorbeeld: flostracizedent.ru
Geen URL maar IP-adresSlachtoffer wordt naar een IP-adres geleid in plaats van een domeinnaam
|
|
| Bijlage of download | Document | Office-document met macro (eventueel in RAR/ZIP-archive) Word- of Exceldocument met macro
Executable (eventueel in RAR/ZIP-archive)Executable zoals .exe of .dmg
|
| Veiligheid en vertrouwelijkheid | Emailsigning Wanneer dit uiteraard mogelijk is |
Email is gesigned Ontvangen email heeft sign-icoon staan bij de email. Let op: dit is uiteraard niet overal mogelijk.
Email is niet gesigned |
| SSL certificaat Aanrader om dit altijd te doen: er zijn bijna geen phishingacties meer zonder SSL |
Gebruik van een SSL-certificaat op website Website waar naar verwezen wordt bevat slotje / SSL-certificaat
Geen certificaat geinstalleerd op websiteWebsite waar naar verwezen wordt bevat geen slotje / SSL-certificaat |