Test de awareness van jouw medewerkers met social engineering

Tegenwoordig weet iedereen wat voor gevaren er verscholen gaan op internet. We weten wat phishing is en cryptoware is. We weten dat we geen bijlages moeten openen als we de afzender niet kennen en volgen geen links naar rare websites. Toch lukt het criminelen nog steeds om bij bedrijven in te breken. Dit komt omdat ze steeds slimmere technieken hebben om aan je gegevens te komen. Een beveiligingsprotocol is zo sterk als de zwakste schakel en meestal zijn dit je werknemers. Met een goed-getimed telefoontje kunnen internetoplichters gemakkelijk gegevens van jouw bedrijf ontfutselen. Met behulp van social engineering kun je je protocollen testen en de zwakke schakels zoeken.

Test je protocollen

Elk bedrijf heeft wel een beveiligingsprotocol. En zolang iedereen zich hier aan houdt, gaat het goed. Mensen doen bewust hun best om zich aan de regels te houden, maar onbewust trappen ze in de truukjes van oplichters.
Daarom is het nuttig om om de zoveel tijd je protocollen te testen. Bekijk hoe je werknemers in bepaalde situaties reageren en of zij de juiste tekens herkennen. Hiervoor kun je een aantal tests doen:

1. Toegang tot beveiligde ruimtes
2. Toegang tot netwerk-infrastructuur krijgen
3. Toegang tot vertrouwelijke gegevens
4. Verkrijgen van persoonlijke gegevens en log-in gegevens

Tests

Je kunt hiervoor een extern bedrijf inhuren die deze tests voor je uitvoert. Een betrouwbaar bedrijf doet deze tests zonder schade aan je bedrijf aan te richten. Als je de tests zelf uitvoert, kun je het beste de hulp van een ICT’er inschakelen.

1. De onbekende monteur
   Met deze test laat je een kennis die niet bekend is bij jouw werknemers langskomen. De kennis doet zich voor als monteur (het liefst natuurlijk in werkkleding) en vraagt toegang tot serverruimtes. Als de monteur niet bekend is bij je werknemers of zijn bezoek niet aangemeld zijn, en hij wordt binnengelaten, dan gaat daar iets niet goed.
2. Phishing mail
   Je kunt een phishing mail rondsturen naar werknemers. Stuur bijvoorbeeld een mail over een serverupdate, met een link naar een externe locatie, waar medewerkers hun login gegevens moeten achterlaten om aan te geven wanneer de update voor hun het beste uitkomt. Onderteken deze mail met de naam van het hoofd van de ICT afdeling zodat de mail echt lijkt. Als je een deadline stelt aan wanneer mensen hier kunnen inloggen, dan kun je op het moment van de deadline zien hoeveel mensen erin getrapt zijn.
3. Spear phishing
   Spear phishing richt zich op 1 persoon, in plaats van een groep. Je doet eerst een beetje onderzoek naar een werknemer via Facebook en andere sociale media kanalen. Zodra je gegevens hebt, ga je via mail of telefoon te werk en ontfutsel je gegevens.
4. USB sticks
   Met USB sticks kunnen nare grapjes worden uitgehaald. Er kunnen verschillende virussen en cryptoware op worden bewaard. Laat jouw ICT afdeling een programma maken en die koppelen aan een file. Dit programma verstuurt automatisch een email naar jouw email adres. De file zet je op een aantal USB sticks. Deze laat je uitdelen op de parkeerplaats en een aantal laat je in het bedrijf slingeren.
5. Gewoon bellen
   Bel met werknemers en bekijk of het gemakkelijk is om de ICT helpdesk wachtwoorden te laten resetten of andere werknemers eenvoudig geheime gegevens afgeven.

Noodzakelijke kwaad

Het is niet leuk om je werknemers voor de gek te houden. Ook niet om ze erin te luizen. Maar zie het als een noodzakelijk kwaad. Het belangrijkste aan social engineering is dat jij en werknemers begrijpen dat dit geen test is om hun integriteit te toetsen maar om voor hun duidelijk te maken hoe makkelijk het is om aan bedrijfsgegevens te komen. En het is voor jou belangrijk om te zien waar de pijnpunten zitten. Want een onbewuste medewerker kan de zwakste schakel zijn.