Maand van de cybersecurity

Hallo, ik ben Simon. Ik ben co-founder van OutKept. OutKept is een phishing simulatie platform. We helpen bedrijven om het bewustzijn over phishing te verhogen en op die manier cyberaanvallen via phishing te voorkomen. We doen dat op een speciale manier. We hebben een open community van ethische phishers die voor ons phishing mails maken. Het wordt wel eens vergeleken met bug bounty, maar dan voor phishing. Mensen maken phishing mails op ons platform, wij gebruiken die in de campagnes bij onze klanten om de mensen bewust te maken van phishing aanvallen in hun context.

We zijn met OutKept begonnen vanuit de overtuiging dat er qua kwaliteit in phishing simulaties veel ruimte voor verbetering was. Enerzijds omdat de complexiteit van veel phishing simulatie tools te groot was voor kleinere bedrijven en anderzijds omdat het budget dat daarvoor vereist is vaak te hoog is. Dus we wilden eigenlijk een tool maken die de kwaliteit van phishing simulaties verbetert, het bereikbaarder maakt voor mensen, zowel financieel als in opzet en gebruiksgemak.

Ons platform werkt als volgt: we hebben een community van ethische phishers die zich op ons platform aansluiten. Iedereen kan intekenen, mensen maken accounts en creëren phishing mails op ons platform. Ze geven ook aan voor wie die phishing mail bedoeld is. Wij nemen die mail en sturen die uit naar onze klanten. Natuurlijk passen we allerlei mechanismen toe die ervoor zorgen dat wat we uitsturen veilig en kwalitatief is. Als klanten op de phishing mail klikken, krijgen onze ethische phishers betaald, evenals experience points. Er zit ook een beetje gamification in: mensen proberen de ‘phisher van de maand’ te zijn en concurreren met elkaar. We hebben die logica afgekeken van een speler als Intigriti, die dat doet voor ethical hacking. Dus wordt de vergelijking soms gemaakt: ethical phishing, bug bounty voor phishing met een open community model.

Het technische platform is bedoeld om content van onbekenden aan te nemen, zoals phishing mails zonder onveilige bijlagen. Links naar websites moeten betrouwbaar zijn, zodat de ervaring die we leveren aan onze eindgebruikers veilig is. Wanneer iemand bijvoorbeeld zijn of haar wachtwoord invult op een website, komt dat niet bij de ethische phisher terecht, maar kunnen we wel registreren of iemand in de phishing aanval is getrapt.

Er is natuurlijk ook een educatief aspect. Als iemand interactie heeft met een phishing mail, zoals erop klikken of gegevens invullen, krijgt die persoon een tip te zien over hoe dit in de toekomst te vermijden. Op die manier stimuleren we de leerervaring: mensen krijgen phishing mails, reageren daarop en krijgen dan tips en feedback.

We hebben klanten in allerlei industrieën en van diverse grootordes. De kleinste klant heeft vier werknemers en de grootste meer dan tienduizend. Dit toont aan dat ons platform nuttig is voor bedrijven van verschillende soorten. Uiteraard is een vereiste dat mensen een e-mailadres hebben, maar we zien recent steeds meer interesse van sectoren die vroeger weinig in cybersecurity investeerden. Onlangs hebben we meer dan honderd bouwbedrijven aangesloten op ons platform, een sector die historisch gezien minder interesse had in dit soort producten.

Het OutKept platform is geschikt voor kleine bedrijven omdat het vrij eenvoudig op te zetten is, ofwel door de IT-verantwoordelijke van het bedrijf of door een IT-partner. Tegenwoordig wordt veel IT uitbesteed, en het is nuttig om samen de resultaten door te nemen. Het voordeel voor een klein bedrijf is dat zelfs zonder interne IT-expertise, de resultaten eenvoudig te zien zijn via het dashboard. Bedrijven waar iemand van het secretariaat of HR de campagne beheert, vinden ons platform toegankelijk en gebruiksvriendelijk, ook voor niet-IT-profielen.

Onze community groeit organisch. Steeds meer ethische phishers sluiten zich aan via mond-aan-mondreclame onder jongeren die bounties verdienen door phishing mails te maken. We krijgen elke dag nieuwe mails binnen, of zoals we het lachend zeggen: “alle dagen verse vis.” Dat zorgt ervoor dat we een continue stroom aan phishing mails hebben, wat een belangrijk verschil is met andere phishing simulatieplatformen. Als er iets actueels gebeurt, zoals een storm, springt onze community daarop in, net zoals echte cybercriminelen dat doen.

Onze ethische phishers komen uit diverse achtergronden, zoals IT, marketing, psychologie, en cyberagenten. Ik ben ook trots te kunnen zeggen dat we een divers publiek hebben, qua gender bijvoorbeeld, met zowel mannen als vrouwen. De ranking van de top phishers van de maand wordt regelmatig door een vrouwelijke ethische phisher geleid, wat onze diversiteit onderstreept.

Het platform is eenvoudig te gebruiken, zelfs voor mensen zonder IT-achtergrond. Iedereen kan phishing mails maken op basis van een tekstveld of HTML code. Je hoeft geen code te kunnen schrijven om phishing mails te maken. Sterker nog, veel van de succesvolle phishing mails zijn vrij eenvoudig opgesteld.

Een phishing campagne starten met OutKept is simpel. Nadat alles is opgezet, verloopt de campagne automatisch. Dit is een groot verschil met andere tools waarbij je zelf de mails moet maken en uitsturen. Bij ons gaat het anders: de mails worden op verschillende momenten en met diverse content verstuurd. Zo kunnen we realistischere en relevantere campagnes bieden. Bedrijven kunnen de frequentie van de phishing mails zelf bepalen, waarna het platform de rest automatisch regelt. Hierdoor is het ook voor een KMO met beperkte IT-middelen mogelijk om een effectieve phishing simulatiecampagne te draaien zonder er zelf veel tijd aan kwijt te zijn.

Ik denk dat phishing preventie vooral gaat over het onderhouden van alertheid. We zien dat na een training het effect snel verdwijnt. Wetenschappelijke studies tonen dit ook aan. Daarom moeten we afstappen van de illusie dat een eenmalige training genoeg is. Het gaat om het creëren van reflexen en nudging, zodat mensen alert blijven, ook wanneer ze minder aandachtig zijn, bijvoorbeeld op maandagochtend voordat ze hun koffie hebben gehad.