Phishing is de nummer een cyberdreiging voor het MKB. Maar veel security awareness-programma’s missen hun doel. In dit artikel delen we praktijklessen uit het veld: wat maakt een phishing-simulatie echt effectief?
Elke mkb-ondernemer kent het gevoel: je investeert in cybersecurity, je draait phishing-simulaties, en toch klikt er weer iemand op die ene échte link. Frustrerend? Zeker. Maar het probleem zit vaak niet bij de medewerker — het zit in de simulatie en de trainingen zelf.
Bij Lupasafe werken we dagelijks met MSP’s en hun mkb-klanten aan security awareness. We zien daarbij een aantal veelvoorkomende valkuilen die het verschil maken tussen een phishing-test die medewerkers echt iets leert, en eentje die in de kantine belandt als kantoorhumor.
De simulatie moet kloppen met de werkelijkheid
Een van de fouten bij phishing-simulaties is dat de techniek niet aansluit bij de inhoud. Stel: een medewerker krijgt een e-mail over een nieuw document op SharePoint. Hij klikt op de link en komt terecht op een Microsoft-inlogpagina. Logisch, toch? Niet als die medewerker al automatisch is ingelogd op SharePoint via zijn browser. Dan voelt die extra inlogstap meteen vreemd aan — niet vanwege security awareness, maar omdat het simpelweg niet klopt met de dagelijkse werkelijkheid.
Effectieve simulaties sluiten naadloos aan op hoe medewerkers daadwerkelijk werken.
Een phishing-aanpak past niet op elke afdeling
De financiele afdeling ontvangt andere e-mails dan marketing. Een factuurverzoek is voor finance heel geloofwaardig, terwijl een uitnodiging om een LinkedIn-post te liken beter past bij het communicatieteam. Toch krijgen in veel organisaties alle medewerkers dezelfde generieke phishing-test.
Door simulaties af te stemmen op de afdeling — en zelfs op de rol — verhoog je niet alleen de realiteitszin, maar ook het leereffect. Een HR-medewerker die een nep-sollicitatie ontvangt leert meer dan wanneer diezelfde persoon een generieke “uw pakketje is onderweg”-mail krijgt.
De afzender maakt het verschil
Echte phishing-aanvallen komen steeds vaker van bekende afzenders. Criminelen hacken de mailserver van een vertrouwde leverancier en sturen van daaruit phishing-mails naar hun contacten. Het slachtoffer denkt: “Dit is een partner waar we altijd mee werken, dus het is veilig.”
Precies daarom is het waardevol om ook (de juiste) interne afzenders te simuleren. Niet om collega’s te betrappen, maar om hen te leren dat zelfs bekende namen geen garantie zijn. Een e-mail van “iemand van marketing” met het verzoek om een post te liken voelt heel anders dan een bericht van een onbekend bedrijf — en juist die mails zijn het gevaarlijkst.
Veilige links bestaan niet
Een veelgehoord argument: “Ik check altijd of een link veilig is.” Maar wat betekent dat eigenlijk? Als een aanvaller vanochtend een schoon domein heeft overgenomen en daar een phishing-campagne op loslaat, dan is dat domein op dat moment technisch gezien veilig. Geen enkele virusscanner of URL-checker heeft het nog gemarkeerd.
Het kan dagen duren voordat een kwaadaardig domein wordt opgepikt door beveiligingstools. Criminelen maken hier bewust gebruik van — een soort zero-day aanval, maar dan op domeinniveau. Daarom is de boodschap voor medewerkers niet “check of de link veilig is,” maar: “Verwacht je deze e-mail? Verwacht je deze link? Zo nee, klik niet.”
Maak melden makkelijker dan klikken
De meeste medewerkers zijn geen security-experts, en dat hoeft ook niet. Wat je wel wilt bereiken is een cultuur waarin melden de standaard is. Twee simpele checks die elke medewerker kan leren:
Check 1: Is dit een externe afzender? Veel mailsystemen tonen een banner bij externe e-mails. Dat is de eerste verdedigingslinie.
Check 2: Wordt er gevraagd om ergens op te klikken of in te loggen? Als het antwoord ja is bij een onverwachte mail, dan is melden de juiste actie.
Maak de drempel om te melden zo laag mogelijk. Liever tien valse meldingen dan een gemiste phishing-aanval. Een medewerker die een legitieme e-mail meldt, verdient een compliment — geen zucht.
Phishing evolueert — uw simulaties ook?
Aanvallers worden steeds creatiever. Een recent voorbeeld: criminelen maken via Apple een account aan op iemands naam, vragen een wachtwoordreset aan, en vullen in het wachtwoordveld een phishing-bericht in. Het slachtoffer ontvangt vervolgens een volledig legitieme e-mail van Apple — met daarin de phishing-tekst. Vrijwel onmogelijk te onderscheiden van een echte mail, want het is een echte mail.
Dit soort technieken laat zien dat security awareness geen eenmalig project is. Het is een doorlopend programma dat meegroeit met de dreigingen. Jaarlijks een phishing-test versturen is als een keer per jaar een brandoefening doen en verwachten dat iedereen bij een echte brand precies weet wat te doen.
Wat betekent dit voor MSP’s?
Als MSP bent u de eerste verdedigingslinie voor uw klanten. Een goed security awareness-programma onderscheidt u van concurrenten en verlaagt het risico op incidenten bij uw klantbase. Waar moet u op letten?
• Relevantie boven volume. Liever vier gerichte, realistische phishing-simulaties per jaar dan twaalf generieke tests die niemand serieus neemt.
• Segmentatie. Bied uw klanten de mogelijkheid om per afdeling of rol te testen. Finance krijgt factuur-phishing, HR krijgt sollicitatie-phishing, management krijgt CEO-fraude-simulaties.
• Continue verbetering. Gebruik de resultaten van elke campagne om de volgende te verbeteren. Welke afdeling scoort goed? Waar zit het risico? Dat zijn de gesprekken die u als MSP met uw klant wilt voeren.
• Compliance als driver. Met NIS-2 en de toenemende eisen rondom cybersecurity is security awareness niet langer optioneel. Het is een vereiste — en een kans om uw dienstverlening uit te breiden.
Lupasafe biedt MSP’s een compleet white-label platform voor security awareness, phishing-simulaties en NIS-2 compliance. Wilt u weten hoe u uw klanten beter kunt beschermen? Neem contact met ons op voor een demo.
