Wie herkent de phishingmails en weet meldprocessen juist te volgen?
In de Phishing Meldcompetitie leren alle medewerkers gedurende een maand experimenterend het herkennen en melden van phishing in een competitie.
Medewerkers aangespoord alle ontvangen e-mails te controleren op phishing aspecten (oefenen met herkennen) en krijgen vier keer de kans melding te doen (oefenen met melden). Door intensief aan de slag te gaan wordt klein gedrag ingesleten.
De meeste phishing tests draaien maar om één ding, het herkennen van een phishing mailtje en of je er vervolgens in trapt of niet. De focus ligt dan vooral op goed en fout en wordt nog te vaak ingezet als meetinstrument. Uiteindelijk behaal je met deze vorm van phishingtests helemaal niets, behalve een paar gekrenkte ego’s en misleidende getallen over de interne cybersecurity awareness.
De Phishing Meldcompetitie uitgelegd
Door middel van een gamified experience worden medewerkers vier weken lang geconfronteerd met verschillende phishing mails. Het traject wordt afgetrapt met een informatieve mail waarin phishing en het interne meldproces duidelijk uitgelegd worden. Vervolgens sturen we drie phishingmails die na verloop steeds complexer worden. Met elke mail is het de bedoeling dat deze gemeld wordt. In het begin attenderen we nog op het meldproces maar later willen we dat de medewerkers het meldproces zelf opstarten. Zodoende scannen de medewerkers vier weken lang hun mailbox actief op phishing, leren ze phishing herkennen, en sterker nog, doorlopen ze het interne meldproces vier keer. Niets geen goed of fout, maar een gedegen leerproces, waarin het gewenste gedrag (herkennen en melden) op den duur, intuïtief wordt.
Door het actief scannen van de mailbox en het herhaaldelijk doorlopen van het meldproces, slijt het veilige en dus gewenste gedrag in. In tegenstelling tot de klassieke phishing test, waarbij vaak onverwachts af en toe mailtje uitgestuurd wordt, bewerkstelligt de phishing train duurzame gedragsverandering. De absolute meerwaarde van de phishing train is dan ook dat iedere werknemer na afloop; phishing mails weet te herkennen en precies weet hoe het meldproces werkt en deze gebruikt bij verdachte e-mails.
Het spel aspect
Er ontstaat een speelse competitie waarbij we aan het einde van de competitie kijken welke afdeling er het meeste gemeld heeft. Dit zorgt voor dat extra beetje extrinsieke motivatie waarbij de werknemer met zijn of haar afdeling een taart of teamuitje (en ontzettend veel lof natuurlijk!) wil winnen en dus zal deelnemen. Geen droge of dorre teksten over de gevaren van phishing en hoe je deze hoort te melden via de wekelijkse nieuwsbrief, maar uitdagend en experimenterend leren.
Voorbeeld flow
In de phishing periode worden na een vooraankondiging vier phishing-e-mails gestuurd naar alle medewerkers. Elke phishing-e-mail heeft een eigen how-to video om het leren te versterken. De vier phishing-e-mails hebben als doel:
- Meldproces wordt uitgelegd en de mail dient gemeld te worden. Collega’s leren phishing-e-mails te melden en te verwijderen
- Een goed herkenbare phishing-e-mail inclusief how-to video over herkenningspunten
- De tweede phishing-e-mail van een gemiddeld niveau
- De laatste moeilijk te herkennen phishing-e-mail
Wat krijg je concreet?
Experimenterend leren over het herkennen en melden van phishing in een competitie.
- Kick-off workshop
- Opstellen phishing-e-mails en landingspagina’s
- Technische support bij instellen van whitelisting
- Communicatie middelen rondom de competitie
- Vergelijking van de resultaten ten opzichte van andere organisaties (benchmark)
- Eind rapportage van de resultaten