Red team phishing: verder dan een standaard phishing-test
De standaard phishing-test is niet genoeg
De meeste security-bedrijven sturen een generieke phishing-mail naar uw medewerkers, meten wie klikt, en leveren een rapport af. Dat is nuttig als basismeting, maar het weerspiegelt niet hoe een echte aanvaller te werk gaat.
Een echte aanvaller:
- Doet weken aan OSINT voordat hij één bericht stuurt
- Weet de namen, functies, hobby’s en telefoonnummers van uw medewerkers
- Gebruikt niet alleen e-mail, maar ook WhatsApp, Teams, telefoon en sms
- Omzeilt uw spamfilter, uw MFA en uw conditional access policies
- Stopt niet bij een klik, hij wil toegang tot uw omgeving
Bij EHGI simuleren wij deze complete aanvalsketen. Wij noemen dit een red team phishing assessment.
Fase 1: OSINT - uw medewerkers in kaart
Voordat wij één bericht versturen, beginnen wij met uitgebreide open source intelligence (OSINT):
- E-mailadressen - Welke format gebruikt uw organisatie? voornaam.achternaam@bedrijf.nl? Wij vinden ze.
- Telefoonnummers - Via LinkedIn, registraties, datalekken en sociale media
- Persoonlijke details - Functies, afdelingen, hobby’s, recente vakanties, social media activiteit
- Technische footprint - Welke mailprovider, welke spamfilter, welke MFA-methode
- Leveranciers en partners - Wie mailt er regelmatig met uw medewerkers?
Deze informatie gebruiken wij om gerichte scenario’s te ontwikkelen die vrijwel niet van echt te onderscheiden zijn.
Fase 2: Multi-channel aanval
E-mail phishing met spamfilter bypass
Wij versturen geen mails via standaard phishing-platformen die elke spamfilter herkent. Wij:
- Registreren lookalike domeinen die lijken op uw leveranciers of interne systemen
- Configureren SPF, DKIM en DMARC correct op onze domeinen, zodat uw mailserver ze vertrouwt
- Bouwen custom phishing-pagina’s die pixel-perfect lijken op uw Microsoft 365 loginpagina, VPN portal of intranet
WhatsApp & SMS (smishing)
Steeds meer zakelijke communicatie verloopt via WhatsApp. Wij testen of uw medewerkers ook via dit kanaal kwetsbaar zijn:
- Berichten die lijken te komen van een collega of manager
- Links naar credential harvesting pagina’s
- Urgente verzoeken (“Kun je even snel dit goedkeuren?”)
Vishing (telefonisch)
Wij bellen uw medewerkers op met een geloofwaardig verhaal:
- “IT helpdesk” die om inloggegevens vraagt vanwege een “beveiligingsincident”
- “Leverancier” die een factuur wil verifiëren
- “Collega” die dringend toegang nodig heeft
Vishing is vaak effectiever dan e-mail omdat mensen minder snel nee zeggen aan een stem.
Fase 3: MFA-bypass via Adversary-in-the-Middle (AitM)
De meeste organisaties denken dat MFA ze beschermt tegen phishing. Dat is een gevaarlijke aanname.
Wij gebruiken technieken als Evilginx om een Adversary-in-the-Middle (AitM) aanval uit te voeren:
- Het slachtoffer klikt op onze phishing-link
- Onze server fungeert als transparante proxy tussen het slachtoffer en de echte Microsoft 365 loginpagina
- Het slachtoffer logt normaal in, inclusief MFA
- Wij onderscheppen de sessie-token, niet het wachtwoord, maar de actieve sessie
- Met deze token hebben wij directe toegang tot het account, zonder dat MFA opnieuw nodig is
Dit is exact hoe criminele groepen als Storm-1567 en Midnight Blizzard opereren. Als uw security-partner dit niet test, test u niet tegen de echte dreiging.
Fase 4: Post-exploitation (optioneel)
Na succesvolle toegang kunnen wij, in overleg, verder gaan:
- Mailbox access - Welke gevoelige informatie staat in e-mail?
- Token harvesting - Toegang tot SharePoint, OneDrive, Teams
- Privilege escalation in Azure/Entra ID - Van standaard gebruiker naar Global Admin
- Lateral movement - Toegang tot interne systemen via het gecompromitteerde account
Dit geeft u een compleet beeld van de impact van één succesvolle phishing-aanval.
Wat meten wij?
| Metric | Wat het betekent |
|---|---|
| Open rate | Hoeveel medewerkers openen het bericht? |
| Click rate | Hoeveel klikken op de link? |
| Submit rate | Hoeveel vullen gegevens in? |
| MFA bypass rate | Hoeveel sessies konden wij overnemen ondanks MFA? |
| Report rate | Hoeveel melden het bij IT/security? |
| Vishing success rate | Hoeveel gaven informatie prijs via de telefoon? |
De report rate is de belangrijkste metric. U wilt dat medewerkers verdachte communicatie melden, ongeacht het kanaal.
Wat kunt u verwachten bij een eerste test?
Bij een eerste red team phishing assessment zien wij doorgaans:
| Metric | Gemiddeld (eerste test) | Doel (na training) |
|---|---|---|
| E-mail click rate | 20-35% | <5% |
| Submit rate | 10-20% | <2% |
| MFA bypass rate | 80-90% van submits | Conditional access hardening |
| Report rate | 5-10% | >50% |
| Vishing success | 30-50% | <10% |
Veelgestelde vragen
“Is MFA dan waardeloos?”
Nee. MFA stopt het overgrote deel van geautomatiseerde aanvallen. Maar tegen een gerichte AitM-aanval is standaard MFA niet voldoende. Wij adviseren na de test over maatregelen als FIDO2 hardware keys, conditional access policies en token binding.
“Is dit niet te agressief?”
Alles wordt vooraf afgestemd met uw management. Wij opereren binnen duidelijke scope-afspraken en Rules of Engagement. Het doel is inzicht, niet chaos.
“Hoe vaak moeten wij testen?”
Wij adviseren minimaal 2x per jaar. Eén test is een snapshot. Regelmatig testen laat zien of uw awareness-programma en technische maatregelen daadwerkelijk effect hebben.
“Wat als de resultaten slecht zijn?”
Dan weet u tenminste waar u staat. Slechte resultaten bij een gecontroleerde test zijn oneindig beter dan slechte resultaten bij een echte aanval door een criminele groep.
De kosten van niets doen
Een succesvolle phishing-aanval kan leiden tot:
- Ransomware - Gemiddelde schade: €270.000 voor een Nederlands bedrijf
- Business Email Compromise - Frauduleuze betalingen van tienduizenden euro’s
- Datalekken - Meldplicht bij de Autoriteit Persoonsgegevens, reputatieschade, mogelijke boetes
- Volledige Azure/M365 compromise - Toegang tot alle bedrijfsdata via één gecompromitteerd account
Een red team phishing assessment laat zien of uw organisatie dit zou overleven.
Conclusie
Een standaard phishing-test meet of uw medewerkers op een link klikken. Een red team phishing assessment laat zien wat er daarna gebeurt, en dat is waar de echte schade zit.
Wilt u weten hoe uw organisatie scoort tegen een realistische aanval? Plan een vrijblijvend gesprek. Wij bespreken welk scenario het meest relevant is voor uw situatie.
Wilt u weten hoe kwetsbaar uw organisatie is?
Plan een vrijblijvend gesprek. Wij brengen alvast uw externe aanvalsoppervlak in kaart.