Logo

Home

Wat wij doen

Over ons

Stories

Werken bij

Great Place To Work

Eco Moyo

Contact

Hero image

Phishing simulaties, handig, maar wat zegt het over risico’s?

Inzicht - 6 maart 2026

Great place to work
iconTerug naar alle stories

Helaas zie ik dat sommige organisaties hun weerbaarheid van mailboxen meten aan de hand van één kengetal: de klikratio bij gesimuleerde phishingmails. Een lage klikratio wordt al snel geïnterpreteerd als bewijs dat het risico op account takeovers onder controle is. Wanneer een organisatie iets uitgebreider rapporteert, wordt er ook nog gekeken naar wat er na de klik gebeurt. In dit geval wordt er gekeken of phishing mails worden gemeld en of er inloggegevens op een landingspagina zijn ingevoerd. Er zijn dan ook verschillende producten op de markt die deze gegevens met een paar drukken op de knop voor je verzamelen en in mooie grafieken plaatsen.

Het is discutabel om een risico (kans maal impact) te baseren op alleen deze getallen. Want wat zeggen deze cijfers nou eigenlijk daadwerkelijk over de kans en impact bij een incident? Er wordt hier immers alleen een meting gedaan op menselijk gedrag. Niet op de gevolgen van dit gedrag. Ook wordt hierbij niet gekeken naar andere ingangen die een aanvaller kan hebben.

Door een vertekend beeld van deze cijfers kan een organisatie technische oplossingen overslaan die de kans op of impact van account takeovers verkleinen. En dit terwijl veel van deze oplossingen relatief eenvoudig te implementeren zijn en ook andere risico’s kunnen verkleinen.

Phishing is maar één mogelijke ingang

Klikgedrag zegt alleen iets over het percentage van medewerkers die niet goed opletten en hierdoor malware binnenhalen of inloggegevens compromitteren. Gezien er maar één medewerker hoeft te zijn die niet goed op zit te letten, blijft deze kans altijd aanwezig. Hoewel phishing in de meeste gevallen grondslag geeft aan succesvolle aanvallen, zijn er meerdere wegen die naar Rome leiden. Hiernaast is het juist de impact van een incident waar (C)ISO’s zich zorgen over maken. In het geval van e-mail security begint de ellende pas op het moment dat iemand binnen is. Mailboxen worden geplunderd met veelal jaren aan gevoelige gegevens. Ook kunnen ze worden gebruikt om toegang te verkrijgen tot andere applicaties door ze te gebruiken om wachtwoorden te vervangen of de identiteit van de medewerker te misbruiken.

Veel organisaties hebben dan ook Multi Factor Authentication (MFA) voor toegang tot de werkomgeving in de Cloud geïmplementeerd. Deze maatregel verkleint de kans op account takeovers met gebruik van phishing of credential mining aanzienlijk. Toch zijn er voldoende mogelijkheden om een werkomgeving in de Cloud te benaderen waarbij MFA wordt overgeslagen. Een paar voorbeelden hiervan zijn token theft, legacy authenticatie of autorisatie misbruik. Het is dan ook belangrijk om een gelaagde aanpak toe te passen om de email security ook echt onder controle te krijgen.

De gelaagde aanpak

Kort samengevat omvat een gelaagde aanpak (defense in depth) voor e-mailbeveiliging meerdere lagen, verdeeld over drie categorieën.  “preventie”, “detectie en herstel”, en “beperking van impact”. Deze lagen versterken elkaar en gaan ervan uit dat geen enkele preventieve maatregel waterdicht is. Vaak gebruik ik de metafoor van een plakje kaas om dit uit te leggen. Hierbij zitten de gaten in de kaas niet steeds op dezelfde plek. Individueel kunnen ze dus veel door laten maar op elkaar gestapeld houden ze veel meer tegen.

Preventie richt zich op het verkleinen van de kans dat een aanval slaagt. Voorbeelden hiervan zijn phishing-simulaties, security awareness, het geautomatiseerd herkennen en blokkeren van phishing en het toepassen van MFA. Deze maatregelen zijn belangrijk, maar beperken zich tot het voorkomen van initiële toegang.

Preventie richt zich op het verkleinen van de kans dat een aanval slaagt. Voorbeelden hiervan zijn phishing-simulaties, security awareness, het geautomatiseerd herkennen en blokkeren van phishing en het toepassen van MFA.

Daarnaast zijn er verschillende technische maatregelen die preventief kunnen werken. Denk aan:

  • E-mail authenticatie (SPF, DKIM en DMARC) om onder andere spoofing tegen te gaan;
  • Geavanceerde e-mailfiltering met sandboxing;
  • URL-controles en het blokkeren van bekende malafide domeinen of domeinen die jonger zijn dan 90 dagen.

Deze maatregelen versterken de eerste verdedigingslaag, maar ook hier geldt dat geen enkele oplossing volledige bescherming biedt. Daarom blijft het noodzakelijk om naast preventie ook aandacht te hebben voor de andere twee lagen.

Detectie en herstel zijn gericht op het zo snel mogelijk herkennen van misbruik en het herstellen van de situatie voordat de schade toeneemt. Organisaties met een meer volwassen informatiebeveiliging beschikken vaak over een SOC of enige vorm van basis monitoring en alerting op afwijkend gedrag. Hierbij kan een organisatie verdacht gedrag op basis van indicatoren eerder detecteren. Denk hierbij aan ongebruikelijke mailbox regels, verdachte inlogpatronen of afwijkend datagebruik. Hoe sneller een inbreuk wordt herkend, hoe groter de kans dat verdere schade kan worden voorkomen.

Beperking van impact (containment) richt zich op het structureel beperken van de schade wanneer een aanvaller toch toegang weet te krijgen. Deze maatregelen zijn niet pas relevant na detectie, maar moeten vooraf en continu zijn ingericht. Denk aan het beperken van toegang tot gevoelige data, het afsluiten van reset-methoden die uitsluitend op e-mail zijn gebaseerd en het beperken van mogelijkheden voor laterale beweging binnen de omgeving.

In de praktijk zijn veel organisaties redelijk ingericht op preventie en, in toenemende mate, ook op detectie en herstel. De structurele beheersing van impact krijgt echter vaak minder aandacht, terwijl juist deze laag bepalend is voor de uiteindelijke ernst van een e-mail security-incident.

Voorkomen, detectie en herstel

Eerder in dit artikel beschreef ik dat de beperking van de impact over het algemeen de minste aandacht krijgt. Toch begin ik nog even over de eerste twee lagen. Hierin zie ik een paar veel voorkomende valkuilen.

Veel kleinere organisaties die nog wat stappen te nemen hebben, zien vaak niet dat ze vrij eenvoudig een basis monitoring kunnen instellen. Denk hierbij aan alerts bij het instellen van een regel in de mailbox die alle mail doorstuurt naar een extern adres. Massale downloads of andere verdachte gedragingen. Niet alle organisaties zijn zich ervan bewust dat deze tools inbegrepen kunnen zijn met hun huidige licenties en laten hierdoor kansen liggen.

Verder zijn best practices onwijs belangrijk. Eerder sprak ik al van een paar mogelijkheden om MFA te omzeilen. Dikwijls worden deze over het hoofd gezien. Zo kan bij token theft de window of opportunity worden verkleind door de geldigheidsduur van session tokens te verkorten. Legacy authenticatie risico’s kunnen worden verkleind door verouderde authenticatie mogelijkheden als IMAP en POP uit te schakelen. Daarnaast kan autorisatie misbruik worden tegengegaan door de toegang tot gegevens uit een mailbox door externe applicaties of plug-ins te beperken.

Beperking van de impact

Organisaties kunnen verschillende dingen doen om de impact van een email security incident te verkleinen. Natuurlijk is dit afhankelijk van verschillende factoren die per medewerker kunnen verschillen. Hier zijn een aantal voorbeelden die organisatie kunnen toepassen om de schade te beperken:

  • Beperk de hoeveelheid en gevoeligheid van data in mailboxen. Zorg ervoor dat belangrijke gegevens als financiële rapportages of klantenbestanden niet in de rondte hoeven te worden gemaild. Dit kan bijvoorbeeld worden bereikt door deze gegevens goed toegankelijk te maken in andere applicaties met role based access management (RBAC). Uiteraard zou deze maatregel kunnen worden versterkt door dit onderwerp aan te halen in awareness sessies, oude mails automatisch te verwijderen. Ook kan het helpen om informatie te classificeren, labels toe te passen en op basis van deze labels een data loss prevention (DLP) systeem in te richten.
  • Voorkom laterale beweging via wachtwoord herstelprocessen. Door wachtwoord reset-e-mails te beveiligen met een aanvullende MFA-stap, wordt voorkomen dat toegang tot een mailbox direct kan worden misbruikt om accounts over te nemen.

Wat kan er dan weel worden meegenomen in een risico-inventarisatie?

Concluderend is er dus veel meer om rekening mee te houden wanneer je de risico’s van e-mailsecurity goed in kaart wilt brengen. Klikratio’s kunnen iets zeggen over de kans, maar houd hierbij ook rekening met maatregelen zoals MFA en andere mogelijke ingangen die een aanvaller kan benutten.

Voor de impact van een incident kan je rekening houden met de volgende factoren:

  • Bruikbaarheid van een mailbox: Hoeveel (gevoelige) informatie kan er zonder extra verificatie worden buitgemaakt?
  • Laterale bewegingsmogelijkheden: Hoeveel en welke (cruciale) applicaties kunnen worden benaderd met gebruik van een wachtwoord reset waarbij alleen mail als extra factor wordt gebruikt voor authenticatie?
  • Tijd tot beheersing: Hoeveel tijd zou het realistisch gezien kosten om een aanvaller te detecteren en buiten te sluiten?