Na het succes van ons eerste community-evenement in 2023 was het tijd dit naar een hoger niveau te tillen.
Samen met IT-dienstverlener Cronos Security organiseerden we de allereerste live phishing hackathon, beter bekend als Phishathon. Dit evenement was volledig gericht op phishing en vroeg de deelnemers om hun meest creatieve en sluwe tactieken te tonen in drie uitdagingen, waarbij slechts één als winnaar uit de bus kwam.
In deze blog duiken we in het evenement, lichten we de belangrijkste deelnemers uit, bespreken we de uitdagingen en kijken we naar de impact die het event had!
Voor de eerste uitdaging van de Phishathon hebben we samengewerkt met Cronos Security en UZ Leuven om een spearphishingcampagne te lanceren. Onze ethische phishers en deelnemers kregen een briefing over het doelwit, samen met nuttige informatie voor het opstellen van hun phishing-e-mails. Gewapend met deze gegevens voerden de deelnemers verder onderzoek uit en verstuurden een reeks diverse en gerichte e-mails naar de IT-afdeling van UZ Leuven.
De campagne zorgde al snel voor enkele reacties, met heel wat interacties en zelfs enkele medewerkers die log-in informatie meegaven.
“De e-mails hebben nogal wat ophef veroorzaakt binnen onze organisatie, maar dan op een positieve manier natuurlijk.” - Thomas Noppe | UZ Leuven
Top phisher van het jaar, Michiel, won deze uitdaging door het hoogste aantal klikken op de links in zijn e-mails te verzamelen. Zijn social engineering e-mail, die de communicatiestijl binnen de organisatie (toevallig) nauw nabootste, bleek de winnende strategie te zijn.
A.I.-tools zetten de samenleving, inclusief cyberbeveiliging, op zijn kop. Dit was de focus van onze tweede uitdaging. De deelnemers moesten relevante phishing-e-mails genereren die gericht waren op verschillende sectoren, zoals de bouw, de scheepvaart en de wetenschap. Voor het opstellen van hun phishing-e-mails maakten ze gebruik van AI-tools zoals ChatGPT-4 en Gemini.
In groep hadden de deelnemers tien minuten om hun e-mails op te stellen. De resultaten waren divers, maar niet altijd overtuigend, wat de blijvende waarde van de menselijke touch in phishing en cybersecurity sterk benadrukte.
De deskundige jury, bestaande uit Jonas Buyle van Cronos Security, Dieter Tinel van OutKept en Thomas Noppe van UZ Leuven, beoordeelde alle inzendingen. Na zorgvuldige overweging ging de prijs voor deze uitdaging naar cybersecurity professional Noa met zijn phishing-e-mail die succesvol multi-factor authenticatie (MFA) ging gaan omzeilen.
Ben je ooit gebeld door een phisher? Iemand die zich voordeed als je bank, een bekende software of je baas? Met onze laatste uitdaging wilden we de vishing (telefoon phishing) onder de aandacht brengen en vroegen we onze community om een speciaal doelwit op te bellen.
Geleid door een geheim document kreeg elke groep hun doelwit en hadden ze 10 minuten om hun vishing-scenario voor te bereiden. Na de voorbereiding, waarbij ze bepaalden hoe ze het gesprek zouden benaderen, kregen ze het telefoonnummer van het doelwit.
Beide groepen benaderden het gesprek heel verschillend en met de eerste plaats nog binnen bereik, stond alles op het spel. De éné groep hield zich aan hun voorbereide strategieën terwijl anderen improviseerden. Uiteindelijk won één team met hun phishing-scenario die volledig was afgestemd op hun doelwit.
Naarmate het evenement ten einde liep, moest onze jury de winnaar bepalen op basis van de prestaties in alle drie de uitdagingen.
De juryleden Thomas Noppe (UZ Leuven), Jonas Buyle (Cronos Security) en Dieter Tinel (OutKept) kende de hoofdprijs toe aan ethische phisher Noa (Pixl), met Michiel (IT-Strategie) als runner-up.
Beide deelnemers overtuigde de juryleden met hun IT en cybersecurity vaardigheden door effectieve en innovatieve phishingcampagnes te lanceren.
Noa maakte indruk met zijn social engineering vaardigheden in de vishing-uitdaging en toonde aan hoe MFA kan worden omzeild met de juiste aanpak. Michiel liet zijn spear-phishingvaardigheden zien in de eerste uitdaging en behaalde aanzienlijke interacties en beloningen.
We sloten de avond af met feestelijke pizza en drankjes, blij met het succes van onze eerste Phishathon. Het evenement was een groot succes en we kunnen niet wachten om te zien wat het volgende jaar brengt. It’s safe to say: we phished a ton!
Benieuwd naar onze Phishathon? Bekijk de aftermovie 👇
Onze blog is jouw go-to bron voor alles over phishing en cybersecurity! Lees hier de laatste nieuwtjes en opiniestukken over deze onderwerpen.
Ons ethische phishing simulatie platform is een absolute game changer voor je cyber security aanbod, waarmee je klanten alert houdt tegen evoluerende phishing bedreigingen.
Met de hele open gemeenschap van ethische phishers van OutKept aan je zijde, kun je nu phishing simulaties uitbreiden naar elke organisatie in je portfolio. Speel in op de groeiende vraag, wijs geen preventie verzoeken meer af van kleinere organisaties, creëer mogelijkheden voor aanvullende diensten, producten of ondersteuning, en blijf op de hoogte met regelmatige impactbeoordelingen.
.png){kind=logo}
