OutKept-founders Dieter Tinel en Simon Bauwens

Phishing mails vinden steeds vaker hun weg naar de mailbox van werknemers. Er is slechts één persoon nodig die zich laat vangen en het kwaad is geschied: rekeningen worden leeggeplunderd, informatie gelekt of social media-accounts misbruikt voor identiteitsfraude. De Gentse start-up OutKept werkt - als enige bedrijf ter wereld- met ethische phishers om realistische simulatietrainingen uit te voeren bij organisaties. “Hoewel mensen de zwakste schakel zijn, zijn zij tegelijk ook de beste bescherming tegen phishing”, vertellen de twee founders in een interview met Bloovi.

Simon Bauwens en Dieter Tinel richtten hun eigen bedrijf op in het begin van de eerste coronapandemie. We schrijven 2020. “We ontmoetten elkaar voor het eerst tijdens een webinar. We waren allebei op zoek naar een co-founder en wilden ons verder verdiepen in phishing en cybersecurity, in combinatie met de kracht van een community. Uit een samenvloeiing van een drietal ideeën ontstond OutKept”, doet Bauwens het verhaal.

De SaaS start-up is het eerste bedrijf ter wereld dat op schaal samenwerkt met een community van ethische phishers. De doorlopende phishing simulaties brengen inzicht in het risico en trainen mensen voortdurend om potentiële bedreigingen te herkennen. “Aan de hand van trainingen en simulaties helpen wij organisaties bewust te maken van het potentieel gevaar van phishing”, verduidelijkt Tinel.

Oprichters Simon Bauwens en Dieter Tinel

Mensen vormen grootste veiligheidsrisico

Ieder bedrijf is een potentieel doelwit van phishing. De meeste werknemers denken dat firewalls of cyberbeveiligingsoftware voldoende zijn om hackers te ontmoedigen. Niets is minder waar. Software vormt een barrière, maar voorkomt niet alle aanvallen. De phishing aanvallen nemen toe. Niet alleen in frequentie, maar ook in ernst. Als slechts één persoon een fout maakt, kan dit leiden tot desastreuze gevolgen.

De phishing simulaties helpen organisaties op drie manieren, legt Tinel uit. “Ten eerste verhogen ze het algemene bewustzijn. Als mensen op landingspagina’s klikken, krijgen ze educatieve content rond phishing te zien. Ten tweede zorgen ze ervoor dat mensen te allen tijde alert blijven. Phishing kan immers op ieder moment voorkomen. Zo worden de juiste reflexen gecreëerd om phishing mails tegen te houden. En ten derde zorgt het voor herkenbaarheid van specifieke content. Hoe vaker je verschillende phishing mails ziet, hoe sneller het mechanisme wordt opgebouwd.”

Hoewel mensen de zwakste schakel zijn, zijn zij tegelijk ook de beste bescherming tegen phishing

Het is zoals de straat oversteken, pikt Bauwens in. “Je leert als kind dat je eerst eens links en rechts moet kijken vooraleer je oversteekt. Bij alertheid rond phishing is dit net hetzelfde. Door de simulaties wordt een automatische reflex aangeleerd. We spreken over het alerter maken bij organisaties, maar bij uitbreiding ook bij mensen thuis. Als werknemers op het werk leren alert te zijn, zullen ze dat thuis ook doen. Confidentiële informatie wordt immers vaak thuis bekeken. Met de juiste trainingen zullen mensen reflexen creëren om zich te behoeden voor phishing mails.”

Het OutKept-platform is technologie-agnostisch. Het genereert nu content voor e-mails maar in de toekomst kan dit worden uitgebreid naar berichten, apps, of zelfs content voor de metaverse. Het principe en de filosofie blijven hetzelfde. “Technologietoepassingen veranderen voortdurend. We willen geen technologische oplossingen vervangen, maar voornamelijk preventie toevoegen”, licht Tinel toe.

Ethische phishers en aanpak

“Hacking focust op het technische aspect, terwijl phishing bij wijze van spreken het psychologische aspect bij de mensen hackt”, legt Bauwens het verschil uit. “Vaak wordt gefocust op het emotionele aspect om de gebruiker te overhalen. Tijdens onze simulatietrainingen worden tal van mails gestuurd naar werknemers zodat zij die na verloop van tijd automatisch gaan herkennen.”

Alle phishing mails zijn ethisch gesourced”, benadrukt Tinel. “We gebruiken geen vaste phishing mail templates, maar krijgen content van een community van ethische phishers die worden beloond via een bounty system. Zo stimuleren we het gebruik van de meest hedendaagse technieken.”

We gebruiken geen vaste phishing mail templates, maar krijgen content van een community van ethische phishers die worden beloond via een bounty system. Zo stimuleren we het gebruik van de meest hedendaagse technieken

Het lokale aspect is heel belangrijk, klinkt het. OutKept werkt om die reden met phishers uit verschillende landen. Zo weet iedere ethische phisher wat er in zijn of haar regio gebeurt en welke elementen nodig zijn in een phishing mail. De phishing community bestaat overigens niet alleen uit security experts, maar ook uit psychologen, marketeers en copywriters.

OutKept functioneert als een soort filter tussen de phishing community en de organisaties. “De ethische phishers weten niet over welke bedrijven het gaat. Alle gegevens, privacy en anonimiteit worden beschermd, terwijl simulaties van allerhoogste kwaliteit worden ontwikkeld. Organisaties kunnen zo het bewustzijn en de kwetsbaarheid voor phishing testen en verbeteren zonder risico te lopen op langdurige schade”, stelt Tinel.

Onmiskenbare impact

De trainingen van OutKept zijn toepasbaar en schaalbaar in verschillende sectoren. “Het klantenportfolio is erg breed”, bevestigt Bauwens. “Het is al lang niet meer zo dat phishing simulaties alleen worden uitgeoefend bij banken, verzekerings- of overheidsbedrijven. Het doel is bij iedere organisatie hetzelfde. In de beginfase wordt de duur van de simulaties besproken. De meeste klanten kiezen voor een maandelijks ritme aan phishing mails. Daaruit zien we dat de alertheid gecreëerd en onderhouden wordt.”

Onze expertise en het lokale aspect van onze community zorgen voor een hoogstaande kwaliteit van simulatiecampagnes

Tussen de 20% en 40% van de werknemers binnen een organisatie klikt op phishing mails. Zo’n 20% vult zelfs landingspagina’s met inloggegevens in. De impact van de simulatiecampagnes is enorm. “Na drie tot zes maanden wordt het aantal interacties met phishing mails met de helft verminderd. Dat blijft consistent dalen tot het stabiel wordt”, aldus Bauwens.

Slechts het begin

OutKept zit momenteel in een sterke groeifase. “Onze community groeit organisch. De positieve feedback en enthousiaste reacties motiveren ons om deze nog verder uit te breiden”, zegt Tinel. “Vaak wordt ons de vraag gesteld of AI-tools zoals ChatGPT onze ethische phishers zal vervangen. Wij zien dit niet als vervanger, maar als een middel om eventuele meerwaarde te creëren. Onze phishers gebruiken soms al ChatGPT om hen te helpen maar de menselijke hand die bijstuurt, zorgt nog altijd voor het beste resultaat.”

Vlnr: Edward Boogaert, Dieter Tinel, Simon Bauwens en Charles Staelens

De groei van OutKept wordt mee mogelijk gemaakt door enkele belangrijke partnerships. “Onze structurele samenwerking met HoWest bijvoorbeeld heeft al veel voor ons betekend. Studenten uit verschillende opleidingen leren zo de phishing community kennen. Momenteel voeren we gesprekken met gelijkaardige partijen in het buitenland”, legt Bauwens uit.

Of we in de toekomst nog veel van OutKept gaan horen? Het oprichtersduo knikt gedecideerd van ja. “Onze hoogste prioriteit is om organisaties bewust te maken van phishing via mails, apps, berichten of andere technologieën”, antwoordt Tinel. “Nu gaan we werk maken van internationalisering, maar tegelijk willen we ook in eigen land blijven groeien. Dankzij onze sterke community van ethische phishers zijn wij sowieso klaar om de volgende stappen te zetten!”