OutKept-founders Dieter Tinel en Simon Bauwens

Phishing mails vinden steeds vaker hun weg naar de mailbox van werknemers. Er is slechts één persoon nodig die zich laat vangen en het kwaad is geschied: rekeningen worden leeggeplunderd, informatie gelekt of social media-accounts misbruikt voor identiteitsfraude. De Gentse start-up OutKept werkt - als enige bedrijf ter wereld- met een publiek toegankelijke community van ethische phishers om realistische simulatietrainingen uit te voeren bij organisaties: iedereen kan wereldwijd aansluiten als ethische phisher, van student tot cybersecurity expert, om vanuit hun huiskamer bounties te verdienen met het aanleveren van phishing simulatie emails.“Hoewel mensen de zwakste schakel zijn, zijn zij tegelijk ook de beste bescherming tegen phishing”, vertellen de twee founders in een interview met Bloovi.

Simon Bauwens en Dieter Tinel richtten hun eigen bedrijf op in het begin van de eerste coronapandemie. We schrijven 2020. “We ontmoetten elkaar voor het eerst tijdens een webinar. We waren allebei op zoek naar een co-founder en wilden ons verder verdiepen in phishing en cybersecurity, in combinatie met de kracht van een open community. Uit een samenvloeiing van een drietal ideeën ontstond OutKept”, doet Bauwens het verhaal.

De SaaS start-up is het eerste bedrijf ter wereld dat op schaal samenwerkt met een publiek toegankelijke community van ethische phishers om hun phishing simulaties voor de campagnes te crowd-sourcen. De doorlopende phishing simulaties brengen inzicht in het risico en trainen mensen voortdurend om potentiële bedreigingen te herkennen. “Aan de hand van trainingen en simulaties helpen wij organisaties bewust te maken van het potentieel gevaar van phishing”, verduidelijkt Tinel.

Oprichters Simon Bauwens en Dieter Tinel

Mensen vormen grootste veiligheidsrisico

Ieder bedrijf is een potentieel doelwit van phishing. De meeste werknemers denken dat firewalls of cyberbeveiligingsoftware voldoende zijn om hackers te ontmoedigen. Niets is minder waar. Software vormt een barrière, maar voorkomt niet alle aanvallen. De phishing aanvallen nemen toe. Niet alleen in frequentie, maar ook in ernst. Als slechts één persoon een fout maakt, kan dit leiden tot desastreuze gevolgen.

De phishing simulaties helpen organisaties op drie manieren, legt Tinel uit. “Ten eerste verhogen ze het algemene bewustzijn. Als mensen op landingspagina’s klikken, krijgen ze educatieve content rond phishing te zien. Ten tweede zorgen ze ervoor dat mensen te allen tijde alert blijven. Phishing kan immers op ieder moment voorkomen. Zo worden de juiste reflexen gecreëerd om phishing mails tegen te houden. En ten derde zorgt het voor herkenbaarheid van specifieke content. Hoe vaker je verschillende phishing mails ziet, hoe sneller het mechanisme wordt opgebouwd.”

Hoewel mensen de zwakste schakel zijn, zijn zij tegelijk ook de beste bescherming tegen phishing

Het is zoals de straat oversteken, pikt Bauwens in. “Je leert als kind dat je eerst eens links en rechts moet kijken vooraleer je oversteekt. Bij alertheid rond phishing is dit net hetzelfde. Door de simulaties wordt een automatische reflex aangeleerd. We spreken over het alerter maken bij organisaties, maar bij uitbreiding ook bij mensen thuis. Als werknemers op het werk leren alert te zijn, zullen ze dat thuis ook doen. Confidentiële informatie wordt immers vaak thuis bekeken. Met de juiste trainingen zullen mensen reflexen creëren om zich te behoeden voor phishing mails.”

Het OutKept-platform is technologie-agnostisch. Het genereert nu content voor e-mails maar in de toekomst kan dit worden uitgebreid naar berichten, apps, of zelfs content voor de metaverse. Het principe en de filosofie blijven hetzelfde. “Technologietoepassingen veranderen voortdurend. We willen geen technologische oplossingen vervangen, maar voornamelijk preventie toevoegen”, licht Tinel toe.

Ethische phishers en aanpak

“Hacking focust op het technische aspect, terwijl phishing bij wijze van spreken het psychologische aspect bij de mensen hackt”, legt Bauwens het verschil uit. “Vaak wordt gefocust op het emotionele aspect om de gebruiker te overhalen. Tijdens onze simulatietrainingen worden tal van mails gestuurd naar werknemers zodat zij die na verloop van tijd automatisch gaan herkennen.”

Alle phishing mails zijn ethisch gesourced”, benadrukt Tinel. “We gebruiken geen vaste set phishing mail templates, maar krijgen content van een community van ethische phishers die worden beloond via een bounty system, dus op basis van het succes van hun phishing mails. Zo stimuleren we het gebruik van de meest hedendaagse technieken.”

We gebruiken geen vaste phishing mail templates, maar krijgen content van een community van ethische phishers die worden beloond via een bounty system. Zo stimuleren we het gebruik van de meest hedendaagse technieken

Het lokale aspect is heel belangrijk, klinkt het. OutKept werkt om die reden met phishers uit verschillende landen. Zo weet iedere ethische phisher wat er in zijn of haar regio gebeurt en welke elementen nodig zijn in een phishing mail. De phishing community bestaat overigens niet alleen uit security experts, maar ook uit psychologen, marketeers en copywriters.

OutKept functioneert als een soort filter tussen de phishing community en de organisaties. “De ethische phishers weten niet over welke bedrijven het gaat. Alle gegevens, privacy en anonimiteit worden beschermd, terwijl simulaties van allerhoogste kwaliteit worden ontwikkeld. Organisaties kunnen zo het bewustzijn en de kwetsbaarheid voor phishing testen en verbeteren zonder risico te lopen op langdurige schade”, stelt Tinel.

Onmiskenbare impact

De trainingen van OutKept zijn toepasbaar en schaalbaar in verschillende sectoren. “Het klantenportfolio is erg breed”, bevestigt Bauwens. “Het is al lang niet meer zo dat phishing simulaties alleen worden uitgeoefend bij banken, verzekerings- of overheidsbedrijven. Het doel is bij iedere organisatie hetzelfde. In de beginfase wordt de duur van de simulaties besproken. De meeste klanten kiezen voor een maandelijks ritme aan phishing mails. Daaruit zien we dat de alertheid gecreëerd en onderhouden wordt.”

Onze expertise en het lokale aspect van onze community zorgen voor een hoogstaande kwaliteit van simulatiecampagnes

Tussen de 20% en 40% van de werknemers binnen een organisatie klikt op phishing mails. Zo’n 20% vult zelfs landingspagina’s met inloggegevens in. De impact van de simulatiecampagnes is enorm. “Na drie tot zes maanden wordt het aantal interacties met phishing mails met de helft verminderd. Dat blijft consistent dalen tot het stabiel wordt”, aldus Bauwens.

Slechts het begin

OutKept zit momenteel in een sterke groeifase. “Onze community groeit organisch. De positieve feedback en enthousiaste reacties motiveren ons om deze nog verder uit te breiden”, zegt Tinel. “Vaak wordt ons de vraag gesteld of AI-tools zoals ChatGPT onze ethische phishers zal vervangen. Wij zien dit niet als vervanger, maar als een middel om eventuele meerwaarde te creëren. De phishers in onze community gebruiken soms al ChatGPT om hen te helpen maar de menselijke hand die bijstuurt, zorgt nog altijd voor het beste resultaat.”

Vlnr: Edward Boogaert, Dieter Tinel, Simon Bauwens en Charles Staelens

De groei van OutKept wordt mee mogelijk gemaakt door enkele belangrijke partnerships. “Onze structurele samenwerking met HoWest bijvoorbeeld heeft al veel voor ons betekend. Studenten uit verschillende opleidingen leren zo de phishing community kennen. Momenteel voeren we gesprekken met gelijkaardige partijen in het buitenland”, legt Bauwens uit.

Of we in de toekomst nog veel van OutKept gaan horen? Het oprichtersduo knikt gedecideerd van ja. “Onze hoogste prioriteit is om organisaties bewust te maken van phishing via mails, apps, berichten of andere technologieën”, antwoordt Tinel. “Nu gaan we werk maken van internationalisering, maar tegelijk willen we ook in eigen land blijven groeien. Dankzij onze sterke community van ethische phishers zijn wij sowieso klaar om de volgende stappen te zetten!”

Erratum: Dit artikel is geüpdatet. De titel van de eerdere versie kon verkeerdelijk worden geïnterpreteerd alsof OutKept het enige bedrijf is dat met ethische phishers werkt. Er bestaan nog bedrijven die met ethische phishers of hackers werken in vast dienstverband of freelance, vaak in de vorm van cyber security consultant of copywriter. De titel verwees naar het gegeven dat OutKept het enige bedrijf is dat op structurele wijze met een publiek toegankelijke community van ethische phishers werkt voor de creatie van haar phishing simulatie content. Dit is nu verduidelijkt in het artikel.