Après le succès de notre premier événement communautaire en 2023, il était temps de passer à la vitesse supérieure.
En collaboration avec le fournisseur de services informatiques Cronos Security, nous avons organisé le tout premier hackathon de phishing en direct, plus connu sous le nom de Phishathon. Cet événement était entièrement consacré au phishing et demandait aux participants de démontrer leurs tactiques les plus créatives et les plus astucieuses dans le cadre de trois défis, dont un seul est sorti vainqueur.
Dans ce blog, nous nous plongeons dans l'événement, mettons en lumière les principaux participants, discutons des défis et examinons l'impact que l'événement a eu!
Pour le premier défi du Phishathon, nous avons collaboré avec Cronos Security et UZ Leuven pour lancer une campagne de spearphishing. Nos hameçonneurs éthiques et les participants ont reçu un briefing sur la cible, ainsi que des informations utiles pour la rédaction de leurs courriels d'hameçonnage. Forts de ces informations, les participants ont mené des recherches plus approfondies et envoyé une série d'e-mails divers et ciblés au département informatique de l'UZ Leuven.
La campagne a rapidement suscité des réactions, avec un certain nombre d'interactions et même des employés qui ont fourni des informations de connexion.
"Les courriels ont provoqué une certaine agitation au sein de notre organisation, mais d'une manière positive bien sûr." - Thomas Noppe | UZ Leuven
Michiel, le meilleur phisher de l'année, a remporté ce défi en recueillant le plus grand nombre de clics sur les liens contenus dans ses courriels. Son courriel d'ingénierie sociale, qui (par coïncidence) imitait étroitement le style de communication au sein de l'organisation, s'est avéré être la stratégie gagnante.
Les outils de l'I.A. bouleversent la société, y compris la cybersécurité. Tel était le thème de notre deuxième défi. Les participants devaient créer des courriels d'hameçonnage pertinents ciblant différents secteurs, tels que la construction, le transport maritime et la science. Pour créer leurs courriels d'hameçonnage, ils ont utilisé des outils d'IA tels que ChatGPT-4 et Gemini.
En groupe, les participants disposaient de 10 minutes pour rédiger leurs courriels. Les résultats ont été divers mais pas toujours concluants, ce qui a fortement souligné la valeur continue de la touche humaine dans le phishing et la cybersécurité.
Le jury d'experts, composé de Jonas Buyle de Cronos Security, Dieter Tinel d'OutKept et Thomas Noppe de l'UZ Leuven, a jugé toutes les candidatures. Après mûre réflexion, le prix de ce défi a été décerné à Noa, professionnel de la cybersécurité, pour son e-mail de phishing qui a réussi à contourner l'authentification multifactorielle (MFA)..
Avez-vous déjà été appelé par un "phisher"? Quelqu'un qui se fait passer pour votre banque, un logiciel connu ou votre patron? Avec notre dernier défi, nous avons voulu mettre l'accent sur le vishing (hameçonnage téléphonique) et avons demandé à notre communauté d'appeler une cible particulière.
Guidé par un document secret, chaque groupe a reçu sa cible et a eu 10 minutes pour préparer son scénario de vishing. Après cette préparation, au cours de laquelle ils ont déterminé comment ils allaient aborder l'appel, ils ont reçu le numéro de téléphone de la cible.
Les deux groupes ont abordé la conversation de manière très différente et la première place étant encore à portée de main, tout était en jeu. Un groupe s'en est tenu à ses stratégies préparées, tandis que les autres ont improvisé. Au final, l'une des équipes a gagné grâce à son scénario d'hameçonnage totalement adapté à sa cible.
Alors que l'événement touchait à sa fin, nos juges ont dû déterminer le gagnant sur la base de ses performances dans les trois défis.
Les juges Thomas Noppe (UZ Leuven), Jonas Buyle (Cronos Security) et Dieter Tinel (OutKept) ont décerné le premier prix à l'hameçonneur éthique Noa (Pixl), Michiel (IT Strategy) étant le second.
Les deux candidats ont convaincu les juges de leurs compétences en matière d'informatique et de cybersécurité en lançant des campagnes d'hameçonnage efficaces et innovantes.
Noa a impressionné par ses compétences en ingénierie sociale lors de l'épreuve de vishing et a démontré comment l'AMF peut être contournée avec la bonne approche. Michiel a démontré ses compétences en spear-phishing lors du premier défi et a obtenu des interactions et des récompenses significatives.
Nous avons terminé la soirée avec des pizzas et des boissons, heureux du succès de notre premier Phishathon. L'événement a été un grand succès et nous sommes impatients de voir ce que l'année prochaine nous réserve. On peut dire sans risque de se tromper que nous avons beaucoup pêché !
Curieux de connaître notre Phishathon ? Regardez l'aftermovie 👇
Notre blog est votre source de référence pour tout ce qui concerne le phishing et la cybersécurité ! Lisez ici les dernières nouvelles et articles d'opinion sur ces sujets.
Notre plateforme de simulation de phishing éthique est une véritable révolution pour votre offre de cybersécurité, permettant à vos clients de rester vigilants face aux menaces de phishing en constante évolution. Avec toute la communauté ouverte des phishers éthiques d'OutKept à vos côtés, vous pouvez désormais étendre les simulations de phishing à chaque organisation de votre portefeuille. Répondez à la demande croissante, ne refusez plus de demandes de prévention des plus petites organisations, créez des opportunités pour des services, produits ou soutiens supplémentaires, et restez à jour avec des évaluations d'impact régulières.
.png){kind=logo}
