Phishathon 2024 - We phished a ton!

Nahet succes van ons eerste community-evenement in 2023 was het tijd dit naar eenhoger niveau te tillen.

Samenmet IT-dienstverlener Cronos Security organiseerden we de allereerste livephishing hackathon, beter bekend als Phishathon. Dit evenement was vollediggericht op phishing en vroeg de deelnemers om hun meest creatieve en sluwetactieken te tonen in drie uitdagingen, waarbij slechts één als winnaar uit debus kwam.

In deze blog duiken we in het evenement,lichten we de belangrijkste deelnemers uit, bespreken we de uitdagingen enkijken we naar de impact die het event had!

Sperenin de hand!

Voor de eerste uitdaging van dePhishathon hebben we samengewerkt met Cronos Security en UZ Leuven om een spearphishing campagne te lanceren. Onze ethische phishers en deelnemers kregen eenbriefing over het doelwit, samen met nuttige informatie voor het opstellen vanhun phishing e-mails. Gewapend met deze gegevens voerden de deelnemers verderonderzoek uit en verstuurden een reeks diverse en gerichte e-mails naar deIT-afdeling van UZ Leuven.

De campagne zorgde al snel voor enkele reacties, met heel wat interacties en zelfs enkele medewerkers die log-in informatie meegaven.

“De e-mails hebben nogal wat ophef veroorzaakt binnen onze organisatie, maar dan op een positieve manier natuurlijk.” - Thomas Noppe | UZ Leuven

Topphisher van het jaar, Michiel, won deze uitdaging door het hoogste aantal klikken op de links in zijn e-mails te verzamelen. Zijn social engineering e-mail, die de communicatiestijl binnen de organisatie (toevallig) nauw nabootste, bleek de winnende strategie te zijn.

Inspirator Generator! 🪄🤖

A.I.-tools zetten de samenleving, inclusief cyberbeveiliging, op zijn kop. Dit was de focus van onze tweede uitdaging. De deelnemers moesten relevante phishing-e-mails genereren die gericht waren op verschillende sectoren, zoals de bouw, de scheepvaart en de wetenschap. Voor het opstellen van hun phishing-e-mails maakten ze gebruik van AI-tools zoals ChatGPT-4 en Gemini.

In groep hadden de deelnemers tien minuten om hun e-mails op te stellen. De resultaten waren divers, maar niet altijd overtuigend, wat de blijvende waarde van de menselijke touch in phishing en cybersecurity sterk benadrukte.

ChatGPT integration (Inspirator Generator)

De deskundige jury, bestaande uit Jonas Buyle van Cronos Security, Dieter Tinel van OutKept en Thomas Noppe van UZ Leuven, beoordeelde alle inzendingen. Na zorgvuldige overweging ging de prijs voor deze uitdaging naar cybersecurity professional Noa met zijn phishing-e-mail die succesvol multi-factor authenticatie (MFA) ging gaan omzeilen.

Wie heb ik aan de lijn? Hallo? Hallo!

Ben je ooit gebeld door een phisher? Iemand die zich voordeed als je bank, een bekende software of je baas? Met onze laatste uitdaging wilden we de vishing (telefoon phishing) onder de aandacht brengen en vroegen we onze community om een speciaal doelwit op te bellen.

Geleid door een geheim document kreeg elke groep hun doelwit en hadden ze 10 minuten om hun vishing-scenario voor te bereiden. Na de voorbereiding, waarbij ze bepaalden hoe ze het gesprek zouden benaderen, kregen ze het telefoonnummer van het doelwit.

Vishing (telefoon phishing) uitdaging

Beide groepen benaderden het gesprek heel verschillend en met de eerste plaats nog binnen bereik, stond alles op het spel. De éné groep hield zich aan hun voorbereide strategieën terwijl anderen improviseerden. Uiteindelijk won één team met hun phishing-scenario die volledig was afgestemd op hun doelwit.

We phished a ton!

Naarmate het evenement ten einde liep, moest onze jury de winnaar bepalen op basis van de prestaties in alle drie de uitdagingen.

Thomas Noppe – UZ Leuven | Jonas Buyle – Cronos Security | Dieter Tinel - OutKept

De juryleden Thomas Noppe (UZ Leuven), Jonas Buyle (Cronos Security) en Dieter Tinel (OutKept) kende de hoofdprijs toe aan ethische phisher Noa (Pixl), met Michiel (IT-Strategie) als runner-up.

Beide deelnemers overtuigde de juryleden met hun IT en cybersecurity vaardigheden door effectieve en innovatieve phishingcampagnes te lanceren.

Noa maakte indruk met zijn social engineering vaardigheden in de vishing-uitdaging en toonde aan hoe MFA kan worden omzeild met de juiste aanpak. Michiel liet zijn spear-phishingvaardigheden zien in de eerste uitdaging en behaalde aanzienlijke interacties en beloningen.

We sloten de avond af met feestelijke pizza en drankjes, blij met het succes van onze eerste Phishathon. Het evenement was een groot succes en we kunnen niet wachten om te zien wat het volgende jaar brengt. It’s safe to say: we phished a ton!

Benieuwd naar onze Phishathon? Bekijk de aftermovie 👇

Partner worden van ons?

Ons ethische phishing simulatie platform is een absolute game changer voor je cyber security aanbod, waarmee je klanten alert houdt tegen evoluerende phishing bedreigingen.

Met de hele open gemeenschap van ethische phishers van OutKept aan je zijde, kun je nu phishing simulaties uitbreiden naar elke organisatie in je portfolio. Speel in op de groeiende vraag, wijs geen preventie verzoeken meer af van kleinere organisaties, creëer mogelijkheden voor aanvullende diensten, producten of ondersteuning, en blijf op de hoogte met regelmatige impactbeoordelingen.