Phishing is een gigantisch probleem, en zorgt jaarlijks voor miljoenen euro’s aan economische schade. Het Leuvense Phished wil dat nu oplossen door dit soort mails te imiteren, en werknemers er beter tegen te sensibiliseren. Zij haalden al een mooi, doch geheim klantenbestand binnen, en staan nu voor een scherpe groeifase. “Wij versterken de menselijke schakel van cybersecurity”, stelt de 24-jarige CEO en oprichter Arnout Van de Meulebroucke.

Werknemers worden geviseerd

Iedereen kreeg wel eens een phishing mail, ofwel een vals bericht dat je aanzet om pakweg op een frauduleuze link te klikken. Misschien deed iemand die zich voor als een Nigeriaanse prins. Of misschien was de poging iets gesofisticeerder, en imiteerde de oplichter erg overtuigend een mail van je baas.

In de bedrijfswereld is phishing alvast een gigantisch probleem, en kan het soms enorme schade aanrichten. “Bijna elk bedrijf investeert grote hoeveelheden geld in conventionele beschermingsmaatregelen zoals firewalls”, stelt Van de Meulebroucke. “Die voorkomen dat hackers niet via het systeem binnenraken. Maar één foutje van een medewerker omzeilt dat alles. Daarom is het zo lucratief voor hackers om werknemers te targeten. Menselijke fouten liggen aan de basis van 90% van de succesvolle cyberaanvallen. Hackers versturen per dag meer dan 200 miljoen phishing mails. Zelfs als er maar maar 1% door je verdediging raakt, is dat nog steeds een enorme dreiging.”

Menselijke fouten liggen aan de basis van 90% van de succesvolle cyberaanvallen

Dat zag de Belgische vliegtuigbouwer Asco bijvoorbeeld in de zomer van 2019. Dat bedrijf werd het slachtoffer van een ransomware aanval, waar hackers de toegang tot computersystemen blokkeerden en losgeld eisten om deze te ontsleutelen. Die aanval kreeg waarschijnlijk toegang tot hun systeem via een phishing-mail, en zou er uiteindelijk voor zorgen dat het bedrijf een maand dicht moest en de schade opliep tot honderden miljoenen euro’s.

Dat probleem probeert Phished op te lossen. Ze sturen automatisch valse phishing mails naar werknemers van hun klanten, om hen beter bestand te maken tegen echte phishing aanvallen. De start-up probeert met andere woorden medewerkers te misleiden, zodat ze niet in de echte phishingmails trappen. Een formule die al succes kende. Het twee jaar oude bedrijf haalde deze zomer een miljoen euro durfkapitaal op en werkt met meer dan 275 klanten. Nu staat Phished op het punt om een snelle uitbreiding te maken.

De menselijke schakel van cybersecurity

Phished imiteert zo de echte oplichters, maar dan voor een goed doel. “Phishing nabootsen is niets nieuws”, vertelt Van de Meulebroucke. “Dat bestond al voor ons. Wat zo innovatief is aan onze aanpak is dat we dit automatiseren. Wanneer een bedrijf ons inschakelt, dan maken we een profiel aan voor elke werknemer. Als ons systeem ziet dat jij op vrijdag graag op marketing-emails klikt, dan proberen we jou daarop te ‘pakken’ door een valse mail in die stijl te sturen. Als we iemand weten te misleiden wijzen we hen op de gewoontes die hen kwetsbaar maken. Want de echte oplichters zoeken daar ook naar. Zo sensibiliseren we werknemers op een veilige manier, we versterken de menselijke schakel van cybersecurity.”

Om dat te doen verzamelden ze een groot aantal phishing-mails. Ze richtten zo een ‘honeypot’ op, een emailadres dat er erg aantrekkelijk uitziet voor phishing waarop ze grote aantallen van die mails ontvangen. Die dienen vervolgens als inspiratiebron voor het automatische systeem van Phished. “Uit onze statistieken blijkt dat tot 20% van medewerkers op de valse mails klikken”, vertelt Van de Meulebroucke. “En dit gaat al over bedrijven die phishing als een risico zien, want ze deden een beroep op onze diensten. Bij andere bedrijven ligt dit percentage soms boven de 50%.”

Lichte stijging door thuiswerk

Voor Van de Meulebroucke is dit een cruciaal onderwerp om aan te werken. “Phishing is dé belangrijke oorzaak van cybercriminaliteit”, zegt hij. “Jaarlijks gaan daardoor miljoenen euro’s verloren. Zelfs in België gebeurt dit elke week. Het zou dom zijn als de bedrijfswereld daar niet op reageert, en zich puur blijft blindstaren op firewalls en filters.

Je moet werk werknemers met de neus op de feiten drukken, en tegelijk een veilige omgeving bieden om dit soort zaken te herkennen

“De grote kwetsbaarheid zit bij de mensen, en de ouderwetse aanpak van hen een Powerpoint over phishing te geven werkt niet meer. Je moet iemand effectief met de neus op de feiten drukken, en tegelijk een veilige omgeving bieden om dit soort zaken te herkennen.”

Ondertussen zitten we natuurlijk middenin de COVID-19 pandemie. Zorgde dat voor meer phishing? “Er was een lichte stijging van het aantal slachtoffers”, stelt Van de Meulebroucke. “Doordat er minder menselijk contact is, neemt dus ook de sociale controle af. Op kantoor vraag je makkelijker of een mail wel degelijk van je collega komt. Nu moet je daarvoor al een bericht of een andere mail sturen. Dat maakt het moeilijker.”

Zusterbedrijf

Het ondernemersverhaal achter Phished is sterk verweven met de vorige werkgever van Van de Meulebroucke. “Ik was voordien een IT'er bij Bringme. Eén van mijn taken daar was om naar een oplossing te zoeken voor phishing. Iemand was er namelijk ingelopen binnen ons bedrijf. Gelukkig zorgde dat niet voor schade, maar het vormde wel een risico. Daarom gingen we op zoek naar een oplossing. Er bestonden al enkele producten op de markt, maar die waren allemaal manueel. Je moest de mails dus handmatig maken, wat erg veel tijd kostte en allesbehalve ideaal was. Zo ben ik met Phished begonnen.”

De ondersteuning van mijn ex-werkgever was cruciaal in de groei van onze start-up

Uiteindelijk vervelde dat interne idee tot een aparte start-up, die nog steeds nauwe relaties met Bringme heeft. “Ik zou het geen spin-off noemen”, stelt Van de Meulebroucke. “Maar de eigenaar van Bringme is nu ook een aandeelhouder en investeerder in Phished. Bringme en Phished zijn eerder zusterbedrijven. De ondersteuning van mijn ex-werkgever was cruciaal in de groei van onze start-up.”

Jo Vandebergh en Arnout Van de Meulebroucke, de founding CEO’s van respectievelijk Bringme en Phished

Exponentiële groei

Phished bestaat nu twee jaar en groeide sindsdien stap per stap. “Eind november 2018 brachten we een eerste versie van ons platform uit”, blikt Van de Meulebroucke terug. “Vandaar ging alles heel geleidelijk. De eerste paar klanten sprokkelden we bij vrienden en kennissen, en zo groeiden we breder. Telkens er een grote cyberaanval voorbijkomt, breiden we uit. Een aanval zoals die op Asco is een drama voor het bedrijf zelf, maar het zorgt er wel voor dat andere spelers veel alerter worden. Niemand wil een maand platliggen.”

Vandaag zijn we actief in drie landen. Maar tegen volgend jaar kunnen we overal in Europa zitten

Het aantal klanten blijft ondertussen sterk groeien, ook buiten België, alhoewel ze geen namen mogen noemen omwille van de gevoelige business waarin ze zitten. “We zijn bijvoorbeeld erg populair in het Verenigd Koninkrijk”, wil Van de Meulebroucke wel kwijt. “Dat liep erg toevallig. We plaatsten gewoon Google advertenties, en een associatie van financiële instellingen pikte ons op, want ze zochten een oplossing zoals de onze. Binnen die organisatie verspreidde ons product zich, en van daaruit ging het sneeuwbaleffect verder.”

Voorlopig ondersteunt de start-up dat nog met drie krachten, de twee founders en hun eerste werknemer. Maar Van de Meulebroucke stelt dat hun doel is om 10 werknemers te hebben voor het einde van dit jaar. Phished staat dus aan de vooravond van een belangrijke groeifase. “We zijn ook een puur softwareplatform, wat maakt dat we makkelijk schalen”, aldus de Van de Meulebroucke. “Met de steun van onze investeerder staan we helemaal klaar om het bedrijf naar the next level te brengen. Vandaag zijn we actief in drie landen. Maar tegen volgend jaar kunnen we overal in Europa zitten.”