OSINT-onderzoek & phishingcampagne bij Bodegro

Rick van Iwaarden – 2025

Centrale onderzoeksvraag

De oorspronkelijke hoofdvraag van dit onderzoek luidde:

“In hoeverre kan mijn zelf uitgevoerde OSINT-onderzoek, waarbij ik publieke data van alle medewerkers verzamel en profielen opstel, gecombineerd met een gepersonaliseerde phishingcampagne binnen Bodegro inzicht geven in de kwetsbaarheden voor social engineering en bijdragen aan een verbeterde security-awareness?”

Deze vraag is later aangepast na het onverwacht grote effect van de eerste phishingmail: een generieke paaseitjesactie. Medewerkers klikten, vulden formulieren in en begonnen spontaan te melden bij IT. Daardoor was het niet nodig – en ethisch niet verantwoord – om nog verder te gaan met gepersonaliseerde phishingmails.

Nieuwe hoofdvraag:

“In hoeverre kan mijn zelf uitgevoerde OSINT-onderzoek, waarbij ik publieke data van alle medewerkers verzamel en analyseer, gecombineerd met een generieke phishingcampagne en gerichte awareness-activiteiten binnen Bodegro inzicht geven in de kwetsbaarheden voor social engineering en bijdragen aan een verbeterde security-awareness?”

In plaats van gepersonaliseerde aanvallen is gekozen voor educatie: medewerkers konden hun digitale voetafdruk bij mij inzien. Op basis van de gevonden OSINT-data zijn persoonlijke voorbeelden gedeeld en besproken in bewustwordingssessies. Deze aanpak bleek zeer effectief.

Navigatie door het onderzoek

Deelvragenoverzicht

Een overzicht van de vijf deelvragen die het onderzoek structureren.

DOT-framework & methodiek

Onderzoeksopzet volgens het Doel-Onderzoek-Toepassing principe.

Juridische & ethische kaders

Welke AVG-voorwaarden golden voor dit onderzoek?

OSINT-tools & technieken

Welke tools zijn effectief om medewerkersprofielen op te stellen?

Phishingmail ontwerp & uitvoering

De opzet en het succes van de paaseitjes-phishingmail.

Effectiviteitsmeting & gedragsanalyse

Welke gedragingen vertoonden medewerkers en wat zeggen die?

Bewustwording & training

Hoe kunnen we security awareness structureel verbeteren?

Resultaten phishingcampagne

Statistieken, observaties en gedragspatronen.

Aanbevelingen voor Bodegro

Concrete verbetervoorstellen op basis van het onderzoek.

Conclusie

Samenvatting van het volledige onderzoek en beantwoording van de hoofdvraag.