Achtergrond en aanleiding
Dit onderzoek ontstond vanuit de groeiende behoefte om menselijke kwetsbaarheden binnen organisaties in kaart te brengen. Bodegro wilde weten hoe publieke informatie over medewerkers (OSINT) kan worden ingezet om security awareness te versterken. Aanvankelijk lag de focus op gepersonaliseerde phishingcampagnes, maar dit werd na een succesvolle generieke test herzien. Uiteindelijk werd een ethisch onderbouwd bewustwordingsgericht traject opgezet.
Opzet en methodologie
De DOT-methodiek gaf structuur aan het onderzoek:
- Library: Literatuuronderzoek naar OSINT, phishing, AVG en social engineering.
- Field: Analyse van intern beleid bij Bodegro via documenten en gesprekken.
- Lab: Uitvoering van een gecontroleerde phishingmail op basis van OSINT.
- Workshop: Reflectieve sessies met medewerkers rond hun eigen digitale voetafdruk.
Alle fases zijn zorgvuldig uitgevoerd binnen de juridische en ethische kaders, onderbouwd met een DPIA, LIA en transparante communicatie.
Samenvatting per deelvraag
Deelvraag 1: Juridisch & ethisch
Het onderzoek werd uitgevoerd op basis van het gerechtvaardigd belang (AVG art. 6(1)(f)), met heldere waarborgen: geen bijzondere persoonsgegevens, geen psychologische manipulatie en vrijwillige deelname aan follow-up sessies. De transparantie na afloop werd gewaarborgd via een interne FAQ en communicatiecampagne.
Deelvraag 2: OSINT-methoden
Een mix van geautomatiseerde tools (Sherlock, SpiderFoot) en handmatige technieken (LinkedIn, Google Dorks) leverde accurate medewerkersprofielen op. Elk profiel bevatte naam, functie, aliassen, sociale interesses en eventueel bekende datalekken. Deze profielen werden later gebruikt als spiegel voor bewustwording.
Deelvraag 3: Phishingcampagne
Op basis van interne indicatoren zoals het bestaan van een intranet, werd een plausibele, vriendelijke phishingmail opgesteld. De paaseitjesactie leidde tot 9 klikken, 5 inzendingen en 4 meldingen. De respons toonde kwetsbaarheid én reactievermogen.
Deelvraag 4: Meting & analyse
Trackinglinks en invulformulieren maakten het gedrag meetbaar. De gegevens tonen aan dat meer dan 20% van de medewerkers doorklikte. Slechts 1 publieke melding kan een remmend effect gehad hebben op verdere rapportages.
Deelvraag 5: Bewustwording
Na afloop zijn individuele OSINT-profielen teruggekoppeld aan medewerkers. Deze aanpak had grote impact: medewerkers gaven aan zich voor het eerst bewust te zijn van hoeveel informatie ze zelf online zetten, en hoe die misbruikt kan worden.
Beantwoording van de hoofdvraag
“In hoeverre kan mijn zelf uitgevoerde OSINT-onderzoek, waarbij ik publieke data van alle medewerkers verzamel en analyseer, gecombineerd met een generieke phishingcampagne en gerichte awareness-activiteiten binnen Bodegro inzicht geven in de kwetsbaarheden voor social engineering en bijdragen aan een verbeterde security-awareness?”
Het onderzoek toont aan dat deze combinatie bijzonder effectief is. De OSINT-profielen boden diepgaand inzicht in digitale kwetsbaarheid op individueel niveau. De phishingmail bevestigde dat realistische context voldoende is om medewerkers tot actie te bewegen. En de terugkoppeling van deze inzichten in workshops leidde tot een verhoogde alertheid, gedeelde reflectie en gedragsverandering.
Juist het feit dat deze aanpak zonder negatieve gevolgen werd uitgevoerd – zonder sancties of naming & shaming – maakte het veilig én leerzaam. Security awareness werd tastbaar, persoonlijk en relevant gemaakt.
Conclusie: de combinatie van OSINT, een gecontroleerde phishingtest en persoonlijke terugkoppeling is een bewezen effectieve aanpak om social engineering-risico’s zichtbaar te maken en security awareness duurzaam te versterken.