+31 (0)88 018 41 00 info@smtware.com

Splunk Klantcase: Financiële Overheidsafdeling

Geautomatiseerde online fraudedetectie met Splunk SOAR

Een financiële overheidsafdeling stond voor een groeiend probleem: het aantal phishing (e-mail) en smishing (sms) berichten uit hun naam nam snel toe, met mogelijk ernstige gevolgen voor burgers en het vertrouwen in de klant. Omdat meldingen van dit soort online fraude nog handmatig werden verwerkt, en het toenemend aantal frauduleuze berichten te veel capaciteit van de betrokken IT/Security afdeling in beslag nam, is gekozen voor de implementatie van een geautomatiseerd systeem.

SMT heeft in nauwe samenwerking met de klant Splunk SOAR geïmplementeerd, een systeem dat veelvoorkomende, handmatige taken kan automatiseren middels playbooks.

De klant kan hierdoor het toenemend aantal phishing e-mails en smishing berichten aanzienlijk sneller verwerken met minder druk op de verantwoordelijke afdeling zelf. Hierdoor ontstaat meer vrije capaciteit voor andere belangrijke security gerelateerde kerntaken en behoudt personeel plezier in hun werk.

SMT’s data-engineers hebben een OCR-oplossing ontwikkeld die integreert met Splunk SOAR om tekst in afbeeldingen en screenshots om te zetten naar bruikbare data voor verdere analyse, zoals telefoonnummers, URL’s en rekeningnummers.

Het resultaat is een snellere verwerking en analyse van het toenemend aantal phishing en smishing berichten. Phishing/Smishing campagnes worden hierdoor sneller de kop ingedrukt. Deze succesvolle aanpak wordt internationaal erkend en gedeeld als een inspirerend voorbeeld van effectieve samenwerking tussen publieke en private instanties in de strijd tegen phishing en smishing.

De bewustwording:

De klant realiseerde zich dat, door het sterk toenemend aantal frauduleuze berichten, snellere verwerking en analyse nodig was om bij te blijven met de instroom. Door sneller te kunnen reageren op phishing en smishing berichten, evenals gerelateerde frauduleuze websites, wordt het cybercriminelen in toenemende mate moeilijker (en duurder) gemaakt om nepberichten te sturen namens de klant.

Dit is niet alleen in het belang van de burger, het toont ook aan dat de klant er alles aan doet om effectief op te treden tegen phishing en smishing. Daarnaast was de klant zich ervan bewust dat continue handmatige verwerking tot ontevreden medewerkers zou leiden en bovendien foutgevoelig is.

De uitvoering:

Splunk SOAR werd geïmplementeerd als geautomatiseerde verwerkingsoplossing voor de phishing/smishing meldingen. De klant heeft een speciaal e-mail adres (valse-email@<domein>.nl) aangemaakt waar burgers verdachte berichten kunnen melden. De ingediende phishing- en smishing-berichten worden vervolgens door Splunk SOAR opgepakt.

Relevante informatie wordt doorgestuurd naar Splunk, waar het wordt geaggregeerd voor verdere analyse en om geautomatiseerde acties uit te voeren. Denk hierbij aan het offline halen van een gerelateerde, frauduleuze website of blokkeren van rekening- en/of telefoonnummers. Bij detectie van een phishingdomein wordt deze kennis gedeeld met andere partijen zodat zij zichzelf ook kunnen beschermen.

Het resultaat:

Door de geautomatiseerde verwerking van phishing/smishing berichten, kan de klant het toenemend aantal frauduleuze meldingen nu sneller verwerken en delen. Hierdoor worden phishing/smishing campagnes sneller tegengehouden en wordt het cybercriminelen moeilijker gemaakt om nepberichten namens de klant te versturen.

Dankzij de implementatie van Splunk SOAR kunnen phishing- en smishingberichten geautomatiseerd worden gedetecteerd en gemitigeerd. De klant is hierdoor een minder aantrekkelijk doelwit geworden voor phishers. Ook toont de klant richting burgers aan dat ze phishing/smishing fraude serieus nemen en actief bestrijden.

De klant zelf heeft ook zijn eigen weerbaarheid verhoogd omdat interne medewerkers nu zelf ook kunnen worden beschermd tegen phishing- en smishingfraude.