Data News spreekt met Arnout Van de Meulebroucke, CEO van Phished. Terwijl hij overdag aan de slag was voor Bringme, bouwde hij in zijn vrije tijd een platform uit dat bedrijven toelaat hun personeel stapsgewijs te testen en trainen rond phishingmails.

Vorig jaar zette Van de Meulebroucke de stap om voltijds voor zijn start-up te gaan, gesteund door zijn vorige werkgever Jo Vandenbergh die meteen een miljoen euro investeerde in het bedrijf. Die investering gaat naar extra mensen en kennis, maar ook lokale vestigingen in onder meer het Verenigd Koninkrijk.

Phished-founder Arnout Van de Meulebroucke., Phished
Phished-founder Arnout Van de Meulebroucke. © Phished

Heeft zo'n fysieke vestiging vandaag nog meerwaarde? Gezien jullie in het VK en Nederland al klanten hadden?

ARNOUT VAN DE MEULEBROUCKE: De grootste meerwaarde zit er in dat je voet aan de grond hebt. Je komt meteen betrouwbaarder over en zeker in cybersecurity is dat belangrijk. Bedrijven geven ons ook een zekere achterdeur in hun beveiligingsbeleid dus het vertrouwen moet er zijn.

Daarnaast is het, zeker na corona, aangenamer om mensen in het echt te zien en dat werkt beter met lokale mensen.

In sommige landen worden mensen op een andere manier getriggerd om op een phishingmail in te gaan. Dat maakt dat we ook lokaal mensen willen hebben.

De technische ontwikkeling blijft in België, dus die kantoren zijn vooral sales?

VAN DE MEULEBROUCKE: Het merendeel van die lokale mensen zal sales zijn, maar er zijn ook operationele aspecten. We beseffen dat er naast taal ook andere culturele eigenheden zijn in Nederland, Frankrijk, Engeland of elders. In sommige landen worden mensen op een andere manier getriggerd om op een phishingmail in te gaan. Dat maakt dat we ook lokaal mensen willen hebben die mails of sms'en gaan opstellen.

., Getty Images
. © Getty Images

Jullie eerste uitbreiding was naar Londen. Daarop kwam Frankrijk en in juni volgt Duitsland. Later komt ook Nederland aan de beurt. Wat maakt dat je kiest voor landen die net nog vrij dicht bij België liggen?

VAN DE MEULEBROUCKE: In de eerste plaats omdat er meer potentieel is. Ons businessmodel focust op het aantal ontvangers per klant dus grote bedrijven zijn beter. Maar we hebben daar ook al klanten en dat maakt ter plaatse uitbreiden makkelijker. We zitten ook in andere landen, maar dan eerder via partners.

Is dat dan binnen Europa, of staan regio's zoals Azië, de VS of het Midden-Oosten ook op de lijst?

VAN DE MEULEBROUCKE: Op lange termijn willen we ook daar ooit actief zijn. Maar nog niet noodzakelijk met fysieke kantoren. We zijn vandaag bijvoorbeeld wel actief in India via een lokale reseller.

Staan er nog kapitaalrondes gepland?

VAN DE MEULEBROUCKE: Momenteel is dat nog moeilijk in te schatten. Onze huidige investeerder is smart money. Hij heeft al internationaal geschaald en zijn expertise daarin helpt ons ook. Maar op dit moment zijn we nog niet in de fase dat we daar opnieuw over moeten beslissen. We groeien en ons businessplan wordt sneller dan verwacht uitgevoerd.

Gaat het dan enkel over organische groei, of staan er ook overnames gepland?

VAN DE MEULEBROUCKE: Het is vooral organische groei. Phishing als fenomeen groeit, dus de verwachting is dat wij ook groeien. Bij een grote cyberaanval merken we ook dat er meer aanvragen komen. Misschien komen er binnen enkele jaren wel overnames, maar op dit moment is dat niet aan de orde.

Schatten we het goed in dat jullie businessmodel vlot vertaalbaar is naar die markten, maar dat de inhoud per bedrijf of land moet worden aangepast?

VAN DE MEULEBROUCKE: Afstemmen op de lokale cultuur is inderdaad de voornaamste aanpassing. Ons product is vrij schaalbaar op technisch vlak dus of we phishingmails uitsturen in België, Nederland of Azië verandert daar weinig aan.

Maakt jullie dat ook niet kwetsbaar? Het lijkt iets dat andere start-ups of securityspelers ook vlot kunnen doen, zeker in een markt waar ze thuis zijn.

VAN DE MEULEBROUCKE: Er zijn heel wat spelers, ook in België, die phishing-simulaties aanbieden. Maar de meesten zijn resellers. Er zijn maar een paar spelers wereldwijd die het zelf doen, dat automatiseren en er personalisatie achter steken. Wij kijken bijvoorbeeld naar het bedrijf, de namen van de werknemers en hun functie. Daarnaast leiden we hen ook op via onze Phished Academy, we belonen hen voor het rapporteren van phishing-simualties en gaan naar een traject.

Een van onze grootste sterktes is dat we een duidelijke return on invest bieden. We beginnen vaak met een nulmeting, een simulatie afgestemd op de context van de klant. Dan weten ze ook hoe ze het doen tegenover de markt. Na een jaar doen we hetzelfde, en zien ze meteen of hun werknemers er beter mee omgaan

Bij anderen is het een kwestie van mails uitsturen en kijken hoeveel procent er inloopt. Wij kijken naar de vooruitgang die een organisatie of mensen maken. Ze krijgen ook moeilijkere phishingmails naarmate dat traject evolueert. Dat is al moeilijker om zomaar te kopiëren. Daar komt nog bij dat we intussen meer info vergaren voor ons algoritme.

Je hebt mensen die op een dinsdag heel vatbaar zijn voor marketingmails, maar ook mensen die in het weekend op meer obscure berichten klikken.

Wat voegt dat algoritme toe aan jullie aanpak?

VAN DE MEULEBROUCKE: Zodra onze klant een werknemer toevoegt als ontvanger, kijken we wat de functie van die persoon is, we vergelijken datasets met vergelijkbare profielen en zo weten we waar de kans het grootst is om in te lopen. Je hebt mensen die op een dinsdag heel vatbaar zijn voor marketingmails, maar ook mensen die in het weekend op meer obscure berichten klikken.

Gaan jullie ook persoonlijke info opzoeken? Dingen die je via Facebook, Twitter of LinkedIn kan te weten komen?

VAN DE MEULEBROUCKE: Neen, het blijft binnen hun professionele context. We kennen wel hun departement, locatie en taal. Zeker dat laatste is belangrijk als je iemand wil phishen.

Zijn er onderwerpen die beter werken dan anderen?

VAN DE MEULEBROUCKE: Corona-gerelateerde onderwerpen stonden het afgelopen jaar regelmatig op één. Sommige maanden wat minder, maar altijd wel in de top vijf. Daarnaast doen tijdgebonden simulaties het ook goed. Als we inspelen op een actueel haakje, bijvoorbeeld een Rode Duivel die uitvalt voor een interland, dan weten we dat er gegarandeerd heel wat nieuwsgierige sportfans in zullen tuimelen.

Een mail van de CEO met de vraag om een dringende overschrijving te doen naar een onbekende leverancier? In veel bedrijven gebeurt dat nooit.

Hoe blijf je ze als gebruiker herkennen als de mail niet vol taalfouten zit of afkomstig is van een rijke Nigeriaanse prins?

VAN DE MEULEBROUCKE: Het is natuurlijk reclame voor onze eigen diensten, maar er mee in contact komen en opgeleid zijn, is de beste manier. Daarnaast kan de domeinnaam van waar een bericht komt al een aanwijzing zijn.

Maar in de meeste gevallen is het gewoon logisch nadenken. Komt zo'n bericht ook in het echte leven voor? Een mail van de CEO met de vraag om een dringende overschrijving te doen naar een onbekende leverancier? In veel bedrijven gebeurt dat nooit, dus die ene keer dat het wel voorkomt is het waarschijnlijk oplichting.

ICT'ers denken vaak dat ze het goed weten, maar ze zijn overmoedig.

Verschilt dat fel per bedrijf of sector? Of zijn er jobprofielen die resistenter zijn? Iemand in ICT zou bijvoorbeeld toch beter moeten weten?

VAN DE MEULEBROUCKE: Publieke instanties zijn vaak kwetsbaarder dan privébedrijven. Daar zie je toch dat gemiddeld vijf procent meer mensen op phishingmails ingaat. Dat komt ook omdat het doorgaans grotere organisaties zijn. In grote bedrijven liggen de cijfers ook hoger.

ICT'ers denken vaak dat ze het goed weten, maar ze zijn overmoedig. In sommige simulaties scoren ze zelfs iets slechter dan andere werknemers. Het is een mythe dat IT'ers nooit in phishingmails trappen. Maar het hangt ook af welke profielen je test. Iemand die professioneel bezig is met phishing en security zal er beter tegen bestand zijn dan anderen. Hetzelfde geldt voor scholen en ziekenhuizen, daar is de kans even groot dat een factulteitshoofd of een hoofdarts in de simulaties trapt dan mensen van andere afdelingen. Iedereen kan er inlopen.

Data News spreekt met Arnout Van de Meulebroucke, CEO van Phished. Terwijl hij overdag aan de slag was voor Bringme, bouwde hij in zijn vrije tijd een platform uit dat bedrijven toelaat hun personeel stapsgewijs te testen en trainen rond phishingmails. Vorig jaar zette Van de Meulebroucke de stap om voltijds voor zijn start-up te gaan, gesteund door zijn vorige werkgever Jo Vandenbergh die meteen een miljoen euro investeerde in het bedrijf. Die investering gaat naar extra mensen en kennis, maar ook lokale vestigingen in onder meer het Verenigd Koninkrijk.ARNOUT VAN DE MEULEBROUCKE: De grootste meerwaarde zit er in dat je voet aan de grond hebt. Je komt meteen betrouwbaarder over en zeker in cybersecurity is dat belangrijk. Bedrijven geven ons ook een zekere achterdeur in hun beveiligingsbeleid dus het vertrouwen moet er zijn.Daarnaast is het, zeker na corona, aangenamer om mensen in het echt te zien en dat werkt beter met lokale mensen.VAN DE MEULEBROUCKE: Het merendeel van die lokale mensen zal sales zijn, maar er zijn ook operationele aspecten. We beseffen dat er naast taal ook andere culturele eigenheden zijn in Nederland, Frankrijk, Engeland of elders. In sommige landen worden mensen op een andere manier getriggerd om op een phishingmail in te gaan. Dat maakt dat we ook lokaal mensen willen hebben die mails of sms'en gaan opstellen.VAN DE MEULEBROUCKE: In de eerste plaats omdat er meer potentieel is. Ons businessmodel focust op het aantal ontvangers per klant dus grote bedrijven zijn beter. Maar we hebben daar ook al klanten en dat maakt ter plaatse uitbreiden makkelijker. We zitten ook in andere landen, maar dan eerder via partners.VAN DE MEULEBROUCKE: Op lange termijn willen we ook daar ooit actief zijn. Maar nog niet noodzakelijk met fysieke kantoren. We zijn vandaag bijvoorbeeld wel actief in India via een lokale reseller.VAN DE MEULEBROUCKE: Momenteel is dat nog moeilijk in te schatten. Onze huidige investeerder is smart money. Hij heeft al internationaal geschaald en zijn expertise daarin helpt ons ook. Maar op dit moment zijn we nog niet in de fase dat we daar opnieuw over moeten beslissen. We groeien en ons businessplan wordt sneller dan verwacht uitgevoerd.VAN DE MEULEBROUCKE: Het is vooral organische groei. Phishing als fenomeen groeit, dus de verwachting is dat wij ook groeien. Bij een grote cyberaanval merken we ook dat er meer aanvragen komen. Misschien komen er binnen enkele jaren wel overnames, maar op dit moment is dat niet aan de orde.VAN DE MEULEBROUCKE: Afstemmen op de lokale cultuur is inderdaad de voornaamste aanpassing. Ons product is vrij schaalbaar op technisch vlak dus of we phishingmails uitsturen in België, Nederland of Azië verandert daar weinig aan.VAN DE MEULEBROUCKE: Er zijn heel wat spelers, ook in België, die phishing-simulaties aanbieden. Maar de meesten zijn resellers. Er zijn maar een paar spelers wereldwijd die het zelf doen, dat automatiseren en er personalisatie achter steken. Wij kijken bijvoorbeeld naar het bedrijf, de namen van de werknemers en hun functie. Daarnaast leiden we hen ook op via onze Phished Academy, we belonen hen voor het rapporteren van phishing-simualties en gaan naar een traject.Een van onze grootste sterktes is dat we een duidelijke return on invest bieden. We beginnen vaak met een nulmeting, een simulatie afgestemd op de context van de klant. Dan weten ze ook hoe ze het doen tegenover de markt. Na een jaar doen we hetzelfde, en zien ze meteen of hun werknemers er beter mee omgaanBij anderen is het een kwestie van mails uitsturen en kijken hoeveel procent er inloopt. Wij kijken naar de vooruitgang die een organisatie of mensen maken. Ze krijgen ook moeilijkere phishingmails naarmate dat traject evolueert. Dat is al moeilijker om zomaar te kopiëren. Daar komt nog bij dat we intussen meer info vergaren voor ons algoritme.VAN DE MEULEBROUCKE: Zodra onze klant een werknemer toevoegt als ontvanger, kijken we wat de functie van die persoon is, we vergelijken datasets met vergelijkbare profielen en zo weten we waar de kans het grootst is om in te lopen. Je hebt mensen die op een dinsdag heel vatbaar zijn voor marketingmails, maar ook mensen die in het weekend op meer obscure berichten klikken.VAN DE MEULEBROUCKE: Neen, het blijft binnen hun professionele context. We kennen wel hun departement, locatie en taal. Zeker dat laatste is belangrijk als je iemand wil phishen.Zijn er onderwerpen die beter werken dan anderen?VAN DE MEULEBROUCKE: Corona-gerelateerde onderwerpen stonden het afgelopen jaar regelmatig op één. Sommige maanden wat minder, maar altijd wel in de top vijf. Daarnaast doen tijdgebonden simulaties het ook goed. Als we inspelen op een actueel haakje, bijvoorbeeld een Rode Duivel die uitvalt voor een interland, dan weten we dat er gegarandeerd heel wat nieuwsgierige sportfans in zullen tuimelen.VAN DE MEULEBROUCKE: Het is natuurlijk reclame voor onze eigen diensten, maar er mee in contact komen en opgeleid zijn, is de beste manier. Daarnaast kan de domeinnaam van waar een bericht komt al een aanwijzing zijn.Maar in de meeste gevallen is het gewoon logisch nadenken. Komt zo'n bericht ook in het echte leven voor? Een mail van de CEO met de vraag om een dringende overschrijving te doen naar een onbekende leverancier? In veel bedrijven gebeurt dat nooit, dus die ene keer dat het wel voorkomt is het waarschijnlijk oplichting.VAN DE MEULEBROUCKE: Publieke instanties zijn vaak kwetsbaarder dan privébedrijven. Daar zie je toch dat gemiddeld vijf procent meer mensen op phishingmails ingaat. Dat komt ook omdat het doorgaans grotere organisaties zijn. In grote bedrijven liggen de cijfers ook hoger.ICT'ers denken vaak dat ze het goed weten, maar ze zijn overmoedig. In sommige simulaties scoren ze zelfs iets slechter dan andere werknemers. Het is een mythe dat IT'ers nooit in phishingmails trappen. Maar het hangt ook af welke profielen je test. Iemand die professioneel bezig is met phishing en security zal er beter tegen bestand zijn dan anderen. Hetzelfde geldt voor scholen en ziekenhuizen, daar is de kans even groot dat een factulteitshoofd of een hoofdarts in de simulaties trapt dan mensen van andere afdelingen. Iedereen kan er inlopen.