Met een beetje pech heb je ooit de vermaledijde pagina wel gezien met daarop een tekst als 'Helaas, je bent gezakt voor de phishingtest'. Ict-afdelingen maken graag gebruik van dit laaghangend fruit. Een interne phishingcampagne is snel opgezet. Het resultaat is kort, krachtig en behoeft weinig nuance, en de managers zijn weer blij dat ze voldoen aan hun jaarlijkse securitychecklistje. Bedrijven kunnen eigenlijk beter stoppen met interne phishingtests, want beveiligingslekken toon je er amper mee aan en je shamet werknemers er alleen maar mee.
De resultaten van iedere phishingtest zijn voor 99 procent te voorspellen. "Hoe authentieker de e-mail, hoe groter de kans dat werknemers erop klikken". "Medewerkers openen de bijlage vooral op een onoplettend moment, maar wisten achteraf wel dat ze dat niet hadden moeten doen." "Op technisch gebied blijkt dat er hier en daar toch flink wat mogelijkheden zijn om door het netwerk te manoeuvreren, en dat wordt bij de volgende patchcycle gefikst."