30.000 phishing-mails på vej: SDU angriber egne studerende i ny øvelse

Illustration: REDPIXEL.PL/Bigstock
Øvelsen skal træne de studerende i at begå sig sikkert på nettet.

I denne uge bliver 30.427 falske phishing-mails sendt til studerende på Syddansk Universitet med universitetet selv som afsender.

Det lyder som en ondsindet katastrofe på vej til at træde i kraft, men det omfattende phishing-angreb er en øvelse sat i værk af universitetet, der skal træne de studerende i sikker adfærd på internettet.

Det skriver Fyens.dk.

Feedback

Skulle en studerende falde for Syddansk Universitets phishing-mail, skal de ikke være bange for hverken at få stjålet personlig information, at blive inficeret af en virus eller for at dumpe et fag på deres givne semester.

Trykker den studerende på linket fra phishing-mailen, bliver de mødt af feedback fra Syddansk Universitet, der giver råd til, hvordan man i fremtiden kan undgå at falde for denne type svindel.

I den forbindelse må Syddansk Universitet i løbet af ugen krydse fingre for, at de studerende ikke får nys om den igangværende øvelse ved at læse Fyens.dk eller Version2.dk

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Silvio Condric

I den forbindelse må Syddansk Universitet i løbet af ugen krydse fingre for, at de studerende ikke får nys om den igangværende øvelse ved at læse Fyens.dk eller Version2.dk

Hvad er pointen i at syddansk universitet melder ud offentligt, at de afholder en phishing øvelse, med stor sandsynlighed for at mange af deres elever læser Fyens.dk og Version2.dk, når phishing øvelser er tiltænkt for at skabe overblik over hvor mange der vil falde i?

Det er måske ikke en helt dum fremgangsmåde de har valgt, at få det meldt ud offentligt, for på den måde kan de vel hurtigt komme ud med deres råd til deres elever, men jeg ville nok bruge phishing øvelser på andre måder, da deres måde at håndtere det på ikke giver syddansk universitet det reele overblik over HVEM der kunne bruge deres råd .

  • 1
  • 0
Hans Nielsen

Pointe med at melde øvelsen offentligt


Det kunne være.

Hvis man får et godt resultat, så kan man melde ud.
At vi har ingen problemmer, så det bruger vi ikke mere tid og resurse på.

Man kunne også inden, spørge elevrådsformanden om hvad han synes om en sådan metode. Så er man helt sikkert på at alle er advaret.

Men inficeret af virus ?
Køre de fleste unge mennesker ikke på Mac, der ligesom Linux ikke bliver ramt af Virus, på samme måde ?

Gode råd her.

https://www.youtube.com/watch?v=Vxz9ry2uro8

  • 1
  • 3
Henrik Størner

Men inficeret af virus ?
Køre de fleste unge mennesker ikke på Mac, der ligesom Linux ikke bliver ramt af Virus, på samme måde ?

Det er noget af en skrøne fra den gang Macs ikke var så populære. Phishing angreb der f.eks. lokker dig til at give en angriber dit login+password fungerer fint i Safari, og browser-baseret malware kører også glimrende i Chrome's eller Firefox' Mac udgave.

  • 5
  • 0
Hans Nielsen

Det er noget af en skrøne fra den gang Macs ikke var så populære


Men så er det kun den enkelts brugers browser som er smitet, ikke OS som bliver komprimiteret.

Det er vel så fjernet med at bruge default på browser ?

Ikke at geninstallere hele OS, samt evt at genskabe data fra backup.

Sådan en forskel på 5 minuter og 2 dage, i brug af tid.

Især når der ikke længere tages backup af registreingsdata base i windows, så kan det være svært at komme tilbage uden en helt rent installation.

Men synes stadigt, at "mac er lige så sårbar som windows" er en skrøne, når man tænker på hvor få det bliver ramt på Mac.

Hvis man også medregner tiden, penge samt cpu og ram brugt på antivirus og ligende. Samt den omfatten profilereing som Microsoft i dag sender hjem. Så tror jeg valget eller fravalget er nemt.

Windows er et mere usikker system, ikke fordi det bruges af flest.
Men fordi det i bund og grund er lavet forkert fra starten, hvis man ønsker et sikkert system.

https://www.youtube.com/watch?v=hHYMp6eNW00

PS. Kan man ikke vende det om ? Det mest brugte system, leveret af et af de støreste og rigeste firmaer i verden. Det burde da være det med færest fejl og sikkerheds hulle. Det burde ikke kræve betalt, næsten aldrig virkende antivrus fra start.

  • 0
  • 4
Tobias Volfing

Der er næsten ikke noget i dit indlæg der giver mening, Hans.

Jeg er selv Linux bruger - men det er noget vrøvl det du skriver.
Windows 10 har en 'reset Windows' funktion indbygget der tager hvad, 30 minutter at køre?

Jeg kender i øvrigt ingen privatpersoner der har brugt en krone på sikkerhedssoftware til hverken OS X eller Windows.

  • 4
  • 0
Mikael Sørensen

Men så er det kun den enkelts brugers browser som er smitet, ikke OS som bliver komprimiteret.

Hans, der er forskel på informationssikkerhed og systemsikkerhed. Det er ikke nødvendigt at kompromittere systemet, hvis du blot er interesseret i information. Information skal som regel anvendes af mennesker, så en bruger har brug for adgang til information. Kompromittér brugerens adgang, og du kompromitterer information.

Det er ikke nødvendigt at få adgang til din kernel, hvis det er dit regneark med medicinske forskningsresultater, jeg gerne vil have fat i.

Systemet er reelt kun interessant, hvis du har brug for at bevæge sig rundt på netværket (så er vi lidt uden for almindelig cybercrime, som privatpersoner behøver bekymre sig om) eller har brug for noget infrastruktur til yderligere, længerevarende angreb (og mig bekendt er der vist en del Linux-baserede C2-servere rundt omkring).

  • 1
  • 0
Martin Storgaard Dieu

Hvad er pointen i at syddansk universitet melder ud offentligt, at de afholder en phishing øvelse, med stor sandsynlighed for at mange af deres elever læser Fyens.dk og Version2.dk, når phishing øvelser er tiltænkt for at skabe overblik over hvor mange der vil falde i?

I følge NIST så bør man melde det ud til ansatte i virksomheden [1]:

Inform staff that your organization will be conducting phishing exercises and make sure they know how to report suspect emails. People who learn after the fact they’ve been phished by their own organization might feel tricked and can become resentful.

Jeg håber at version2 vil følge op på denne øvelse, som forhåbentlig viser andet end "antal klik på et link i en phishing mail". Jeg lavede en hurtig søgning på Google med ordene "sdu phishing" og der var ikke nogle resultater på første side, som indikerede et sted at indrapportere phishing mails.

[1] K. Greene, M. Steves and M. Theofanos, "No Phishing beyond This Point," in Computer, vol. 51, no. 6, pp. 86-89, June 2018.

  • 0
  • 0
Tobias Volfing

Jeg lavede en hurtig søgning på Google med ordene "sdu phishing" og der var ikke nogle resultater på første side, som indikerede et sted at indrapportere phishing mails.

Jeg er selv ansat på SDU, og jeg har godt nok tidligere været ansat i IT afdelingen, men jeg tror ikke der er nogen ansatte/studerende der er i tvivl om at de kan melde dette til IT-service via de forskellige kanaler der nu engang er til rådighed - uanset om det står på hjemmesiden eller ej. Der er løbende informationskampagner, og man kan nærmest ikke komme i kontakt med IT funktionen uden at der medfølger lange smører om hvordan man ikke skal oplyse sit password til folk m.m.

Det kan godt være jeg husker forkert - men jeg mindes at der har været lavet en tilsvarende øvelse for nogle år tilbage.

  • 0
  • 0
Louise Klint

Jeg synes, det er et godt initiativ på SDU.

Man skal huske på, at it-sikkerhedsøvelsen foregår på en uddannelsesinstitution. Det sætter nogle begrænsninger i forhold til metode og gennemførsel, økonomi måske ligeså.
Her er mange tusind studerende, som kommer og går på vidt forskellige tidspunkter, dvs. man kan ikke – som i fx en virksomhed eller anden organisation – lave fx en dags oplæg med teori og øvelser, så alle er klædt bedst muligt på til de mange former for snydemails, før man går i gang. Det er ikke praktisk muligt, og jeg tror også det vil være dyrt.
Man skal starte et sted.

Jeg tror heller ikke, at det gør noget, at de studerende er oplyst i forvejen, via studiet eller medierne, fordi så er man blot ekstra opmærksom, på vagt, har et skærpet fokus på sagen og området.
Man kan prøve at se, om man kan spotte snydemailsene. Om man er bedre end de, der prøver at lokke dig i en fælde, så man ikke lader sig snyde. For konkurrencemennesker kan der gå sport i det. (”De skal ikke have lov at snyde mig! Jeg skal nok vinde over dem. Jeg er skarp”).

Pointen er ikke at få flest/færrest muligt til at gå i fælden.
Pointen er at træne den enkeltes opmærksomhed og bevidsthed, og dermed handlemønster fremadrettet.
Således sikkerheden øges.

Og det kan være, at man skal gentage øvelsen om fx et halvt års tid, el.lign., med jævne mellemrum. Gentagelser vil givet skabe det bedste resultat. En reminder og nok en, mens du mindst venter det.

De studerende er helt almindelige, unge mennesker, kvinder og mænd (ikke it- og teknologinørder).
Én ting er, hvad man ved på forhånd, er bedst at gøre; hvad man skal være opmærksom på. Noget andet er, hvad man gør i praksis.
Når man har travlt og tingene går stærkt, og man har gang i mange ting på en gang, evt. arbejder op imod en deadline, etc.

Jeg synes det er en god start, et godt initiativ.
Og frem for alt lyder det til at være pædagogisk i orden.

Der er ingen barske sanktioner.
Det jager ikke en skræk i folk, en ængstelse for at begå fejl eller bange bekymringer om, hvorvidt det får konsekvenser for dig selv, dit studie eller andre, at du begik denne fejl (at klikke på linket/lade dig snyde).
Snarere en bevidsthed, en skærpet opmærksomhed.
En forståelse for, at nogen kan have interesse i at snyde dig (med konsekvenser til følge) og det må du prøve at være på vagt overfor.

  • 1
  • 0
Martin Storgaard Dieu

studerende der er i tvivl om at de kan melde dette til IT-service via de forskellige kanaler der nu engang er til rådighed

Jeg var selv studerende i 2010-2013 og i den tid husker jeg ikke nogle kampagner. På IMADA brugte vi, som studerende, på min årgang IT-service minimalt. Personligt havde jeg nok bare slettet mailen, hvis jeg tænker at det er phishing. Men som et led i et "early warning" system, så bør phishing mails indrapporteres centralt og ikke bare slettes.

Dette er i øvrigt at finde på SDUs hjemmeside:


Det kan godt være jeg er blind, men hvor står der hvor phishing skal indrapporteres?

  • 0
  • 0
Tobias Volfing

Det kan godt være jeg er blind, men hvor står der hvor phishing skal indrapporteres?

Det står der ikke noget sted der, men så vidt jeg ved er det også irrelevant for IT-service om de videresendes, de er skam opmærksomme på dem.

Det var blot for at sige at det er ikke første gang SDU forsøger at gøre noget ved problemet.

Jeg var selv studerende i 2010-2013 og i den tid husker jeg ikke nogle kampagner. På IMADA brugte vi, som studerende, på min årgang IT-service minimalt.

Da jeg blev ansat i februar 2011 havde der netop været en kampagne om it sikkerhed, med en fiktiv karakter som hovedperson (jeg har glemt hans navn) - det var muligvis kun henvendt mod ansatte. Jeg kan ikke huske de konkrete kampagner der har været siden da, men jeg mindes at være blevet orienteret om flere.

Og lige studerende på IMADA bruger muligvis IT-services ydelser mere end de gennemsnitlige studerende, da IT-service vedligeholder et 'computer lab' (terminalrum) på IMADA.

  • 0
  • 0
Hans Nielsen

Jeg er selv Linux bruger - men det er noget vrøvl det du skriver.
Windows 10 har en 'reset Windows' funktion indbygget der tager hvad, 30 minutter at køre?


Ja i de heldige tilfælde, og det er langt bedre end før.

Men tilgangen til sikkert genstart, er i dag gemt meget langt væk.
Men hvis det er en virus eller en orm som har angrebet, så er det vel dumt at stole på noget som helst som ligger på fastlager.

Desuden vil fejlen, hvis det er en driver eller andet i opdateringen som har givet en fejl, jo gentage sig, lige så snart systemet begynder at opdatere sig selv.

De 30 minuter, du taler om er jo kun den tid det tager at få systemet minimalt op at kørere, inden du har fået geninstaleret alle din programmer, driver, konti så din pc køre som den gjorde før, så er vi oppe på 2 dage. Bare alle de utalige genstarter og opdateringer kan da tage en god dags tid.

Bevares det samme kan ske med Linux, men det er normalt først når lageret svigter, at det typsik er tilfældet. Her er systemet fuldt oppe at køre igen, med alle programmer og patch efter 1 time eller 2, alt efter internetforbindelse, ikke efter 2 (arbejdsdage) dage.
Som jeg stadigt vil påstå er tiden for at få en windows helt op at køre igen.
Men grunden til at recovery er vigtigt, det er jo at man meget tit kommer ud for det med en windwos. Levetiden på en windows installtion er ikke langt, i forhold til de typsik 6-8 år for en Linux.
Hvis du feks. spiller, så kommer du på efter omkring et års tid, til at skulle geninstallere, og bruge de 2 omtalte dage.
Da window på grund af måden den er skruet sammen på. Simple til trækker snavs, så den bliver sløver, langtsomere og tit mere ustabil.

Desuden skal man efter hver lidt større opdateringer slette en masse bloatware, og sætte sin privacy op gang efter gang.

Eller så dør den bare, fordi den langtsomt har spist en Harddisk på under 100 Gb op.

Men prisen er idag ikke afgørende, når licens på en window ikke er mere end 30-50 kr. Men det er den tid som windows stjæler, ud over data, som koster meget tid og fustration i det daglige.

Desuden er din påstand om at der er lige så usikkert at surfe på Windows som Linux ikke noget der holder. Jeg kan sikkert finde 5-10 link som du bare behøves at besøge, før din Windows er inficeret med et eller andet. Det vil jeg påstå ikke er tilfældet med Linux.
Her skal du meget aktivt tage hovedet under armen før du bliver ramt

Gav det mere mening Tobias Volfing, ellers kan du prøve at se her, det er en som lidt mindre ubehjælpssom og klundet end mig i sproget, som prøver at forklare det.

https://www.youtube.com/watch?v=MIQNr0mOCpg

  • 0
  • 3
Sune Marcher

Hans, jeg har sagt det før, og jeg gentager gerne: det lyder som om du sidder fast i Windows 9x æraen - både hvad angår din viden om Windows samt hvilke angrebstyper der er almindelige og hvilke typer vulnerabilities der er.

Du har ikke statistisk underbyggede anekdoter... jeg kan så komme med mine personlige anekdoter: siden Windows Vista har næsten kun haft BSODs med defekt hardware eller når jeg har selv har rodet med driverprogrammering og har lavet bugs. Deciderede geninstallationer (på gaming/udviklings-maskine) har været ved massive opgraderinger (dvs. motherboard har været udskiftet), hvis system-harddisk er stået af, eller jeg har opgraderet til en ny Windows-version (hvor jeg har valgt clean reinstall, selvom upgrade sandsynligvis havde virkert fint). Jeg kan heller ikke genkende din "det tager flere dage at geninstallere", selv før jeg skiftede til SSD'er var det max et par timer. Bevares, der er flere reboots end jeg synes er nødvendigt, og det er mere omstændeligt at få alle applikations-settings på plads end at "tar -zxf'e homedir.tgz", men whatever.

Før du beskylder mig for at være Windows fanboy: mine servere har kørt forskellige Linux distributioner (og en virkeligt kort periode FreeBSD) siden slut-90'erne og min nuværende arbedsmaskine er en macbook.

  • 0
  • 0
Hans Nielsen

selv før jeg skiftede til SSD'er var det max et par timer.


Så hvis jeg sletter dine harddisk, så er du kørende med alt efter 2 timer, og alle opdateringer er gennemført og kørt.

Også inden alle dine data, driver software og software til diverser printer og enheder er på plads ?

Du har fået slettet alt blootware, som windows store, og sat alt privacy så der ikke sendes data til Microsoft eller andere.

Og dine mail, tools, og andet enheder køre, så du ikke mangler noget som helst ?

Du skulle måske have været ansat i Mærsk, Demant eller Hydro, de brugte noget længere tid på det.

"Microsoft's September 2019 Patch Tuesday comes with 80 fixes, 17 of which are for critical bugs."

Det er nu ikke sådan jeg oplever Linux, selv om jeg køre med 5-6 års gamle udgaver.

https://www.zdnet.com/article/microsoft-patches-two-zero-days-in-massive...

  • 0
  • 2
Hans Nielsen

Det er ikke fordi jeg ikke anderkender at Windows er blevet meget mere stabil, det er også meget sjældent jeg oplever BSD.
De første version af Win8/Win10 var endda for første gang bedre, eller mindre resurse forbrugenede end de foregående. **Men læs i bunden hvordan du rydder op.

Men med særvanlige microsoft snilde, har de da fået det ødelagt. I stedet for at levere et stabilt, enkelt GUI, uden alt for meget skrammel og tilføjelser. Så har de igen, igen lavet store nye opdateringer, som har introducere nye fejl, og som spiser unødvendige system resurser.

Det kan godt være at de kalder det Win10, men i virkeligheden taler vi om WIn11, Winxx

Har altid efter nogle år, været glad for de fleste Windows versioner, men knap når de at få et OS modnet, og de fleste fejl fjernet, før de starter forfra.

Med Windows 10 er der også komme et pricacy problem. Efter at Microsoft Ikke længere lever af at sælge Windows, så er de i stedet begyndt at sælge dig, det er særdeles meget data som efter hånden bliver sendt hjem, og der er svært at takke nej.

Selv hvis man betaler dyrt for en Profesonelt udgave, så får man stadigt en massse udnødvendigt skrammel med, samtidigt med at de stadig sælger din data.
Samt hver gang der kommer bare en lidt mindre opdatering, så er det forfra igen, med at fjerne tilvalg. Som også blive mere og mere gemt for hver gang. Du kan desuden vanskeligt ikke blive fri for dette.

Helt enkelt forstår jeg ikke at nogle firmaer tør bruge Micosoft , hvis de har bare en foretningshemmlighed, de ikke ønsker ender i USA.

Kan du forklare mig hvad service som 3d-Viser, Print 3d, Søg, Mobilabonnementer, MRP, Xboks, Map, ... har at gøre i OS. I stedet for at være et tilvalg, hvis man har brug for dem.

Og sikkerhedmæsigt så vil jeg stadig påstå at Windows er en katastrofe. Sikkerhed er simple hen ikke tænkt ind fra starten, og på grund af bagudkombilitet, vil det idag være svært at lave det rigtigt.

De forsøgte lidt i starten med Vista, men på grund af manglende omtanke så blev de fleste iriteret. Men i stedet for så at ændre og lave det rigtigt, så droppe de stedet forsøget helt.

Men om vi snakker Mac eller Linux, hvis eller man gider at gøre forsøget, så kommer de færeste tilbage til Windows hvis først de har prøvet noget andet. Når de få spil, som det er vigtigt for mig at spille, kan køre på en Linux, så tror jeg kun at Windows bliver køret vitualiseret her. - Spilet køre fint og bedre på Linux, men anti cheat køre ikke.

Men lidt link til dem som vil forsøge sig. Vil anbefale MINT til Windows bruger, eller den nye sort Linux MX hvis man har en bærbar.

Linux gaming
Microsoft Should be VERY Afraid - Noob's Guide to Linux Gaming
Steam library of over 500+titles is 90-95% playable

https://www.youtube.com/watch?v=Co6FePZoNgE

Linux 30 dages udfordring. Chris Titus oplever også at det meste som fil håndtering og video redigere kørte bedre og hurtigere på Linux.
Man skal måske starte her, hvis man for alvor vil skifte.

Switching to Linux | Part 1 | 30 Day Challenge

https://www.youtube.com/watch?v=7Qrg_QIwxxc

Hvis man vil fastholde Windows, så vil jeg som det midste anbefale, at man får ryddet op, og fjernet det meste skrammel. Se her.

Setting up the perfect Windows 10 Installation | Faster, Lighter, and Functional
https://www.youtube.com/watch?v=nVy4GAtkh7Q

Debloat Windows 10
Video

https://www.youtube.com/watch?v=q4ziE5Am0pM

**Debloat Windows 10 start her efter hver ny større opdatering fra Windows.

Trying to Debloat Windows 10 is getting ridiculous and as a system admin it is soul crushing to see all that performance go to waste on the botched attempt by Microsoft to do an Appstore and its apps (I’m looking at you Candy Crush). Luckily some admins have worked tirelessly to give us a solution that works considerably well. Lets Start!

https://www.christitus.com/debloat-windows-10/

  • 0
  • 2
Sune Marcher

Så hvis jeg sletter dine harddisk, så er du kørende med alt efter 2 timer, og alle opdateringer er gennemført og kørt.

Også inden alle dine data, driver software og software til diverser printer og enheder er på plads ?


Geninstallation af operativsystem, drivere (det eneste 3. parts jeg har brug for disse dage er grafikkort) og applikationer kan gøres på et par timer, ja – hvis det er en harddisk der er crashet og jeg skal hente data fra offline backup og skyen tager det længere tid, men det ville det gøre på alle operativsystemer.

I gamle dage brugte jeg imaging software og kunne være i gang igen på en ti minutters tid, men eftersom der går år imellem geninstallationer kan jeg godt leve med et par timer, hvor jeg så kan stene lidt Netflix eller læse imens.

Du skulle måske have været ansat i Mærsk, Demant eller Hydro, de brugte noget længere tid på det.


Der er forskel på at geninstallere sit operativsystem på en hjemmemaskine, og at lave post-mortem på et enterprisenetværk efter ødelæggende malwareangreb. Geninstallation af de enkelte maskiner er den mindste del af dét arbejde.

Og sikkerhedmæsigt så vil jeg stadig påstå at Windows er en katastrofe. Sikkerhed er simple hen ikke tænkt ind fra starten, og på grund af bagudkombilitet, vil det idag være svært at lave det rigtigt.


Det er korrekt hvis du taler om Windows 9x, og det var det korrekte valg for den linje af operativsystemer – for de NT-baserede versioner er holder dit udsagn bare ikke vand.

Jeg vil dog give dig ret i at Microsoft gør en del ting i Windows 10 som jeg ikke bryder mig om – reklamer og bundleware burde ikke være en del af operativsystemet. Der burde være større mulighed for at fravælge komponenter... der er bl.a. alt for meget tablet-agtigt crap jeg ikke har brug for (her er macOS ikke meget bedre, btw, omend man i det mindste forholdsvist let kan fjerne en del af braset efter installation). Jeg er tilhænger af telemetri, da det var på baggrund af telemetri MS kunne konstatere at >90% BSODs på XP var 3. parts grafikdrivere, og derfor omskrev grafikstakken i Vista... jeg er dog ikke fan af den uigennemsigtighed og mangel på kontrol med telemetri der er i Win10.

  • 0
  • 0
Hans Nielsen

"Jeg er tilhænger af telemetri, da det var på baggrund af telemetri MS kunne konstatere at >90% BSODs på XP var 3. parts grafikdrivere, og derfor omskrev grafikstakken i Vista"

Synes nu ikke dit synspunkt støtter Micosoft i at måtte profilere og sende data. De kunne jo fået samme information, ved at høre om de måtte sende data hjem, efter crach.

Hvis et BETA spil, jeg spiller går ned, og de sprøge om de må sende en report. SÅ siger jeg da jeg Ja. Men det er jo ikke det samme, som at de må overvåge mig konstant.

Atomvåben er også helt fint, de vandt krigen over Japan, og forhindre til nu, en 3 verdenskrig.

Men derfor er der jo stadig en grund til ABC våben er kontrolleret, og til dels uvloveligt.

https://www.youtube.com/watch?v=XZiSiEwKSYc

Selv om Micosoft vinder den nuværende sag, så er det jo ikke sikkert at de indsamlet data, ikke bliver misbrugt på et senere tidspunkt.

Evt. bare ved et læk, som ved yahoo.

https://www.berlingske.dk/virksomheder/microsoft-dropper-retssag-om-moer...

  • 0
  • 0
Sune Marcher
  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize