DR sendte falsk phishingmail til 3.000 ansatte: 1.406 gik i fælden

28. juni 2016 kl. 06:2819
DR sendte falsk phishingmail til 3.000 ansatte: 1.406 gik i fælden
Illustration: aurielaki/Bigstockphoto.com.
Danmarks Radios it-afdeling gør ansatte opmærksomme på phishing-faren med fake mail-svindel.
person
Magnus Boye
Journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Magnus Boye
Journalist

En mail med emnet ‘Nyt organisationsdiagram’ dukkede i slutningen af maj op i indbakken på samtlige DR-medarbejdere. Med i mailen var et link til det formodede diagram - og det valgte 1406 medarbejdere i organisationen med omkring 3.000 ansatte at klikke på.

1406 medarbejdere gik dermed direkte i den phishing-fælde, som DR’s egen it-afdeling- DR Teknologi - havde lavet for at gøre DR-ansatte opmærksomme på phishing-faren.

»Vi arbejder med at skabe en bevidsthed omkring sikkerheden, så risikoen bliver mindre,« fortæller Erik Frederiksen, der er stabschef ved DR Teknologi, til Version2.

»I stedet for at lave en side, der forklarer hvad en phishing-mail er, har vi forsøgt at fange folks opmærksomhed med mail-testen,« forklarer han.

Den falske phishing-mail blev hjulpet forbi DR's sikkerhedsforanstaltninger og kørte videre, efter beredskabet havde opdaget den, for at få den ud til flest mulige ansatte, fortæller stabschef i DR Teknologi Erik Frederiksen. Nu er mailen blevet til en plakat, der fortæller DR-ansatte om phishing-faren.

Høj procentdel faldt i fælde

Ud af de 1.406 personer, der lod nysgerrigheden råde og klikkede på linket i den falske phishing-mail, gik 787 videre til at logge ind på den side, linket førte hen til. Ud af en organisation på omkring 3.000 medarbejdere er det en høj procentsats, erkender Erik Frederiksen.

Artiklen fortsætter efter annoncen

»Men resultatet svarer til andre organisation, så det er som sådan ikke overraskende,« tilføjer han.

Hos sikkerhedsfirmaet Dubex, der har assisteret DR med phishing-forsøget, har man samme opfattelse.

»Det er desværre vores generelle oplevelse, at der er forholdsvis mange som går i fælden. Der hænger klart sammen med, hvor professionel man laver mailen, men når den er målrettet specifikt mod en organisation, er der mange, som falder i,« fortæller Dubex-direktør Jacob Herbst.

Ren psykologi

Det er langt fra tilfældigt, at phishing-testen lokker med et nyt organisationsdiagram, fortæller han.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Det er ren psykologi. Organisationsdiagrammer, fyringer, lønnings-information og nyansættelser er alt sammen noget, der fanger, fordi modtagerne har en fornemmelse af, at det er noget, der påvirker deres hverdag,« siger Jacob Herbst og tilføjer, at dem der laver phishinangreb godt ved, hvad der skal til for at hente kliks.

Selvom om DR’s falske mail på den måde effektivt lokker de ansatte, er der også indbyggede hints, der burde få alarmklokkerne til at ringe hos den opmærksomme modtager.

Fx kommer mailen fra et domæne, der ligner - men ikke er - et ægte DR-domæne - navnlig dr.dk-net.org. Derudover rummer teksten en syntaks-fejl og en blanding af dansk og engelsk stavemåde med ordet ‘Communikation’.

Som et brandberedskab

Det er et spørgsmål om at lære folk sund fornuft, understreger Jacob Herbst

»Det er de færreste, der spiser et lækkert stykke chokolade, de finder på fortovet. Vi skal give folk den samme sunde fornuft omkring it-sikkerhed - at du ikke kan klikke på alt, der havner i din mailboks,« siger han.

DR’s falske mail kom kun ud til samtlige medarbejdere, fordi spamfilteret blev tweaket til at tillade det forud for øvelsen. Men ifølge Dubex-direktøren vil den tekniske sikkerhed aldrig garantere, at der ikke slipper phishing-mails igennem.

»Ligesom folk skal vide, hvad de gør, når brandalarmen lyder, skal brugerne vide, hvordan de skal reagere, når de opdager noget mistænkeligt,« siger Jacob Herbst og fortsætter:

»Og her er det vigtigt, at vi arbejder med brugernes adfærd og handlemåder, og for at lykkes at ændre på det kræves der mere end et simpelt online kursus.«

Kunne være stoppet

Trods den høje andel af medarbejdere, der hoppede i DR’s phishing-fælde, er Erik Frederiksen godt tilfreds med resultatet af øvelsen.

Artiklen fortsætter efter annoncen

»Få minutter efter mailen var sendt ud, fik vi de første indberetninger. Havde det været et rigtigt phishing-angreb, kunne vi have stoppet det relativt hurtigt,« fortæller han.

Nogle medarbejdere gik så vidt, som at opspore dem, der havde sendt mailen for at høre, hvad meningen var, fortæller stabschefen.

Det er netop den reaktion, som it-afdelingen håber på at lære DR-ansatte med phishing-mail, der nu er blevet til en informationsplakat i DR Byen.

»Hvis man ser noget, skal man hellere reagere end ignorere det. Få gjort it-afdelingen opmærksom på det, for der kan være flere, der har fået den samme mail,« understreger Erik Frederiksen.

Emner
19 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
19
Povl Kvols
22. maj 2017 kl. 11:07

Alene det, at medarbejderne opfordres til at lære mere på et andet eksternt site, dubex.net, virker da i sig selv selvmodsigende. "Gå aldrig ind på en underlig ekstern side. Lær mere på (link til underlig ekstern side)." Mja, right!

  • more_vert
    • insert_linkKopier link
18
Bent Jensen
5. juli 2016 kl. 15:45

Nu får vi se hvordan man klare sig uden micrsoft, eller om der er et reelt alternativ.

https://www.version2.dk/artikel/bulgarsk-lov-al-software-udviklet-offentlige-skal-vaere-open-source-845110

"Og vi har ikke engang et reelt alternativ til MS office hvis vi kigger på plugins, journalisering, exchange servere osv. Desværre"

jo, fravalg. De plugins, journalisering, exchange servere kan undværes og der kan findes andre løsninger, hvis valget er intet. Så ser vi måske også om funktioner er nødvendige, eller om det ikke bare er slet skjult vendor lock in, hvor der er andre løsninger

  • more_vert
    • insert_linkKopier link
17
Kristian Christensen
2. juli 2016 kl. 14:12

Det er en fin ide med Linux. Jeg er selv stor fan.
Men med mindre du vitterligt kun har MS office i dagligt brug så er det reelt ikke et alternativ. Sidder du med forskellige systemer der har et program, økonomi systemer der altså bare kræver Java i en eller anden bestemt version. Der er så mange ting der bare stadig kræver IE endnu. Ja det bliver bedre men du kan ikke forvente at bruge 20 mio på løsninger derer platforms uafhængigt og så derudover bruge næsten samme beløb på oplæring osv.

Hvis din forretning skal hænge sammen er det fin at starte op på den måde. Men hvis du har en etableret forretning skal den være fleksibel. Og vi har ikke engang et reelt alternativ til MS office hvis vi kigger på plugins, journalisering, exchange servere osv. Desværre

  • more_vert
    • insert_linkKopier link
14
Flemming Riis
29. juni 2016 kl. 07:29

Kunne jo så passende bruge noget af deres public service forpligtigelse og så frigive deres awareness og steps så andre kunne se dem.

Eller de kunne starte med at kræve 2FA på alt der ikke benytter SSO internt , så kunne det jo være at når en medarbejder laver en fejl som sker så har det ingen betydning.

Hvad er næste skridt fra DR at spike punchen til firma festen og ringede efter politiet og se hvor mange der bliver taget ?.

IT og rådgiverne pligt er at sørge for at lækkede/indtastede oplysningern ikke er brugbare , det er umuligt at forhindre at det sker , men det får man jo ikke mange forsider ud af.

  • more_vert
    • insert_linkKopier link
13
Bent Jensen
29. juni 2016 kl. 01:25

Linux Mint eller Ubuntu (2 sider af samme sag). Har ikke tænkt på sikkerhed siden jeg skiftet, men bliver tvunget til at skrive et password hver gang der skal ændre i systemet ellers ikke, har det noget med sikkerhed at gøre ? :-)

Det funker lige så godt som at fjerne alle script, java, flash i plug in fra browser i windows, også kun installere pakker fra betrodet sider. Det sker også automatisk i Linux, sammen med opdateringer uden Candy Crush Saga.

Så et skift til Linux vil gøre det nemmere, samt kræve mindre af harware, selv om Windows 10 her gør det langt bedre end ældre versioner.

Man kan også vende det om, køb og brug af Microsoft og andre kommercielle er spil af Licens penge, og burde forbydes. Køb og brug af ikke opensource burde være begrænset til de få produkter hvor der ikke er et alternativ. Eller køre de med Appel Air til alle, det er jo AFP beløb de håndtere ?

  • more_vert
    • insert_linkKopier link
11
Mogens Bluhme
28. juni 2016 kl. 20:53

Microsoft har fejlbalanceret dikotomien mellem bekvemmelighed og sikkerhed i årtier. De skjuler en masse information for brugerne. Mellemrum i fil-og mappenavne, der giver filnavne forskellige navne i stifinder og kommandoprompt, skjul af filendelser, default editor i Outlook er Word.

Værst af alt : skjuler emailadresserne, så der bare står Hans Henrik eller lignende - det øger ikke årvågenheden blandt brugerne, som phisingmailen i DR viser. Outlook er endda så hurtigt til at foreslå en emailadresse inden man har tastet top-leveldomænet ind og sender glad afsted - trist at Outlook ikke engang kan checke om emailadressen er valid.

Ved fejlretning for IT-folk, der ved noget om det, er det oftest nødvendigt at google, hvordan man finder den skjulte information frem. Det burde være omvendt - folk skulle selv definere hvad de vil skjule og således tage beslutninger selv i stedet for Microsoft's "gætteri" på hvad Maren i Kæret ønsker.

De kan tage Apple i hånden - de to firmaer har sinket den globale IT-udvikling i årtier og gør det fortsat.

  • more_vert
    • insert_linkKopier link
10
Peder Lauridsen
28. juni 2016 kl. 18:09

Det er unfair at give brugerne skylden for usikker adfærd på computere... det er mere et tegn på at IT afdelingen i dag fejler på at levere sikre og brugbare løsninger... Windows og især dens mange browsere er en sikkerhedsmæssig katastrofe og sikker brug er ikke mulig... Firmaer sender ofte undersøgelser rundt som brugerne forventes at besvare om fx trivsel, arbejdsmiljø etc, der kommer fra eksterne adresser og beder om login med firmaets brugernavn og password... Det er ikke brugerne der fejler, men derimod IT afdelingen og systemerne der ikke er gode nok! Tag nu ansvar i stedet for at bebrejde brugerne!

  • more_vert
    • insert_linkKopier link
9
Jens Holm
28. juni 2016 kl. 18:05

De gør det samme til et par millioner husstande, det kalder de så bare licens,,

  • more_vert
    • insert_linkKopier link
6
Martin Jensen
28. juni 2016 kl. 12:11

Jeg kunne da hurtigt få et ry som besværlig medarbejder, hvis jeg begyndte at kontakte it-afdelingen hver gang.

Don't kill the messenger.

En sikkerheds-bevidst organisation, herunder dens IT-organisation, vil altid takke for og påskønne en indberetning om noget "der er galt" it-sikkerhedsmæssigt og fysisk sikkerhedsmæssigt. Man kan jo så, ud over snak om selve henvendelsen, som minumum tilføje hvad man påskønner at få af underretninger fremadrettet, og hvordan.

Det er en falliterklæring hvis brugerne ikke føler det er dem til gavn, eller er dem direkte til ulempe, at fortælle om noget der faktisk er en reel trussel.

  • more_vert
    • insert_linkKopier link
5
Michael Larsen
28. juni 2016 kl. 11:37

Det overraskende for mig i denne historie, er at man i DR har en forventning om, at medarbejderne retter henvendelse til it-afdelingen, når de opdager et phishing-forsøg. Jeg arbejder som almindelig fodtudse i en stor offentlig organisation, hvor der nok er et phishing-forsøg i min indbakke om dagen. Jeg kunne da hurtigt få et ry som besværlig medarbejder, hvis jeg begyndte at kontakte it-afdelingen hver gang.

  • more_vert
    • insert_linkKopier link
4
Bent Jensen
28. juni 2016 kl. 11:27

Så man skal forbedre uddannels 1406 eller 787 gange, og håbe der ikke kommer nye medarbejder !

Viser nok mere at filtre og mindre tilladelser til kilenter er vejen frem, sammen med en backup, når det alligevel fejler. Private PC med google konti på nettet kan også rammes, så sikkerheden må også ligge i Intrenettet, med begræning i konti.

Er glad for at jeg ikke har et arbejde hvor jeg står med ansvaret for sikkerhed ud mod verden. Og skulle svare på sprøgsmåle som, er vi helt sikker, og har tænkt vi på alt.

  • more_vert
    • insert_linkKopier link
3
Povl H. Pedersen
28. juni 2016 kl. 10:10

Der var 1406 der klikkede på link, og dermed kunne have fået malware fra et driveby angreb. Dette er ikke så klogt. Og anti-malware kan ikke altid stoppe det. Se mailen, afsenderen var tydeligvis falsk, og der var andre småfejl i mailen. Det sker nok ofte.

Der var 787 er udleverede deres dr.dk credentials til et 3die parts website. Jeg ville have forventet at der var færre. Personligt ville jeg overveje at åbne linket på min iPhone og taste falske credentials ind.

  • more_vert
    • insert_linkKopier link
2
Søren Larsen
28. juni 2016 kl. 10:01

"...og det valgte 1406 medarbejdere i organisationen med omkring 3.000 ansatte at klikke på."

  • more_vert
    • insert_linkKopier link
1
Mark Gjøl
28. juni 2016 kl. 09:51

Men egentlig var det vel kun de 787 der loggede ind der gik i fælden? De resterende læste vel bare ikke deres mail.

  • more_vert
    • insert_linkKopier link