DR sendte falsk phishingmail til 3.000 ansatte: 1.406 gik i fælden

Illustration: aurielaki/Bigstockphoto.com
Danmarks Radios it-afdeling gør ansatte opmærksomme på phishing-faren med fake mail-svindel.

En mail med emnet ‘Nyt organisationsdiagram’ dukkede i slutningen af maj op i indbakken på samtlige DR-medarbejdere. Med i mailen var et link til det formodede diagram - og det valgte 1406 medarbejdere i organisationen med omkring 3.000 ansatte at klikke på.

1406 medarbejdere gik dermed direkte i den phishing-fælde, som DR’s egen it-afdeling- DR Teknologi - havde lavet for at gøre DR-ansatte opmærksomme på phishing-faren.

Læs også: Sikkerhedssoftware udstiller medarbejderes svage kodeord med falske phishing-mails

»Vi arbejder med at skabe en bevidsthed omkring sikkerheden, så risikoen bliver mindre,« fortæller Erik Frederiksen, der er stabschef ved DR Teknologi, til Version2.

»I stedet for at lave en side, der forklarer hvad en phishing-mail er, har vi forsøgt at fange folks opmærksomhed med mail-testen,« forklarer han.

Den falske phishing-mail blev hjulpet forbi DR's sikkerhedsforanstaltninger og kørte videre, efter beredskabet havde opdaget den, for at få den ud til flest mulige ansatte, fortæller stabschef i DR Teknologi Erik Frederiksen. Nu er mailen blevet til en plakat, der fortæller DR-ansatte om phishing-faren. Illustration: Filip Wallberg / DR

Høj procentdel faldt i fælde

Ud af de 1.406 personer, der lod nysgerrigheden råde og klikkede på linket i den falske phishing-mail, gik 787 videre til at logge ind på den side, linket førte hen til. Ud af en organisation på omkring 3.000 medarbejdere er det en høj procentsats, erkender Erik Frederiksen.

»Men resultatet svarer til andre organisation, så det er som sådan ikke overraskende,« tilføjer han.

Læs også: Hver tiende offentligt ansatte har kendskab til succesfulde hackerangreb

Hos sikkerhedsfirmaet Dubex, der har assisteret DR med phishing-forsøget, har man samme opfattelse.

»Det er desværre vores generelle oplevelse, at der er forholdsvis mange som går i fælden. Der hænger klart sammen med, hvor professionel man laver mailen, men når den er målrettet specifikt mod en organisation, er der mange, som falder i,« fortæller Dubex-direktør Jacob Herbst.

Ren psykologi

Det er langt fra tilfældigt, at phishing-testen lokker med et nyt organisationsdiagram, fortæller han.

»Det er ren psykologi. Organisationsdiagrammer, fyringer, lønnings-information og nyansættelser er alt sammen noget, der fanger, fordi modtagerne har en fornemmelse af, at det er noget, der påvirker deres hverdag,« siger Jacob Herbst og tilføjer, at dem der laver phishinangreb godt ved, hvad der skal til for at hente kliks.

Læs også: Nets advarer mod endnu en bølge af fupmails og -beskeder

Selvom om DR’s falske mail på den måde effektivt lokker de ansatte, er der også indbyggede hints, der burde få alarmklokkerne til at ringe hos den opmærksomme modtager.

Fx kommer mailen fra et domæne, der ligner - men ikke er - et ægte DR-domæne - navnlig dr.dk-net.org. Derudover rummer teksten en syntaks-fejl og en blanding af dansk og engelsk stavemåde med ordet ‘Communikation’.

Som et brandberedskab

Det er et spørgsmål om at lære folk sund fornuft, understreger Jacob Herbst

»Det er de færreste, der spiser et lækkert stykke chokolade, de finder på fortovet. Vi skal give folk den samme sunde fornuft omkring it-sikkerhed - at du ikke kan klikke på alt, der havner i din mailboks,« siger han.

DR’s falske mail kom kun ud til samtlige medarbejdere, fordi spamfilteret blev tweaket til at tillade det forud for øvelsen. Men ifølge Dubex-direktøren vil den tekniske sikkerhed aldrig garantere, at der ikke slipper phishing-mails igennem.

Læs også: Rik Ferguson opliner sårbarheder: Dårlig kode, upålidelige ansatte og svag kontekst mellem firewall og anti-virus

»Ligesom folk skal vide, hvad de gør, når brandalarmen lyder, skal brugerne vide, hvordan de skal reagere, når de opdager noget mistænkeligt,« siger Jacob Herbst og fortsætter:

»Og her er det vigtigt, at vi arbejder med brugernes adfærd og handlemåder, og for at lykkes at ændre på det kræves der mere end et simpelt online kursus.«

Kunne være stoppet

Trods den høje andel af medarbejdere, der hoppede i DR’s phishing-fælde, er Erik Frederiksen godt tilfreds med resultatet af øvelsen.

»Få minutter efter mailen var sendt ud, fik vi de første indberetninger. Havde det været et rigtigt phishing-angreb, kunne vi have stoppet det relativt hurtigt,« fortæller han.

Læs også: Sikkerhedschef på DTU: Oplæring af medarbejdere i it-sikkerhed er vigtigere end tekniske løsninger

Nogle medarbejdere gik så vidt, som at opspore dem, der havde sendt mailen for at høre, hvad meningen var, fortæller stabschefen.

Det er netop den reaktion, som it-afdelingen håber på at lære DR-ansatte med phishing-mail, der nu er blevet til en informationsplakat i DR Byen.

»Hvis man ser noget, skal man hellere reagere end ignorere det. Få gjort it-afdelingen opmærksom på det, for der kan være flere, der har fået den samme mail,« understreger Erik Frederiksen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl H. Pedersen

Der var 1406 der klikkede på link, og dermed kunne have fået malware fra et driveby angreb. Dette er ikke så klogt. Og anti-malware kan ikke altid stoppe det.
Se mailen, afsenderen var tydeligvis falsk, og der var andre småfejl i mailen.
Det sker nok ofte.

Der var 787 er udleverede deres dr.dk credentials til et 3die parts website. Jeg ville have forventet at der var færre. Personligt ville jeg overveje at åbne linket på min iPhone og taste falske credentials ind.

  • 5
  • 0
Bent Jensen

Så man skal forbedre uddannels 1406 eller 787 gange, og håbe der ikke kommer nye medarbejder !

Viser nok mere at filtre og mindre tilladelser til kilenter er vejen frem, sammen med en backup, når det alligevel fejler.
Private PC med google konti på nettet kan også rammes, så sikkerheden må også ligge i Intrenettet, med begræning i konti.

Er glad for at jeg ikke har et arbejde hvor jeg står med ansvaret for sikkerhed ud mod verden. Og skulle svare på sprøgsmåle som, er vi helt sikker, og har tænkt vi på alt.

  • 0
  • 1
Michael Larsen

Det overraskende for mig i denne historie, er at man i DR har en forventning om, at medarbejderne retter henvendelse til it-afdelingen, når de opdager et phishing-forsøg. Jeg arbejder som almindelig fodtudse i en stor offentlig organisation, hvor der nok er et phishing-forsøg i min indbakke om dagen. Jeg kunne da hurtigt få et ry som besværlig medarbejder, hvis jeg begyndte at kontakte it-afdelingen hver gang.

  • 1
  • 3
Martin Jensen

Jeg kunne da hurtigt få et ry som besværlig medarbejder, hvis jeg begyndte at kontakte it-afdelingen hver gang.

Don't kill the messenger.

En sikkerheds-bevidst organisation, herunder dens IT-organisation, vil altid takke for og påskønne en indberetning om noget "der er galt" it-sikkerhedsmæssigt og fysisk sikkerhedsmæssigt. Man kan jo så, ud over snak om selve henvendelsen, som minumum tilføje hvad man påskønner at få af underretninger fremadrettet, og hvordan.

Det er en falliterklæring hvis brugerne ikke føler det er dem til gavn, eller er dem direkte til ulempe, at fortælle om noget der faktisk er en reel trussel.

  • 4
  • 0
Peder Thorsø Lauridsen

Det er unfair at give brugerne skylden for usikker adfærd på computere... det er mere et tegn på at IT afdelingen i dag fejler på at levere sikre og brugbare løsninger... Windows og især dens mange browsere er en sikkerhedsmæssig katastrofe og sikker brug er ikke mulig...
Firmaer sender ofte undersøgelser rundt som brugerne forventes at besvare om fx trivsel, arbejdsmiljø etc, der kommer fra eksterne adresser og beder om login med firmaets brugernavn og password...
Det er ikke brugerne der fejler, men derimod IT afdelingen og systemerne der ikke er gode nok!
Tag nu ansvar i stedet for at bebrejde brugerne!

  • 5
  • 4
Mogens Bluhme

Microsoft har fejlbalanceret dikotomien mellem bekvemmelighed og sikkerhed i årtier. De skjuler en masse information for brugerne. Mellemrum i fil-og mappenavne, der giver filnavne forskellige navne i stifinder og kommandoprompt, skjul af filendelser, default editor i Outlook er Word.

Værst af alt : skjuler emailadresserne, så der bare står Hans Henrik eller lignende - det øger ikke årvågenheden blandt brugerne, som phisingmailen i DR viser. Outlook er endda så hurtigt til at foreslå en emailadresse inden man har tastet top-leveldomænet ind og sender glad afsted - trist at Outlook ikke engang kan checke om emailadressen er valid.

Ved fejlretning for IT-folk, der ved noget om det, er det oftest nødvendigt at google, hvordan man finder den skjulte information frem. Det burde være omvendt - folk skulle selv definere hvad de vil skjule og således tage beslutninger selv i stedet for Microsoft's "gætteri" på hvad Maren i Kæret ønsker.

De kan tage Apple i hånden - de to firmaer har sinket den globale IT-udvikling i årtier og gør det fortsat.

  • 7
  • 1
Bent Jensen

Linux Mint eller Ubuntu (2 sider af samme sag).
Har ikke tænkt på sikkerhed siden jeg skiftet, men bliver tvunget til at skrive et password hver gang der skal ændre i systemet ellers ikke, har det noget med sikkerhed at gøre ? :-)

Det funker lige så godt som at fjerne alle script, java, flash i plug in fra browser i windows, også kun installere pakker fra betrodet sider. Det sker også automatisk i Linux, sammen med opdateringer uden Candy Crush Saga.

Så et skift til Linux vil gøre det nemmere, samt kræve mindre af harware, selv om Windows 10 her gør det langt bedre end ældre versioner.

Man kan også vende det om, køb og brug af Microsoft og andre kommercielle er spil af Licens penge, og burde forbydes. Køb og brug af ikke opensource burde være begrænset til de få produkter hvor der ikke er et alternativ.
Eller køre de med Appel Air til alle, det er jo AFP beløb de håndtere ?

  • 0
  • 3
Flemming Riis

Kunne jo så passende bruge noget af deres public service forpligtigelse og så frigive deres awareness og steps så andre kunne se dem.

Eller de kunne starte med at kræve 2FA på alt der ikke benytter SSO internt , så kunne det jo være at når en medarbejder laver en fejl som sker så har det ingen betydning.

Hvad er næste skridt fra DR at spike punchen til firma festen og ringede efter politiet og se hvor mange der bliver taget ?.

IT og rådgiverne pligt er at sørge for at lækkede/indtastede oplysningern ikke er brugbare , det er umuligt at forhindre at det sker , men det får man jo ikke mange forsider ud af.

  • 2
  • 1
Flemming Riis
  • 0
  • 0
Kristian Christensen

Det er en fin ide med Linux. Jeg er selv stor fan.
Men med mindre du vitterligt kun har MS office i dagligt brug så er det reelt ikke et alternativ. Sidder du med forskellige systemer der har et program, økonomi systemer der altså bare kræver Java i en eller anden bestemt version. Der er så mange ting der bare stadig kræver IE endnu. Ja det bliver bedre men du kan ikke forvente at bruge 20 mio på løsninger derer platforms uafhængigt og så derudover bruge næsten samme beløb på oplæring osv.

Hvis din forretning skal hænge sammen er det fin at starte op på den måde. Men hvis du har en etableret forretning skal den være fleksibel. Og vi har ikke engang et reelt alternativ til MS office hvis vi kigger på plugins, journalisering, exchange servere osv. Desværre

  • 0
  • 0
Bent Jensen

Nu får vi se hvordan man klare sig uden micrsoft, eller om der er et reelt alternativ.

https://www.version2.dk/artikel/bulgarsk-lov-al-software-udviklet-offent...

"Og vi har ikke engang et reelt alternativ til MS office hvis vi kigger på plugins, journalisering, exchange servere osv. Desværre"

jo, fravalg. De plugins, journalisering, exchange servere kan undværes og der kan findes andre løsninger, hvis valget er intet.
Så ser vi måske også om funktioner er nødvendige, eller om det ikke bare er slet skjult vendor lock in, hvor der er andre løsninger

  • 0
  • 0
Log ind eller Opret konto for at kommentere