Medarbejdere raser efter sikkerhedstest: Blev stillet penge i udsigt i phishing-mail

28 kommentarer.  Hop til debatten
Medarbejdere raser efter sikkerhedstest: Blev stillet penge i udsigt i phishing-mail
Illustration: Ingeniøren.
En test af medarbejdernes evne til at modstå phishing-mails har skabt vrede på Vestegnen. Ekspert kalder mailen ‘på kanten’ af etisk kodeks.
2. november 2021 kl. 13:47
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

På FGU Vestegnen, der er en af landets forberedende grunduddannelser, er medarbejderne vrede, efter at ledelsen har gennemført en test af medarbejdernes evne til at imødegå cyber-truslen udefra.

Det fremgår af DR-programmet P1 Morgen.

Jacob Herbst, CTO, Dubex.

I sidste uge tikkede der således noget ind i medarbejdernes mail-indbakker, der lignede en glædelig overraskelse. Her stod der, at A.P. Møller og Hustru Chastine Mc-Kinney Møllers Fond havde skænket 25 millioner kroner som en tak for det store stykke arbejde, som medarbejderne og FGU havde foretaget.

Artiklen fortsætter efter annoncen

Det betød konkret, at der var 8.500 kroner på vej til hver enkelt medarbejder. Det eneste, det krævede at få pengene ind på sin Nem Konto, var at udfylde en række personlige oplysninger.

Herefter klappede phishing-fælden, og der var altså ingen penge på vej til at forsøde julen med. Og det har vakt gevaldig vrede blandt medarbejderne, der føler sig taget ved næsen og kalder ledelsens initiativ for ‘topmålet af arrogance’.

Hanne Fischer, direktør for FGU Vestegnen, har godkendt mailen og forklarer, at den skulle være realistisk og tillokkende og er en del af et uddannelsesforløb i lyset af GDPR og behovet for styrket cybersikkerhed.

Men mailen med lovning om ekstra penge som tak for et stort stykke arbejde er på kant med, hvad man kan tillade sig. Der vurderer Jacob Herbst, der er teknisk direktør hos sikkerhedsvirksomheden Dubex.

»Jeg synes, at der er nogle elementer i mailen, som er lidt på kanten. Der er to ting, hvor jeg synes, at man går galt. Det ene er, at man går ned i en konflikt, man måske har på arbejdspladsen, der drejer sig om løn og arbejdsvilkår ved at love de ansatte nogle penge. Det svarer til, at man laver en phishing -mail til sygeplejerskerne, der slår på bedre løn. Det ville nok heller ikke falde i god jord. Den anden ting er henvisningen til en ekstern fond, der har givet nogle penge. Det er også noget, man, ifølge det etiske kodeks, skal lade være med at gøre,« siger han til P1 Morgen med henvisning til et kodeks udarbejdet af IT-Branchen, KL og HK i samarbejde med Dubex.

FGU forklarer, at man vil tage forløbet til efterretning og undersøge, hvordan man kan gøre det bedre i fremtiden,

Læs hele Version2s artikel om udfordringerne for moderne it-sikkerhed: Kæmpehacks sætter klassisk it-sikkerhed skakmat: »Ideen om en mur holder ikke«

28 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
28
8. november 2021 kl. 09:44

Vores receptionist blev virkelig ked af det. Ikke nok med at hun følte at hun var dum og havde svigtet, men også at hendes kollegaer rystede på hoved af hende. Hun blev desværre sygemeldt og kom aldrig tilbage.

I denne sag er der kun én testperson, som oven i købet bliver hængt ud --- så jeg synes ikke den umiddelbart kan bruges til at fordømme testen hos FGU.

Hvis der testes bredt i organisationen, og ingen bliver hængt ud med navn eller andre kendetegn, synes jeg det er fint at skyde med spredhagl --- og bagefter fortælle på et møde hvor mange procent der plaskede i vandet.

27
8. november 2021 kl. 08:56

Jeg arbejdede en gang i et firma, hvor direktøren var overbevist om at alt IT var sikker... så sikker at han hyrede et firma til at teste hele firmaets set up.

En dag kom der en mand ind i receptionen:

" god dag. Mit navn er Hans Hansen fra IT firmaet Angst & Bange. Jeg har en aftale med jeres IT chef... Åhh hvad er det nu han heder? "

" Peter Larsen? " sagde receptionisten

" JA. Lige præcis. Peter Larsen "

" Nu skal jeg ringe efter ham "

" Nej. Nej.. det er ikke nødvendig. Jeg skal bare tjekke noget med DALLER serveren og den forkromede Svits board. Jeg har aftalt med Peter at jeg bare kan sidde her i resorptionen... Der var noget med at i havde et EDB stik et eller andet sted ?

Hans var allerede begyndt at hive PC og LAN kabler ud af tasken.

" Vi har måske et stik her over ved stolen" sagde receptionisten.

" Den er mægtig " sagde Hans, og koblede sig på firmaets server. En 1/2 time senere rejste Hans sig op. Pakkede alt hans grej sammen og sagde " Jeg smutter igen. 1000 tak for hjælpen "

" Selv tak " sagde receptionisten. " Skulle det være en anden gang "

Dagen efter forlagde IT konsulenten hans besøg for Direktøren, og viste ham at han faktisk var kommet ind i det aller helligste. Direktøren bliv faktisk ikke særlig glad for dette stunt, og han ville advare alle medarbejderne om at de skulle passe på i fremtiden.

MEN MEN MEN... Måden det blev fortalt på var IKKE den rigtige og etiske måde.

Den efterfølgende fredag morgen, hvor alle medarbejderne var samlet til morgen brød, Hev han historien frem. Fortalt om hvor klodset og uforsigtig vores receptionist havde været. At hvis alle medarbejdere gjorde som hun, så var det jo umuligt for ham at udvikle et sikkert IT system!

Vores receptionist blev virkelig ked af det. Ikke nok med at hun følte at hun var dum og havde svigtet, men også at hendes kollegaer rystede på hoved af hende. Hun blev desværre sygemeldt og kom aldrig tilbage.

MEN... Alle os andre havde lært lektien. Vi skulle nok passe på i fremtiden, så vi ikke blev gjort til grin. Morale: Direktørens test virkede….

25
3. november 2021 kl. 19:45

Det syntes jeg engang. Det gør jeg grundlæggende stadig, når det er teknologien i sig selv det omhandler. Men at det antageligt er blevet nødvendigt med sådan noget som det her, og det jeg lige har overværet, da min datter skulle udfylde skemaer på mitsygefravær.dk, og da hun efterfølgende tog en sikkerhedstest i forbindelse med sin ansættelse, og nem-id, og rejsekortet, og Facebook, og ransomware, og fanden og hans pumpestok. Jeg ved det er så meget mere, og at meget ville være umuligt uden. Men jeg er sgu ved at blive i tvivl om det overvejende gør noget godt for os.

24
3. november 2021 kl. 19:43

Man burde vel bare have stoppet "spøgen" når medarbejderen havde trykker på linken og givet en popup med "UPS - du er på afveje" Det er vel usmageligt at lade folk taste oplysninger ind. Enten de bliver gemt eller ej

23
3. november 2021 kl. 19:23

Måske en honningkage?

Det er nok det bedste forslag indtil videre. Lad medarbejderne mødes til kage og få en ordentlig forklaring på, at de har været med i en test. Invitationen skal naturligvis også gælde de, der ikke hoppede i fælden.

Det er jo ikke bare en test af medarbejderne, men i høj grad også en test af om virksomheden har været god nok til at oplære medarbejderne i farerne ved IT. Hvis en stor del af virksomheden går i fælden, så er der muligvis også problemer med opmærksomhed i forhold til GDPR m.m.

22
3. november 2021 kl. 16:55

Det kan godt være at man som fagperson kan sidde på den høje piedestal og sige at folk godt nok er dumme og så fortjener de virkeligt at blive snydt.</p>
<p>Jeg tror bare ikke at det er den rette vej at gå.

Der er så forskel på at blive snydt. Hvis man hopper på en snydemail, der er del af en træning, så lærer man nok lidt af det.

Hvis man hopper på en rigtig phishing mail, så risikerer man at lære "ret meget". Mere end godt er.

Det er jo ikke et spørgsmål om "at få ram på de dumme brugere", når man tester dem. Selvfølgelig kan man nøjes med udelukkende at sende negative test-mails. "Du skal efterbetale 57.000 kr. i skat", men den slags kommer jo sjældent til ens arbejdsmail. Hvis folk skal lære, skal der også være muligheder for at "bide på". Ville det have været bedre, hvis der var lovet 850 kr. i stedet for 8500 kr.? Måske en honningkage?

21
3. november 2021 kl. 15:22

Så lad være med at tro du får "gode nyheder" over email - de vil forhåbentlig komme over E-Boks :)

Hvorfor skulle en besked om en "bonus" komme i E-Box? Der er aldrig sket når jeg har modtaget belønning for ekstra indsats, det er altid sket igennem mail.

Det er jo først når man læser at der skal afgives følsomme oplysninger at alarmklokkerne skal ringe, men der har man jo haft lykke følesen.

Det kan godt være at man som fagperson kan sidde på den høje piedestal og sige at folk godt nok er dumme og så fortjener de virkeligt at blive snydt.

Jeg tror bare ikke at det er den rette vej at gå.

20
3. november 2021 kl. 14:11

Har de tokens og SSO på alt

De fleste steder burde bruge på penge på sikkerhed istedet for test som alle ved folk falder for alligevel

Hvis det er farligt at taste sig brugernavn og password ind på en tilfældig side eller klikke på et link burde man nok starte der.

19
3. november 2021 kl. 14:09

Det er vel ikke fuldstændigt usandsynligt at man modtager en bonus for veludført arbejde, man når måske lige at ”få suset” og tænke julen er redet.

Hele pointen med den slags test er minde folk om at man ALDRIG skal stole på hvad man får på email !

Jo mere "heldigt" det lyder- jo mere skal dit bullshit filter ringe - og så snart de beder om information som ligger på "GDPR skalaen" - https://thecyphere.com/blog/sensitive-data/ - så SKAL man bare sige stop.. for hvis de har behov for noget for dig - kan det jo ikke passe at du har vundet noget eller hvad det nu er - for så ville de allerede vide det, de skal vide.

Så lad være med at tro du får "gode nyheder" over email - de vil forhåbentlig komme over E-Boks :)

18
3. november 2021 kl. 12:56

... men det er meget sværere at blive klog på andres erfaringer.

Kun ved at vise folk hvor nemt det er at falde i kan man anskueligøre problemet. Det handler ikke om at pege fingre af den enkelte, men om at kunne sige at X % røg i fælden og at den enkelte tænker tilbage på situationen hvor de var "lige ved" at falde i ...

Der er ganske enkelt for mange mennesker der tror at den slags kun sker for andre. De tænker ikke over mails de modtager, pop-ups de klikker på, nogen gange kører de alt som root/administrator, nogen gange tror de firmaets ydre firewall beskytter dem mod fæle mennesker.

Hvor mange virksomheder har lært af Mærsks NotPetya "hændelse"? Hvor mange kører videre og regner med at det ikke sker for dem? Vi er alle jubel-optimister når det handler om egne evner til at udgå malware. Desværre betyder det at vi tager fejl.

17
3. november 2021 kl. 12:26

Når jeg læser dette tænker jeg tilbage på engang jeg fik en besked fra Danske spil, hvor der i emnefeltet stod at jeg havde vundet 1 million. Jeg nåde lige at få suset og tænke endelig! Da jeg så åbnede mailen stod der noget i stil med ” Ville det ikke være dejligt at få sådan en besked…” Jeg må indrømme, at der blev jeg skide sur, det viste sig at mailen godt nok kom fra Danske spil men var en del af en reklame kampagne. Jeg var i forvejen vant til at modtage mail når jeg vandt i lotto, så det var ikke helt usandsynligt at det kunne ske.

Jeg har også set klip af mennesker der modtager falske skrabelodder f.eks. som gave fra et familie medlem, hvor de tror at de har vundet en stor gevinst.

Jeg finder denne form for opførsel modbydelig, ja jeg vil nærmest kalde det utilgiveligt!

Mon de der i denne tråd syntes at det var en fremragende ide, er de samme som kunne finde på give et sådant lod til et familiemedlem?

Det er vel ikke fuldstændigt usandsynligt at man modtager en bonus for veludført arbejde, man når måske lige at ”få suset” og tænke julen er redet.

Hele ideen med at få opmærksomhed på at man skal være varsom med hvilke oplysninger man sender som svar på mail, kan løses uden man får falske ”Du har vundet i lotto”

16
3. november 2021 kl. 12:04

Og efter min mening er det med fishing-tests som med aprilsnare: de skal være uskyldige, og det skal være noget, som man bagefter godt kan se, at man burde have gennemskuet. Og her synes jeg godt nok, at FGU Vestegnen er gået over stregen.

Kan du huske, dengang folk i massevis stod i kø for at få gratis Gammel Dansk? Der havde været en fejlproduktion med for meget alkohol, så nu gav fabrikken det væk i stedet for at hælde det ud.

15
3. november 2021 kl. 11:47

Og efter min mening er det med fishing-tests som med aprilsnare: de skal være uskyldige, og det skal være noget, som man bagefter godt kan se, at man burde have gennemskuet.

Jeg synes det er svært at vurdere hvad der er etisk og hvad der er ok i denne sag, uden at have set mailen. Hvis jeg får en ekstern mail, som jeg ikke har forventet at modtage, så "hover" jeg da lige over eventuelle links og checker domænet før jeg klikker. Det burde have været til at gennemskue at linket ikke førte til en legitim hjemmeside. Og i øvrigt er det da nærmest et klassisk format de har brugt: "Bill Gates har doneret en masse penge, klik her for at få nogle af dem".

Så umiddelbart, uden at have set mailen, så vil jeg da mene at det var en god test. Og om ikke andet så har vi da nu fået offentliggjort den bedste måde at skrive en phishing mail på, så dagens test kan hurtigt blive morgendagens IT skandale.

14
3. november 2021 kl. 11:39

Umiddelbart kan jeg heller ikke se problemet i man laver en phishing mail som lyder realistisk. Den skal dog ikke gå så langt at folk får mulighed for at indtaste nogle personlige informationer så efter et klik skal formålet afsløres med det samme. Det handler ikke om at se hvem der har klikket på et link og dermed udstille enkeltpersoner. Det vigtige er at gøre folk generelt opmærksomme på hvordan den slags kan se ud så de ikke falder i når den 'rigtige' mail dumper ind.

Men hvis mailen prikker til et ømtåleligt emne så er det nok ikke så heldigt, fordi det derved kan opfattes som en nedgørende kommentar over for medarbejderen. Så kunne man nok lige så godt have fundet et andet emne som ville have næsten den samme effekt.

13
3. november 2021 kl. 08:44

Formålet er jo ikke at få folk til at falde i fælden. Det er en misforståelse. Formålet er at øge medarbejdernes bevidsthed om phishing.

Formålet er at højne medarbejdernes opmærksomhed på at mails kan være phishing.

En måde at gøre dette er at få dem til at falde i.

Hvis der er mange medarbejdere der falder i, så er det et udtrykt for at ledelsen er sprunget et (eller flere) trin over på at tappen til en høj modstandstandsdygtigthed mod phishing.

12
3. november 2021 kl. 08:37

Der skal nok være nogle, som er blevet sure over at blive testet i det hele taget, og det er nok - med den måde, som IT har fået lov at udfolde sig på - desværre nok en nødvendighed.

Så er der dem, som synes at testen i sig selv går over grænsen, og de har IMHO en pointe.

Men istedet for at tale om fishing-tests (phishing, er det ikke når det involveret telefoner?), så lad mig tale lidt om aprilnare:

En god aprilsnar er efter min mening både uskyldig og noget, som man godt bagefter kan se, at man skulle have gennemskuet.

At lokke folk ud på parkeringspladsen ved at fortælle dem, at deres bil holder med lys, er ikke IMHO en god aprilsnar, for nok er et uskyldigt, men der er ikke noget at gennemskue (udover, at man åbenbart ikke kan stole på folk).

Det er heller ikke i orden, at jokke rundt på en forvejen øm tå, og man gør det ikke godt igen ved at sige "aprilsnar".

At få folk til at tro, at de har vundet i lotto, kan virke som en sjov ting, lige indtil de siger deres job op og smækker med døren på vej ud.

Og efter min mening er det med fishing-tests som med aprilsnare: de skal være uskyldige, og det skal være noget, som man bagefter godt kan se, at man burde have gennemskuet. Og her synes jeg godt nok, at FGU Vestegnen er gået over stregen.

11
3. november 2021 kl. 08:03

Den mail viser jo bare at de rammer et ømt punkt, det er dem som skal findes for at vi kan forbedre sikkerheden overall for brugerne. Korrket det er ikke rar mail at få, men det viser nødvendigheden for at træne brugeren. Rigtige IT Kriminelle viser ikke emphati eller tager hensyn til vilkår og regler, så skal lignende forsøg heller ikke. Sæt tanker igang, forny, forbedre. Den eneste måde vi bliver bedre.

10
3. november 2021 kl. 07:08

Jo - test skal ligne virkeligheden ellers er det ikke en test!

Men i en test gælder det ikke om at finde frem til en besked, der rammer et maksimum (det er i hvert fald svært at bruge til noget). Det er mere relevant at finde frem til bundniveauet. Altså den ringeste phishing-mail, der kan slippe forbi spamfilter og andre tekniske foranstaltninger og stadig snyde et antal brugere.

På den måde har du et målepunkt, så du næste år kan sammenligne og se, om din indsats har hævet bundniveauet.

Hvis du vil bruge en meget effektiv phishing-mail, så skal det være som udgangspunkt for en dialog med medarbejderne i din awareness/adfærdsindsats. Og så er det dumt at vælge et format, der gør dem vrede. Så vil de ikke være modtagelige.

Her kunne man have lokket med andre ting end penge (og vel at mærke penge knyttet til deres ansættelse og ikke fx et falsk lotteri). En mail om at gå ind og vælge årets firmajulegave havde nok været mere ok.

Jeg ville dog aldrig selv anbefale at bruge madding, der "støjer". Det er en dårlig phishing-mail, hvis folk begynder at tale om den på kontoret med det samme. En angriber skal lige bruge lidt tid at udnytte den første adgang til at køre det egentlige angreb i stilling. Hvis alle taler om pengene, så er der nok nogen, der gennemskuer mailen og forhåbentlig alarmerer it, som så forhåbentlig kan finde ud af at reagere hurtigt.

9
2. november 2021 kl. 23:54

Det kunne være interessant at sende den slags til alle team- og afdelingsledere: "Tillykke, dine ansatte er ikke blevet hacket, klik her for at indtaste initialer og kontonr. for at et modtage din bonus."

Ledere har jo et forhøjet ansvar, som modsvares i deres løn, og derfor må de forventes at være særligt agtpågivende... ;)

8
2. november 2021 kl. 23:43

...de burde være glade for at deres konti ikke er blevet lænset og deres identitet misbrugt.

Det ville have været konsekvensen hvis det havde været en ægte phishing mail som de var faldet for.

Jo - test skal ligne virkeligheden ellers er det ikke en test!

7
2. november 2021 kl. 18:35

hvor jeg var ved at jokke i spinaten (hidtil eneste gang) var, da jeg fik en meget fornærmelig mail. Jeg blev så arrig, at jeg troede, at den var ægte. Og det eneste jeg i mit raseri kunne finde på, var at anmelde den som phishing. Og så var det bare en test.

Forskellige mennesker reagerer på forskellig madding. Man kan ikke altid bruge madding, som ingen bider på.

6
2. november 2021 kl. 16:17

jeg har lige et spørgsmål, hvornår er it-kriminelle begyndt at overholder IT-Branchen kodeks?

5
2. november 2021 kl. 14:57

Det var da godt nok noget af det mest latterlige jeg længe har læst! :-D

Dem der sender den slags phishing mails for at franarre folk oplysninger er heller ikke de mest etiske mennesker der findes. At medarbejderne hoper på den, og derefter bliver sure over at de ikke får nogen penge, betyder vel mere at de er langt uden for pædagogisk rækkevidde når det handler om basal it-sikkerhed.

4
2. november 2021 kl. 14:54

...Fordi der kan sidde nogle i ledelse/IT, som kan se, at xxx er har ansøgt pengene, og såmen også lige er blevet skilt fra zzz "sikke et sammentræf".

At give et gavekort til en rejse vil være mere etisk. Hvem kunne ikke tænke sig det, eller give det til en, hvis man ikke selv vil rejse. Det handler ikke så meget om privatøkonomi. Spørgsmålet er, om det vil have den samme gennemslagskraft?

3
2. november 2021 kl. 14:53

Formålet er jo ikke at få folk til at falde i fælden. Det er en misforståelse. Formålet er at øge medarbejdernes bevidsthed om phishing.

Dine succeskriterier er ikke om folk klikker. Succeskriteriet er i stedet, om folk fx rapporterer mailen, så den kan blokeres, og dem der uundgåeligt har klikket kan hjælpes og et angreb stoppes i tide.

Derudover har man som red team nogle etiske forpligtelser. Det er en øvelse, så det er alligevel ikke realistisk, for du har en anden viden om målet og en anden motivation for at angribe. Så derfor er de etiske forpligtelser ikke et stort benspænd jævnfør ovenstående mål og succeskriterie.

Etisk bør personlig sikkerhed, sundhed, privatliv (og herunder personlig økonomi) og ansættelsesforhold være no go for en phishing-test.

Sat på spidsen, så kan du altid lave en mail, der vil presse en person. Er et link til en (falsk) nyhed om et skoleskyderi på dine børns skole ok? Uden klare afgrænsninger kan man nemt komme way uden for scope. Og stå med ubrugelige data fra sin test. Og en kunde, der helst vil fraskrive sig ansvaret.

2
2. november 2021 kl. 14:09

er det ikke lige netop det som phishing-mail gør?

Jeg kan godt nok ikke se noget problem i sådan en test-mail.

Hvad havde reaktionen været, hvis det rent faktisk havde været er rigtig phishing-mail, og en mængde information var blevet lækket, eller diverse ande sikkerhedshuller var blevet udnyttet?

/Hening

1
2. november 2021 kl. 14:08

Hvis en målrettet kriminel ville benytte en aktuel situation, skal en pentest gøre det samme.

Og hvis de troede på mailen viser det jo lige nøjagtig at de IKKE var opmærksomme, og at der er brug for at stramme op.