Medarbejdere raser efter sikkerhedstest: Blev stillet penge i udsigt i phishing-mail

Vores receptionist blev virkelig ked af det. Ikke nok med at hun følte at hun var dum og havde svigtet, men også at hendes kollegaer rystede på hoved af hende. Hun blev desværre sygemeldt og kom aldrig tilbage.

I denne sag er der kun én testperson, som oven i købet bliver hængt ud --- så jeg synes ikke den umiddelbart kan bruges til at fordømme testen hos FGU.

Hvis der testes bredt i organisationen, og ingen bliver hængt ud med navn eller andre kendetegn, synes jeg det er fint at skyde med spredhagl --- og bagefter fortælle på et møde hvor mange procent der plaskede i vandet.

Jeg arbejdede en gang i et firma, hvor direktøren var overbevist om at alt IT var sikker... så sikker at han hyrede et firma til at teste hele firmaets set up.

En dag kom der en mand ind i receptionen:

" god dag. Mit navn er Hans Hansen fra IT firmaet Angst & Bange. Jeg har en aftale med jeres IT chef... Åhh hvad er det nu han heder? "

" Peter Larsen? " sagde receptionisten

" JA. Lige præcis. Peter Larsen "

" Nu skal jeg ringe efter ham "

" Nej. Nej.. det er ikke nødvendig. Jeg skal bare tjekke noget med DALLER serveren og den forkromede Svits board. Jeg har aftalt med Peter at jeg bare kan sidde her i resorptionen... Der var noget med at i havde et EDB stik et eller andet sted ?

Hans var allerede begyndt at hive PC og LAN kabler ud af tasken.

" Vi har måske et stik her over ved stolen" sagde receptionisten.

" Den er mægtig " sagde Hans, og koblede sig på firmaets server. En 1/2 time senere rejste Hans sig op. Pakkede alt hans grej sammen og sagde " Jeg smutter igen. 1000 tak for hjælpen "

" Selv tak " sagde receptionisten. " Skulle det være en anden gang "

Dagen efter forlagde IT konsulenten hans besøg for Direktøren, og viste ham at han faktisk var kommet ind i det aller helligste. Direktøren bliv faktisk ikke særlig glad for dette stunt, og han ville advare alle medarbejderne om at de skulle passe på i fremtiden.

MEN MEN MEN... Måden det blev fortalt på var IKKE den rigtige og etiske måde.

Den efterfølgende fredag morgen, hvor alle medarbejderne var samlet til morgen brød, Hev han historien frem. Fortalt om hvor klodset og uforsigtig vores receptionist havde været. At hvis alle medarbejdere gjorde som hun, så var det jo umuligt for ham at udvikle et sikkert IT system!

Vores receptionist blev virkelig ked af det. Ikke nok med at hun følte at hun var dum og havde svigtet, men også at hendes kollegaer rystede på hoved af hende. Hun blev desværre sygemeldt og kom aldrig tilbage.

MEN... Alle os andre havde lært lektien. Vi skulle nok passe på i fremtiden, så vi ikke blev gjort til grin. Morale: Direktørens test virkede….

Man burde vel bare have stoppet "spøgen" når medarbejderen havde trykker på linken og givet en popup med "UPS - du er på afveje" Det er vel usmageligt at lade folk taste oplysninger ind.

Det syntes jeg engang. Det gør jeg grundlæggende stadig, når det er teknologien i sig selv det omhandler. Men at det antageligt er blevet nødvendigt med sådan noget som det her, og det jeg lige har overværet, da min datter skulle udfylde skemaer på mitsygefravær.dk, og da hun efterfølgende tog en sikkerhedstest i forbindelse med sin ansættelse, og nem-id, og rejsekortet, og Facebook, og ransomware, og fanden og hans pumpestok. Jeg ved det er så meget mere, og at meget ville være umuligt uden. Men jeg er sgu ved at blive i tvivl om det overvejende gør noget godt for os.

Man burde vel bare have stoppet "spøgen" når medarbejderen havde trykker på linken og givet en popup med "UPS - du er på afveje" Det er vel usmageligt at lade folk taste oplysninger ind. Enten de bliver gemt eller ej

Måske en honningkage?

Det er jo ikke bare en test af medarbejderne, men i høj grad også en test af om virksomheden har været god nok til at oplære medarbejderne i farerne ved IT. Hvis en stor del af virksomheden går i fælden, så er der muligvis også problemer med opmærksomhed i forhold til GDPR m.m.

Det kan godt være at man som fagperson kan sidde på den høje piedestal og sige at folk godt nok er dumme og så fortjener de virkeligt at blive snydt.</p>
<p>Jeg tror bare ikke at det er den rette vej at gå.

Hvis man hopper på en rigtig phishing mail, så risikerer man at lære "ret meget". Mere end godt er.

Det er jo ikke et spørgsmål om "at få ram på de dumme brugere", når man tester dem. Selvfølgelig kan man nøjes med udelukkende at sende negative test-mails. "Du skal efterbetale 57.000 kr. i skat", men den slags kommer jo sjældent til ens arbejdsmail. Hvis folk skal lære, skal der også være muligheder for at "bide på". Ville det have været bedre, hvis der var lovet 850 kr. i stedet for 8500 kr.? Måske en honningkage?

Så lad være med at tro du får "gode nyheder" over email - de vil forhåbentlig komme over E-Boks :)

Hvorfor skulle en besked om en "bonus" komme i E-Box? Der er aldrig sket når jeg har modtaget belønning for ekstra indsats, det er altid sket igennem mail.

Det er jo først når man læser at der skal afgives følsomme oplysninger at alarmklokkerne skal ringe, men der har man jo haft lykke følesen.

Det kan godt være at man som fagperson kan sidde på den høje piedestal og sige at folk godt nok er dumme og så fortjener de virkeligt at blive snydt.

Jeg tror bare ikke at det er den rette vej at gå.

Har de tokens og SSO på alt

De fleste steder burde bruge på penge på sikkerhed istedet for test som alle ved folk falder for alligevel

Hvis det er farligt at taste sig brugernavn og password ind på en tilfældig side eller klikke på et link burde man nok starte der.

Det er vel ikke fuldstændigt usandsynligt at man modtager en bonus for veludført arbejde, man når måske lige at ”få suset” og tænke julen er redet.

Hele pointen med den slags test er minde folk om at man ALDRIG skal stole på hvad man får på email !

Jo mere "heldigt" det lyder- jo mere skal dit bullshit filter ringe - og så snart de beder om information som ligger på "GDPR skalaen" - https://thecyphere.com/blog/sensitive-data/ - så SKAL man bare sige stop.. for hvis de har behov for noget for dig - kan det jo ikke passe at du har vundet noget eller hvad det nu er - for så ville de allerede vide det, de skal vide.

Så lad være med at tro du får "gode nyheder" over email - de vil forhåbentlig komme over E-Boks :)

... men det er meget sværere at blive klog på andres erfaringer.

Kun ved at vise folk hvor nemt det er at falde i kan man anskueligøre problemet. Det handler ikke om at pege fingre af den enkelte, men om at kunne sige at X % røg i fælden og at den enkelte tænker tilbage på situationen hvor de var "lige ved" at falde i ...

Der er ganske enkelt for mange mennesker der tror at den slags kun sker for andre. De tænker ikke over mails de modtager, pop-ups de klikker på, nogen gange kører de alt som root/administrator, nogen gange tror de firmaets ydre firewall beskytter dem mod fæle mennesker.

Hvor mange virksomheder har lært af Mærsks NotPetya "hændelse"? Hvor mange kører videre og regner med at det ikke sker for dem? Vi er alle jubel-optimister når det handler om egne evner til at udgå malware. Desværre betyder det at vi tager fejl.

Når jeg læser dette tænker jeg tilbage på engang jeg fik en besked fra Danske spil, hvor der i emnefeltet stod at jeg havde vundet 1 million. Jeg nåde lige at få suset og tænke endelig! Da jeg så åbnede mailen stod der noget i stil med ” Ville det ikke være dejligt at få sådan en besked…” Jeg må indrømme, at der blev jeg skide sur, det viste sig at mailen godt nok kom fra Danske spil men var en del af en reklame kampagne. Jeg var i forvejen vant til at modtage mail når jeg vandt i lotto, så det var ikke helt usandsynligt at det kunne ske.

Jeg har også set klip af mennesker der modtager falske skrabelodder f.eks. som gave fra et familie medlem, hvor de tror at de har vundet en stor gevinst.

Jeg finder denne form for opførsel modbydelig, ja jeg vil nærmest kalde det utilgiveligt!

Mon de der i denne tråd syntes at det var en fremragende ide, er de samme som kunne finde på give et sådant lod til et familiemedlem?

Det er vel ikke fuldstændigt usandsynligt at man modtager en bonus for veludført arbejde, man når måske lige at ”få suset” og tænke julen er redet.

Hele ideen med at få opmærksomhed på at man skal være varsom med hvilke oplysninger man sender som svar på mail, kan løses uden man får falske ”Du har vundet i lotto”

Og efter min mening er det med fishing-tests som med aprilsnare: de skal være uskyldige, og det skal være noget, som man bagefter godt kan se, at man burde have gennemskuet. Og her synes jeg godt nok, at FGU Vestegnen er gået over stregen.

Og efter min mening er det med fishing-tests som med aprilsnare: de skal være uskyldige, og det skal være noget, som man bagefter godt kan se, at man burde have gennemskuet.

Jeg synes det er svært at vurdere hvad der er etisk og hvad der er ok i denne sag, uden at have set mailen. Hvis jeg får en ekstern mail, som jeg ikke har forventet at modtage, så "hover" jeg da lige over eventuelle links og checker domænet før jeg klikker. Det burde have været til at gennemskue at linket ikke førte til en legitim hjemmeside. Og i øvrigt er det da nærmest et klassisk format de har brugt: "Bill Gates har doneret en masse penge, klik her for at få nogle af dem".

Så umiddelbart, uden at have set mailen, så vil jeg da mene at det var en god test. Og om ikke andet så har vi da nu fået offentliggjort den bedste måde at skrive en phishing mail på, så dagens test kan hurtigt blive morgendagens IT skandale.

Umiddelbart kan jeg heller ikke se problemet i man laver en phishing mail som lyder realistisk. Den skal dog ikke gå så langt at folk får mulighed for at indtaste nogle personlige informationer så efter et klik skal formålet afsløres med det samme. Det handler ikke om at se hvem der har klikket på et link og dermed udstille enkeltpersoner. Det vigtige er at gøre folk generelt opmærksomme på hvordan den slags kan se ud så de ikke falder i når den 'rigtige' mail dumper ind.

Men hvis mailen prikker til et ømtåleligt emne så er det nok ikke så heldigt, fordi det derved kan opfattes som en nedgørende kommentar over for medarbejderen. Så kunne man nok lige så godt have fundet et andet emne som ville have næsten den samme effekt.

Formålet er jo ikke at få folk til at falde i fælden. Det er en misforståelse. Formålet er at øge medarbejdernes bevidsthed om phishing.

Formålet er at højne medarbejdernes opmærksomhed på at mails kan være phishing.

En måde at gøre dette er at få dem til at falde i.

Hvis der er mange medarbejdere der falder i, så er det et udtrykt for at ledelsen er sprunget et (eller flere) trin over på at tappen til en høj modstandstandsdygtigthed mod phishing.

Der skal nok være nogle, som er blevet sure over at blive testet i det hele taget, og det er nok - med den måde, som IT har fået lov at udfolde sig på - desværre nok en nødvendighed.

Så er der dem, som synes at testen i sig selv går over grænsen, og de har IMHO en pointe.

Men istedet for at tale om fishing-tests (phishing, er det ikke når det involveret telefoner?), så lad mig tale lidt om aprilnare:

En god aprilsnar er efter min mening både uskyldig og noget, som man godt bagefter kan se, at man skulle have gennemskuet.

At lokke folk ud på parkeringspladsen ved at fortælle dem, at deres bil holder med lys, er ikke IMHO en god aprilsnar, for nok er et uskyldigt, men der er ikke noget at gennemskue (udover, at man åbenbart ikke kan stole på folk).

Det er heller ikke i orden, at jokke rundt på en forvejen øm tå, og man gør det ikke godt igen ved at sige "aprilsnar".

At få folk til at tro, at de har vundet i lotto, kan virke som en sjov ting, lige indtil de siger deres job op og smækker med døren på vej ud.

Og efter min mening er det med fishing-tests som med aprilsnare: de skal være uskyldige, og det skal være noget, som man bagefter godt kan se, at man burde have gennemskuet. Og her synes jeg godt nok, at FGU Vestegnen er gået over stregen.

Den mail viser jo bare at de rammer et ømt punkt, det er dem som skal findes for at vi kan forbedre sikkerheden overall for brugerne. Korrket det er ikke rar mail at få, men det viser nødvendigheden for at træne brugeren. Rigtige IT Kriminelle viser ikke emphati eller tager hensyn til vilkår og regler, så skal lignende forsøg heller ikke. Sæt tanker igang, forny, forbedre. Den eneste måde vi bliver bedre.

Jo - test skal ligne virkeligheden ellers er det ikke en test!

Men i en test gælder det ikke om at finde frem til en besked, der rammer et maksimum (det er i hvert fald svært at bruge til noget). Det er mere relevant at finde frem til bundniveauet. Altså den ringeste phishing-mail, der kan slippe forbi spamfilter og andre tekniske foranstaltninger og stadig snyde et antal brugere.

På den måde har du et målepunkt, så du næste år kan sammenligne og se, om din indsats har hævet bundniveauet.

Hvis du vil bruge en meget effektiv phishing-mail, så skal det være som udgangspunkt for en dialog med medarbejderne i din awareness/adfærdsindsats. Og så er det dumt at vælge et format, der gør dem vrede. Så vil de ikke være modtagelige.

Her kunne man have lokket med andre ting end penge (og vel at mærke penge knyttet til deres ansættelse og ikke fx et falsk lotteri). En mail om at gå ind og vælge årets firmajulegave havde nok været mere ok.

Jeg ville dog aldrig selv anbefale at bruge madding, der "støjer". Det er en dårlig phishing-mail, hvis folk begynder at tale om den på kontoret med det samme. En angriber skal lige bruge lidt tid at udnytte den første adgang til at køre det egentlige angreb i stilling. Hvis alle taler om pengene, så er der nok nogen, der gennemskuer mailen og forhåbentlig alarmerer it, som så forhåbentlig kan finde ud af at reagere hurtigt.

Det kunne være interessant at sende den slags til alle team- og afdelingsledere: "Tillykke, dine ansatte er ikke blevet hacket, klik her for at indtaste initialer og kontonr. for at et modtage din bonus."

Ledere har jo et forhøjet ansvar, som modsvares i deres løn, og derfor må de forventes at være særligt agtpågivende... ;)

...de burde være glade for at deres konti ikke er blevet lænset og deres identitet misbrugt.

Det ville have været konsekvensen hvis det havde været en ægte phishing mail som de var faldet for.

Jo - test skal ligne virkeligheden ellers er det ikke en test!

hvor jeg var ved at jokke i spinaten (hidtil eneste gang) var, da jeg fik en meget fornærmelig mail. Jeg blev så arrig, at jeg troede, at den var ægte. Og det eneste jeg i mit raseri kunne finde på, var at anmelde den som phishing. Og så var det bare en test.

Forskellige mennesker reagerer på forskellig madding. Man kan ikke altid bruge madding, som ingen bider på.

jeg har lige et spørgsmål, hvornår er it-kriminelle begyndt at overholder IT-Branchen kodeks?

Det var da godt nok noget af det mest latterlige jeg længe har læst! :-D

Dem der sender den slags phishing mails for at franarre folk oplysninger er heller ikke de mest etiske mennesker der findes. At medarbejderne hoper på den, og derefter bliver sure over at de ikke får nogen penge, betyder vel mere at de er langt uden for pædagogisk rækkevidde når det handler om basal it-sikkerhed.

...Fordi der kan sidde nogle i ledelse/IT, som kan se, at xxx er har ansøgt pengene, og såmen også lige er blevet skilt fra zzz "sikke et sammentræf".

At give et gavekort til en rejse vil være mere etisk. Hvem kunne ikke tænke sig det, eller give det til en, hvis man ikke selv vil rejse. Det handler ikke så meget om privatøkonomi. Spørgsmålet er, om det vil have den samme gennemslagskraft?

Formålet er jo ikke at få folk til at falde i fælden. Det er en misforståelse. Formålet er at øge medarbejdernes bevidsthed om phishing.

Dine succeskriterier er ikke om folk klikker. Succeskriteriet er i stedet, om folk fx rapporterer mailen, så den kan blokeres, og dem der uundgåeligt har klikket kan hjælpes og et angreb stoppes i tide.

Derudover har man som red team nogle etiske forpligtelser. Det er en øvelse, så det er alligevel ikke realistisk, for du har en anden viden om målet og en anden motivation for at angribe. Så derfor er de etiske forpligtelser ikke et stort benspænd jævnfør ovenstående mål og succeskriterie.

Etisk bør personlig sikkerhed, sundhed, privatliv (og herunder personlig økonomi) og ansættelsesforhold være no go for en phishing-test.

Sat på spidsen, så kan du altid lave en mail, der vil presse en person. Er et link til en (falsk) nyhed om et skoleskyderi på dine børns skole ok? Uden klare afgrænsninger kan man nemt komme way uden for scope. Og stå med ubrugelige data fra sin test. Og en kunde, der helst vil fraskrive sig ansvaret.

er det ikke lige netop det som phishing-mail gør?

Jeg kan godt nok ikke se noget problem i sådan en test-mail.

Hvad havde reaktionen været, hvis det rent faktisk havde været er rigtig phishing-mail, og en mængde information var blevet lækket, eller diverse ande sikkerhedshuller var blevet udnyttet?

/Hening

Hvis en målrettet kriminel ville benytte en aktuel situation, skal en pentest gøre det samme.

Og hvis de troede på mailen viser det jo lige nøjagtig at de IKKE var opmærksomme, og at der er brug for at stramme op.