Ny dansk forskning: 3 ud af 10 studerende og ansatte falder for phishingangreb

5. oktober 2020 kl. 03:4514
Ny dansk forskning: 3 ud af 10 studerende og ansatte falder for phishingangreb
Illustration: Agung.sptr | Bigstock.
På landets uddannelsesinstitutioner undervises der også i at undgå at falde i phishingkampagner. Men alligevel klikker 3 ud af 10 af de ansatte og studerende på ondsindede links, viser ny dansk forskning.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Rettelse: Tidligere stod der, at UCL har udsendt det store antal phishingmails, men det er en fejl. Der har i stedet været tale om, at UCL har samlet data fra awarenesskampagnerne.

Hele 3 ud af 10 af de ansatte og studerende på danske uddannelsesinstitutioner falder for phishingkampagner og klikker på ondsindede links i mails.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
14 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
12. oktober 2020 kl. 17:43

Organisationer elsker at outsource ting, så en legitim handling kan medføre at blive kastet rundt til flere forskellige domæner som ingen har hørt om.

Nordea har ellers været ret gode til at sende tekst-only mails uden links, meeeen... Nu har jeg så fået en "Hvad synes du om Nordeas breve?" med HTML content, en stor Call To Action knap i stedet for simpelt hyperlink, som fører til et netigate.se link.

Jeg tror egentligt den er legitim nok, men det er sgu en ommer, Nordea.

13
11. oktober 2020 kl. 14:17

Som folk ovenfor har påpeget, så er en meget stor del af problemet, at legitime links ofte kan være fuldstændigt umulige at skelne fra fishing links. Organisationer elsker at outsource ting, så en legitim handling kan medføre at blive kastet rundt til flere forskellige domæner som ingen har hørt om. Og det udnytter de kriminelle selvfølgelig til fulde, da ingen ved om de bliver kastet rundt til gode eller dårlige domæner. Før vi får en radikal ændring, a'la "ALT hvad du laver hos SKAT er ALTID kun på skat. dk domænet og alt andet end det skal du undgå" så har de kriminelle frit spil. "The good guys" er problemet her og folk er hjælpeløse og det bliver kun værre og værre.

11
6. oktober 2020 kl. 13:31

PMO's eksempel er SKOLEKSEMPLET på inkompetance hos afsenderen. Det BURDE være indlysende, at e-mail fra kommunen alene burde lyde: "Borgerservice i Xxxxxx Kommune har sendt dig en e-mail til besvarelse. Benyt borgerservice.dk eller eventuel personligt fremmøde."

Bemærk, det NETOP IKKE MÅ fremgå hvad sagen handler om - det kan jo godt være det ikke ønskes frem i lyses og ses af enhver. I det konkrete tilfælde for eksempel opysning om "barn" skal måske ikke lige vises for den nye kæreste.

Jeg håber:

  1. du vil forfølge klagen, som jeg gjorde det overfor min bank
  2. andre vil stå frem med eksemplerne. På et tidspunkt indser version2.dk måske at der ER en sag værd at forfølge - generelt og principielt.
10
6. oktober 2020 kl. 10:11

For nyligt modtog jeg 4 phishing-mails i rap ... og de var på vej i papirkurven ... eller hov ... hvad hulen? Kunne de være ægte?

Det fire mails påstod, at mine 2 timeshare-børn skulle have nyt pas, og at jeg bare skulle følge linket og give mit samtykke med NemID.

På positivsiden:

  • Jeg vidste at ungernes pas udløb her i 2020.
  • Mit navn var helt korrekt.
  • Mine børns fulde navne var også korrekte.
  • Mine børn bor i den pågældende kommune.

På negativsiden:

  • De fire mails havde alle Køge Kommune som afsender, men afsender-adressen (intet-svar@id-port.dk) tilhørte dog ikke kommunen. Den tilhører en privat virksomhed Scandi System A/S.
  • Der var intet sagsnr. eller anden reference i e-mailen.
  • Det var en rå tekstmail uden layout, logo eller andet indhold.
  • Teksten opfordrede til at følge et dybt link og benytte NemID på det.
  • Linket førte til en webadresse i Luxemburg - endnu en privat virksomhed ( http://xw78h.mjt.lu/lnk/AU8AA....osv. ).
  • Jeg har intet modtaget i min e-boks.

Ville I have trykket på linket og brugt jeres NemID?

Jeg ville ikke. Jeg spurgte min ex., om hun havde bestilt nyt pas til ungerne. Hun bekræftede, at hun havde booket tid til det.

Okay ... så var det måske legit ... men jeg havde stadig ikke lyst til at trykke på linket. Man KUNNE jo (hvis man er paranoid/realistisk tænkende - vælg selv) forestille sig, at en hacker eller et bråddent kar hos kommunen eller leverandøren havde skaffet sig adgang til data og brugte dem til at udføre et phishing-angreb.

Så jeg gik den tunge vej til Borgerservice og fik udleveret papirer, som jeg kunne underskrive og sende til min ex.

Jeg kontaktede kommunens DPO, som netop her varetages af advokatfirmaet Bech-Bruun, for at orientere dem om, at der enten var it-kriminelle med adgang til vitale systemer - eller - at man forærede en genialt simpel angrebsvektor væk (find en fraskilt person, find deres barns navn - send en mail).

Efter 8 dage har jeg stadig intet hørt fra dem (udover en kvittering for modtagelse af min e-mail).

I øvrigt har jeg også tippet Version2 - og sendt screenshots til dem, men redaktionen har ikke vist interesse heller.

E-mailenes ordlyd er her:

Godkend venligst ansøgning om børnepas

Kære Per Møller Olsen Borgerservice har registreret, at der er blevet bestilt et pas til dit barn, XXXXXXXXXXX, af den, som du har fælles forældremyndighed over barnet med. Hvis du har NemID, klik da venligst på dette link Godkend børnepas-ansøgningen, hvor du kan logge ind og godkende de indtastede oplysninger. Hvis du ikke har NemID, skal du møde op i et Borgerservicecenter for at underskrive ansøgningen. Denne e-mail kan ikke besvares.

9
5. oktober 2020 kl. 16:46

Jeg er enig med nogen svar, nemlig at links naturligvis kan og vil forekomme.

Der er i min optik forskel på offentlige virksomheder (nogle er nævnt ovenfor), eller banker og lignende. Med andre ord, virksomheder eller organisationer som allerede har en beskyttet logon, de kan sende et advis og så kan borgeren logge på. Andre, som sender information, reklame eller lignende - ja dem kan borgeren bare slette.

Jeg talte om e-mails fra en bank, som klart gav udtryk for at logon var påkrævet - det er dem jeg vil have bag en sikkerhedsmur.

Det er ikke tilfældet, men de kunne også være een af de aktuelle e-mails, som opfordre til influenza-vaccination og tidsbestilling. Altså en e-mail som borgeren ikke med god samvittighed bare skrotter. Og ikke for at komme med ideer, men i disse covid-19 tider kan "onde mennesker" let lave en lokke e-mail, som mange vil hoppe i med begge ben: " Vi har konstateret ..... Det er derfor vigtigt at du klikker her for at .....". NEJ, vel ?

8
5. oktober 2020 kl. 13:56

...og det er Fear Of Missing Out (FOMO) som socialkarakter, der får folk til at klikke.

Et alternativ kunne være at appellere til intellektet i stedet for kampagner med og uden gamification (som det kniber med evidens for virker).

Det kunne være uddeling af Svend Brinkmanns bog, som netop på engelsk hedder "The Joy Of Missing Out".

7
5. oktober 2020 kl. 13:43

Jeg ved det godt - dette er klynk!

Men jævnligt får jeg mails med et link - ikke bare linket til den organisation, der gerne vil mig, men et link, der indeholder en kryptisk og ulæselig retning på lige nøjagtigt det, de gerne vil fortælle mig.

f.eks.

... du svarede ikke sidste gang, så nu prøver vi ...https://www.survey.xact.dk/answer?key=8nkrP9KA2YE3

(hvis nogen gider svare for mig, er I velkomne).

Til orientering er det en GymDanmark-undersøgelse, der foretages overfor unge gymnaster (og måske deres trænere). Jeg ville tro, der røg en del klik i fælden på sådan et link - så må vi håbe, der virkelig er den rette adresse på et troværdigt undersøgelses-firma.

6
5. oktober 2020 kl. 12:38

Men måske kan vi ALLE blive enige om at klage næste gang vimodtager en e-mail, nok så troværdig, med et link ? Det hører ingen steder hjemme - så må de LÆRE DET (ogsåi banken).

Det er et sisyfosarbejde.

Jeg har i sidste uge modtaget e-post fra både SSI og Danmars Statistik med link i brevene --- når store helt/delvis offentlige virksomheder ikke går foran er der ikke meget at gøre.

Det bedste må være at vi lærer selv indtaste adressen, eller bruge en søgemaskine når vi ikke kender adressen --- det sidsnævnte er nødvendigt til statslige institutioner og ministerier, da de ændrer hjemmeside og -adresse hyppigt :-(

5
5. oktober 2020 kl. 11:22

at store, ellers velrenomerede firmaer, sender e-mails ud med links

Det kan jeg nu ikke hidse mig op over.

Selv hvis firma X tæppebomber med "vi sender aldrig mails med links", er jeg sikker på, at hvis der en dag kommer en mail med et link, så vil der være nogen, der klikker på det.

Det kunne være interessant med en undersøgelse af, om der overhovedet er en målbar forskel på succesraten for phishingmails i forhold til, om "afsenderen" plejer at sende links eller ej.

Mit bud er, at forskellen er indenfor den statistiske usikkerhed.

4
5. oktober 2020 kl. 11:05

var der ingen rygere ( som der også bliver skrevet i artiklen)

30% er svært at forholde sig til om det er højt eller lavt.

Hvis brugerne normalt logger ind mange steder pga manglede SSO så er 30% vel meget pænt

Hvis de fleste brugte lige så mange penge på SSO og MFA som awareness ville verden være det bedre sted

3
5. oktober 2020 kl. 11:01

Nordea har lært det (jeg bliver ikke betalt for dette :-) ), der er ingen links i deres mails og de gør desuden opmærksom på det i hver eneste mail/SMS!! I begyndelsen syntes jeg, at det var besværligt, men når jeg alligevel skal bruge deres app, er det INTET problem, snarere en relativ tryghed.

2
5. oktober 2020 kl. 10:25
  • at store, ellers velrenomerede firmaer, sender e-mails ud med links.

Konkret har min bank gjort det flere gange, og de afviser mine klager. "Vi gør det, for at gøre det let for kunderne" - ja, tak for sangen.

Jeg har "forklaret" banken, at det er OK med en e-mail, MEN den skal bede kunden om at lave logon til beskyttet website/app bag NemId eller "servicekode" (pin-kode).

Men måske kan vi ALLE blive enige om at klage næste gang vimodtager en e-mail, nok så troværdig, med et link ? Det hører ingen steder hjemme - så må de LÆRE DET (ogsåi banken).

1
5. oktober 2020 kl. 10:05

Det er faktisk sværere at undgå fishing angreb end man forestiller sig - medmindre man faktisk har en ret god forståelse af hvordan internettet og computerer fungerer. Jeg kender meget få, som bare forstår hvordan DNS og domæne navne er opbygget, dvs. at de er meget nemme at nare.