Sendte ut falsk julebonus for å lure ansatte – nå beklager de stuntet

[Gjest Marius B. Jørgenrud]

Sendte ut falsk julebonus for å lure ansatte – nå beklager de stuntet

[Pallehysa]

Artig at GoDaddy ledelsen meinte at ein julebonus, og det å få denne informasjonen på bedrifts e-post, var så usannsynlig at dei ansatte burde visst at det var "phishing".

[tHz]

"Eposten var ekte nok"
Nei, det er nettopp det den ikke var. Dette var et phishing simulert angrep, sannsynlig ved å bruke et produkt som Hoxhunt eller Microsoft Attack Simulator. Det er tåpelig å påstå at eposten var ekte, den vil ha kjennetegn som viser at den ikke var sendt fra internt.

Jeg forstår forsåvidt de ansatte som ble skuffet og lurt, men hjelpes for en vinkling av media.
Ekte phishing angrep følger ikke regler for hva som er "innafor" å lure noen med. Dette kunne lett vært et ekte angrep, men akkurat samme type epost.

Hele poenget er å lære ansatte at UANSETT hva slags epost som spør etter kontaktinformasjon, så MÅ man verifisere det utenom epost kanalen.

Men det er klart, mer clickbait å late som om ledelsen sitter å flirer etter å ha lurt de ansatte. 

 

 

 

[Snowleopard]

Uansett om de ansatte burde forstått at dette var en spøk, så er det temmelig smakløst. Hadde beløpet vært usannsynlig stort, kunne det nok lettere forsvares, men denne summen er mer enn troverdig nok.

Her bør selskapet rett og slett bare gjøre det eneste moralsk riktige, og gi alle ansatte en julebonus på det angitte beløpet, og beklaget til de ansatte...

[nomore]

tHz skrev (10 timer siden):

"Eposten var ekte nok"
Nei, det er nettopp det den ikke var. Dette var et phishing simulert angrep, sannsynlig ved å bruke et produkt som Hoxhunt eller Microsoft Attack Simulator. Det er tåpelig å påstå at eposten var ekte, den vil ha kjennetegn som viser at den ikke var sendt fra internt.

Jeg forstår forsåvidt de ansatte som ble skuffet og lurt, men hjelpes for en vinkling av media.
Ekte phishing angrep følger ikke regler for hva som er "innafor" å lure noen med. Dette kunne lett vært et ekte angrep, men akkurat samme type epost.

Hele poenget er å lære ansatte at UANSETT hva slags epost som spør etter kontaktinformasjon, så MÅ man verifisere det utenom epost kanalen.

Men det er klart, mer clickbait å late som om ledelsen sitter å flirer etter å ha lurt de ansatte. 

 

 

 

Har du sett e-posten siden du vet at den har disse kjennetegnene?

Dersom en e-post er så god at den ikke kan skilles fra en legitim e-post, og den følger standard rutiner i bedriften, så kan jeg ikke se at den ansatte kan skyldes for noe her. Bedriften derimot....

[Dr.B]

Synes folk dette er smakløst fordi det var snakk om julebonusen, eller fordi de ansatte ble lurt av egen bedrift?

Hele poenget her var tross alt å lure de ansatte. Lignende tester utføres i norsk arbeidsliv, hvor f.eks. noen som faktisk jobber i bedriftens servicedesk-avdeling ber om passordet ditt etc. 

[Thorny]

At de ansatte dreit seg ut er én ting. Selskapet burde gi dem bonusen OG kurse dem i ikke å klikke ting slik. Enkelt og greit.

[Sutcivni_XX]

Dette er et teknologiselskap, så vi kan anta at e-postene hadde slike kjennetegn, og de ansatte BURDE ha visst at det var et phisking forsøk.

Jeg har selv jobbet i et stort selskap der de jevnlig sendte ut slike. Eksempelvis, så fikk jeg mail om at man nå måtte registrere seg for å fremdeles kunne bruke firmaet sine parkeringsplasser uten å betale. Dette var ikke lenge etter det var snakk om å skattlegge parkeringsplasser i avisene. Var ikke lett å se det var falsk med første øyekast. Men såklart enkelt å gjennomskue hvis man vet hva man leter etter.

Konsulenter som gjentatte ganger gikk på slike, ble visstnok kastet ut av firmaet. Sikkerhetsrisiko visstnok.

PS: Og nå som dette fikk såpass mye negativ omtale, burde dem egentlig bare betalt bonusen. Reklameverdien av noe slikt bør oppveie deler av kostnaden egentlig

[Frobe]

nomore skrev (12 timer siden):

Har du sett e-posten siden du vet at den har disse kjennetegnene?

Dersom en e-post er så god at den ikke kan skilles fra en legitim e-post, og den følger standard rutiner i bedriften, så kan jeg ikke se at den ansatte kan skyldes for noe her. Bedriften derimot....

Det ligger en link i artikkelen til artikkelen i TheCopperCourier. Der vises det bilder av eposten, der avsender tydelig ikke er intern.

Dessverre har vi sett at både banker og andre selskap har brukt ukjente avsenderadresser og svaradresser på ekte eposter, slik at de ser ut til å være phishing selv om de ikke er det: 

https://www.digi.no/artikler/er-det-innlysende-at-denne-nettadressen-har-noe-med-norsk-tipping-a-gjore/499765

[tHz]

13 hours ago, Snowleopard said:

Uansett om de ansatte burde forstått at dette var en spøk, så er det temmelig smakløst. Hadde beløpet vært usannsynlig stort, kunne det nok lettere forsvares, men denne summen er mer enn troverdig nok.

Hele poenget er at det skal være troverdig. Tror du phishing eposter bestandig er lett å identifisere?
Folkene bak et phishing angrep bryr seg svært lite hva folk mener er smakløst. De trigger mottakere med frykt, grådighet, naivitet eller uansett hva annet de kan trigge. Alt som teller er å få mottaker til å klikke på linken og "logge in" eller oppgi informasjon.

Hvis en bedrift bruker åpenbare fake eposter til å lære opp sine ansatte vil de en ansatt neppe klare å identifisere en mer avansert versjon. 

Det er leit å gå på slike eposter, men det er faktisk nødvendig å være realistisk om det skal ha noen effekt.

 

[Snowleopard]

tHz skrev (1 minutt siden):

Hele poenget er at det skal være troverdig. Tror du phishing eposter bestandig er lett å identifisere?
Folkene bak et phishing angrep bryr seg svært lite hva folk mener er smakløst. De trigger mottakere med frykt, grådighet, naivitet eller uansett hva annet de kan trigge. Alt som teller er å få mottaker til å klikke på linken og "logge in" eller oppgi informasjon.

Hvis en bedrift bruker åpenbare fake eposter til å lære opp sine ansatte vil de en ansatt neppe klare å identifisere en mer avansert versjon. 

Det er leit å gå på slike eposter, men det er faktisk nødvendig å være realistisk om det skal ha noen effekt.

 

Jeg gikk nettopp inn på siden til TheCopperCourier, der man kan se brevet. Dette ser veldig greit ut, siden det er internt i GoDaddy, så man må faktisk sjekke lenkene for å se om de faktisk leder til en side internt i nettverket, eller eksternt. Denne er altså meget lett å gå på dersom man jobber i et firma eller land med kultur for julebonuser. At GoDaddy bruker dette som en test, er i mine øyne smakløst, spesielt siden de folkene sikkert har tjent nok for selskapet til at bonusen ikke er mer enn hva de hadde fortjent.

Jobber selv i et offentlig eid selskap, og fikk en slik mail om julegave med 3 alternativer. Siden jeg knapt har fått noe som helst annet enn litt sjokolade/godterier til jul og påske, så var antennene ute med en gang. Men den så veldig reell ut, så kopierte lenken og åpnet i en privat fane, og fant ut at den var faktisk reell. Først da turde jeg åpne den i en vanlig fane, og legge inn den infoen det var spurt om, som var påkrevd for å få levert hjem pga hjemmekontor.

Tydelig mange som hadde reagert, for de måtte legge ut artikkel på intranett som verifiserte at e-posten og innholdet fktisk var reelt, og ikke noe Hoxhunt-test som de har begynt med hos oss.

Men som sagt, at dette faktisk var en phishing-test fra selskapet, spesielt i situasjonen vi er i med mye negative nyheter, er faktisk jævlig smakløst av GoDaddy. Selv om jeg hadde avslørt den selv, så hadde jeg sterkt vurdert å bytte arbeidsgiver om jeg hadde blitt utsatt for tilsvarende. Rett og slett ondsinnet av ledelsen, som bør få så hatten passer for denne. Jeg er temmelig glad for at jeg, så vidt jeg kjenner til, ikke er kunde der. Jeg hadde garantert forlatt tjenesten etter dette.

[nyggen]

Veldig syns at det ble laget en beklagelse på den phishing testen, nå er jo alle "bonus" mailer fra hackere hvitlistet.

Om noen mener mailer er smakløs så betyr det at de ikke har forstått IT sikkerhet.

En hacker forsøker å få brukere til å klikke på linker eller åpne vedlegg i en mail, det er det samme for hackeren om det står "julebonus" eller "du kan være smittet med covid" i mailen,

Hvis dette hadde vært en reel mail og ikke en test så kunne 500 PC`er hos Godaddy nå vært låst med ransomware.

Endret 30. desember 2020 av nyggen

[tHz]

23 hours ago, Snowleopard said:

Selv om jeg hadde avslørt den selv, så hadde jeg sterkt vurdert å bytte arbeidsgiver om jeg hadde blitt utsatt for tilsvarende. Rett og slett ondsinnet av ledelsen, som bør få så hatten passer for denne. 

Ledelsen har ingenting med hva som står i disse mailene. Tror du for ramme alvor at ledelsen bruker tid på hva phishingsimulatoren skal ha slags innhold i mailene? Det er en tjeneste/produkt som er kjøpt inn.

Som nyggen sier over her. Hva om om dette hadde vært et reelt angrep? Da ville angripere sittet med brukernavn/passord og annen informasjon på 500 ansatte. Mulig også klart å få installert endel malware på maskiner, klar for å angripe videre innover i deres systemer.

"Det er ufint av angripere å tulle med julebonus, det regner vi med de holder seg for god til"  ?

Angripere går for alt som trigger. Man kan ikke bare kjøre snille naive simulerte angrep om man faktisk skal få en effekt av slik opplæring.

[Snowleopard]

tHz skrev (18 minutter siden):

Ledelsen har ingenting med hva som står i disse mailene. Tror du for ramme alvor at ledelsen bruker tid på hva phishingsimulatoren skal ha slags innhold i mailene? Det er en tjeneste/produkt som er kjøpt inn.

Som nyggen sier over her. Hva om om dette hadde vært et reelt angrep? Da ville angripere sittet med brukernavn/passord og annen informasjon på 500 ansatte. Mulig også klart å få installert endel malware på maskiner, klar for å angripe videre innover i deres systemer.

"Det er ufint av angripere å tulle med julebonus, det regner vi med de holder seg for god til"  ?

Angripere går for alt som trigger. Man kan ikke bare kjøre snille naive simulerte angrep om man faktisk skal få en effekt av slik opplæring.

Sjeldent at slike øvelser ikke er avklart med ledelsen, og/eller IT-avdelingens sikkerhetsstab, så at de ikke hadde noe idé om hva som skulle sendes ut, stiller jeg meg mer enn sterkt tvilende til.

Og dermed kommer man inn på kjernen, nemlig at man lefler med idéen om julebonus, ved å kaste blår i øynene til sine ansatte. Hadde de kommet ut med at alle får bonusen uansett, uten å måtte registrere seg, så hadde det vært helt OK test.

Men her har de, så vidt meg bekjent, ikke planlagt noe julebonus uansett. Og da mener jeg man går for langt som arbeidsgiver. Det er faktisk ganske sterke og klare meninger de her serverer sine ansatte. "Jasså, dere trodde dere var verdt en julebonus?"

Nei, en slik arbeidsgiver ville jeg helt klart sett og kommet meg unna snarest mulig.

[ITtraktor]

Her tror jeg ledelsen må ha forvekslet phishing med pissing på de ansatte. 

[tHz]

2 hours ago, Snowleopard said:

Sjeldent at slike øvelser ikke er avklart med ledelsen, og/eller IT-avdelingens sikkerhetsstab, så at de ikke hadde noe idé om hva som skulle sendes ut, stiller jeg meg mer enn sterkt tvilende til.

Og dermed kommer man inn på kjernen, nemlig at man lefler med idéen om julebonus, ved å kaste blår i øynene til sine ansatte. Hadde de kommet ut med at alle får bonusen uansett, uten å måtte registrere seg, så hadde det vært helt OK test.

Men her har de, så vidt meg bekjent, ikke planlagt noe julebonus uansett. Og da mener jeg man går for langt som arbeidsgiver. Det er faktisk ganske sterke og klare meninger de her serverer sine ansatte. "Jasså, dere trodde dere var verdt en julebonus?"

Nei, en slik arbeidsgiver ville jeg helt klart sett og kommet meg unna snarest mulig.

Ledelsen er nok informert om at de har kjøpt et produkt/tjeneste som sender ut simulerte phishing mail, men innholdet i disse mailene er det lite sannsynlig at ledelsen vet noe om. Selvfølgelig vet IT sikkerhet hva som foregår, men selv de vet ikke nødvendigvis eksakt hva slags innhold mailene har. 

Som sagt tidligere. Hva om dette var et ekte angrep? Eller tror du angripere har noen moralske kvaler med å trykke på ømtåelige tær i sine phishing mail?

[Frobe]

Ledelsen var nok informert og involvert, siden ordet julebonus ville vært ubrukelig som lokkemiddel hvis de ansatte allerede hadde fått dette i år, eller pleide å få beskjed om dette på en annen måte.

[nyggen]

Jeg har selv sendt ut 15-20 intern phishing tester de siste årene og ledelsen/IT-avd har aldri fått noen forvarsel på noen av dem, det skal de heller ikke, de skal testet likt som alle andre. Hva Godaddy gjør vet jeg ikke. Når lesere av digi ikke klarer å se at en hacker ikke har noen grenser og at brukere da må læres opp med den tanken i bakgrunn, så vil jeg påstå at intern opplæring ikke kan ha god nok effekt. Det kan hjelpe noen få prosent, men det er vi som jobber med IT sikkerhet som må ta et tak her, juster mailfilter så det blir mest mulig perfekt, lag egne regler etter hvert som nye ting kommer (f.eks. falske covid mailer). Sett opp en god brannmur som hindrer brukere å ha samme passord på div internett sider som de har på intern PC/Domene. Ha gode antivirus løsninger med egne policyer, som f.eks. blokkerer kjørbare filer fra Desktop, download, c:\temp\, AppData\Local\Temp\ osv. Logg alt som er mulig å logge sånn at NÅR en hacker er kommet inn så blir det oppdaget FØR det går 6 mnd.

[Ernie]

Jeg kan ikke annet enn å riste oppgitt på hodet her. Hvis man synes dette er usmakelig så har man
a. Aldri mottatt målrettet og svært troverdig phishing-forsøk
b. Mottatt svært troverdig phishing-forsøk og gått fem på uten å være klar over det i etterkant

Ingen av delene er noe å skryte av. Så lenge dette er send ut på en realistisk måte slik at er mulig å forstå at dette er tull, så har man virkelig ingenting å klage over. Det som er synd er at folk sutrer og klager såpass mye over dette at man risikerer at skurkene har fått øynene opp for hva man bør prøve seg på rundt juletider i år.

PS: Har selvsagt forståelse for at det kan oppleves som kjipt å få dette

[Frobe]

Alle firma bør tenke seg om hvordan de kommuniserer med sine ansatte, og se om de kan innføre bedre rutiner slik at de ansatte aldri vil være i tvil om hva som er ekte intern epost.

Når man sender ekstern post som kan minne om phishing bør man sørge for at det ikke er vanskelig for mottaker å verifisere ekte avsender og at innholdet er seriøst.

Jeg ser ofte interne eposter uten emnefelt, uten god beskrivende tekst hva som er formålet med eposten, og med vedlegg. Da må jeg bruke min erfaring for å avgjøre om det er trygt å åpne vedleggene. Heldigvis har jeg kun mottatt phishing fra eksterne kontakter, da har det vært lett å avsløre.