Ansatte raser etter phishing som lokket med ekstra lønn

[Gjest Marius B. Jørgenrud]

Ansatte raser etter phishing som lokket med ekstra lønn

[Theo343]

En digitaliseringsjef som oppgir passord på den måten?

Endret 6. november 2021 av Theo343

[Vidarak]

Høres ut som en bra test. Skjønner at de som ble lurt blir sure dog. De er jo avslørt som en smule naive.

[Snowleopard]

Vidarak skrev (18 timer siden):

Høres ut som en bra test. Skjønner at de som ble lurt blir sure dog. De er jo avslørt som en smule naive.

Problemet med slike mailer som er initiert av foretaket selv, er jo at dette gir dårlig stemning også blant de som ikke gikk 5 på. Det nører oppunder på en kime til dårlig samspill mellom ansatte og ledelsen, som da bare blir forsterket. Det kan føre til at man over tid mister de beste talentene, og ellers viktige medarbeidere. De som lett kan gå over i andre eller tilsvarende stillinger i andre firmaer, og dra med seg en god lønnsøkning.

Og også ansatte i stillinger der antallet er viktigere enn nødvendigvis hvem som bekler disse, kan finne på å forsvinne. Og er det da press på markedet, så ka det til tider være vanskelig og ikke minst dyrt å stadig få inn nye som må læres opp, fremfor å levere kvantiteten som etterspørres.

I vår egen bedrift (statlig) gikk det i fjor ut en epost om "bonus" i form av firmagaver, der man hadde et valg mellom 4-5 mulige gaver. Man måtte bare klikke seg inn på en lenke til en ekstern leverandør, der lenken ikke direkte tilsa at det var til en reell mottaker, så mange hadde markert den som phishing i verktøyet bedriften bruker.

Dette ble oppfattet raskt, så de måtte legge ut en artikkel på intranettet for å fortelle at dette var reelt, og ikke en slik "opplæringsmail". Og det er ikke første saken med reelle eposter som virker mistenkelig, og har flere tegn på at dette må være phishing-test, og derved ble rapportert inn.

Og her er vi ved en kjerne i saken, nemlig at man selv ikke klarer å la vær å gjøre alle de tingene de mener gjenspeiler slik "skummel" mail man skal se bort fra og sende i søppelfilteret. Og selv bankene klarer jo ikke la være å sende eposter der man legger inn klikkbare lenker, tvert mot alle råd og anbefalinger. Da kan man ikke bare skylde på at de ansatte burde skjønt at det var en "lokkemail" og ikke reelt.

[sedsberg]

Det er jo et problem selv ved våre offentlige foretak. Ved coronavaksinasjonen fikk man SMS med en lenke til noe lignende http://xxalcwe5423v.bit.ly eller noe. Meget mistenkelig!

[Leorand]

Problemet med phishing-tester er at de kun tester kvaliteten på selve testen!

Slike tester viser ikke noe om hvor motstandsdyktige organisasjonen er mot angrep over e-post. Den han ingen effektiv lærende effekt, selv om selgere av slike tester påstår de har det. For alle praktiske formål så er linker og vedlegg via e-post noe som blir brukt til helt legale formål i hverdagen.

Men det værste med slike tester, er at de gir ett inntrykk av at sluttbrukere har et ansvar. Ja, de skal være oppmerksomme og kritiske til å gi fra seg informasjon. Men e-post er også en angrepsvektor inn i organisasjonen. Og det er spesielt her at man må sørge for at sluttbrukere ikke føler skyld, men må føle det trygt å melde fra når de oppdager at de trolig har trykket på en link eller åpnet et vedlegg de ikke skulle. Phishing-tester bidrar ikke til dette. De har en motsatt effekt, skaper skyldfølelse og fører til redusert sikkerhet ved at sluttbrukere ikke tør melde fra.

[Theo343]

Lenker er en ting men når man blir bedt om å oppgi brukernavn og passord bør man bli oppmerksom.

[Pop]

Dette ble vel litt som å gi noen en sjokolade for å se om de klarer å få av papiret, og når de klarer det så tar du den tilbake uten at de får en eneste bit. Man kan stå eller stryke på testen, men uansett må håpet ditt bare tørke bort. Det kan ikke være vanskelig selv for en arbeidsgiver å se at denne saken ble til to saker i det man lokket med noe så potensielt virkelig som julebonus (selv om det ikke i norsk stat og kommune er vanlig med bonus).

Jeg tror testen kunne ha vært utformet litt annerledes for å fortsatt kjøre pentesting, men uten å få forbanna arbeidstakere.