Næsten halvdelen faldt i fælden i phishing-kampagne for Region Midtjylland

1. juli 2019 - Sammen med Region Midtjylland udførte Dubex en phishing-kampagne, hvor næsten halvdelen bed på krogen. Kampagnen skal øge opmærksomheden på informationssikkerheden og i sidste ende være med til at beskytte borgernes sundhedsoplysninger.

44 procent trykkede på et mistænkeligt link i en falsk mail, og det kunne have haft alvorlige konsekvenser.

Heldigvis var linket en del af en phishing-test som Dubex lavede sammen med awareness-arbejdsgruppen i Region Midtjylland. Århus Stiftstidende skriver om testen.

Kære medarbejder

Det er tid til til at skifte adgangskode til dit ID i Regionen.

Sådan startede mailen, og det fik 526 ud af de 1.194 modtagere hos Region Midtjylland til at trykke på linket. Af dem, der trykkede, udfyldte 496 den falske login-side med regions-ID og adgangskode.

Indsigt i organisationens it-adfærd er et skridt for at forbedre sikkerheden

"En phishing-test kan give indsigt i den eksisterende it-adfærd i organisationen, men den kan samtidigt gøre medarbejderne mere opmærksomme og dermed være et skridt på vejen til at forbedre sikkerheden," siger Martin Thunn Hansen, sikkerhedskonsulent hos Dubex.

”Når medarbejdere oplever, hvor nemt man kan falde i fælden, vil de typisk blive mere opmærksomme på at undgå det,” siger Martin. ”Phishing-kampagner kan være med til at give konkrete værktøjer til den enkelte medarbejder og samtidigt er de en øjenåbner for ledelsen.”

Når man planlægger en phishing-test, er det derfor vigtigt at have en klar plan for det opfølgende arbejde og ikke mindst kommunikationen til organisationens medarbejdere. Det kan bl.a. være som del af et awareness-uddannelsesprogram.

”Phishing-tests kan bruges løbende for at følge adfærdsudviklingen i organisationen,” påpeger Martin. ”Gennemfører man et awareness-uddannelsesprogram, er det oplagt at udføre en phishing-test før og efter programmet for at måle effekten.”

Phishing-kampagnen skal øge beskyttelsen af borgernes sundhedsoplysninger

Phishing-testen i Region Midtjylland er netop også et led i Regionens løbende arbejde med at styrke informationssikkerheden ved at øge opmærksomheden på gængse faldgruber.

Men formålet med kampagnen er ikke at udstille enkelte medarbejdere. Den skal forbedre sikkerheden generelt i hele organisationen.

”Principielt er vi totalt ligeglade med, om det er Per eller Poul, der er dumpet i. Vi vil bruge det for at skabe noget opmærksomhed på det bagefter. Vi skal øve os på at blive bedre,” siger vicedirektøren i Region Midtjylland, Carsten Lind, til TV2 Østjylland.

”Alt vores informationssikkerhedsarbejde udfører vi jo for at passe på borgerens sundhedsdata,” påpeger han.

Vær opmærksom på følgende

Som et led i phishing-kampagnen blev alle medarbejdere i Region Midtjylland gjort opmærksomme på tegn, der kan afsløre en ondsindet e-mail.

Man skal bl.a. være opmærksom på følgende:

  1. Tjek om afsenderadressen ser troværdig ud. Hold øje med, om adressen ser anderledes ud, end den plejer. Det kan fx være, at der er tilføjet et ekstra .org eller andet til sidst i adressen.

  2. Tjek hvor linket peger hen. Tryk ikke på linket, før du har tjekket, hvor det peger hen. Det kan du typisk gøre ved at holde musen over linket.

  3. Tjek for stavefejl og forkert ordstilling. Mange ondsindede mails er maskinoversatte og selvom oversættelserne er blevet betydeligt bedre, kan der snige sig underlige ordvalg, forkerte ordstillinger og stavefejl ind. Hold øje med dem.

  4. Forhold dig kritisk til usandsynlige deadlines og urealistiske gevinster. Er det realistisk, at du bliver låst ude af jeres interne system i 30 dage, hvis du ikke opdater dit kodeord i dag? Eller at du får 20.000 kroner ved at udfylde et kort spørgeskema? Hvis du er i tvivl, så tjek med din arbejdsplads, før du gør noget.

Du kan læse mere og se mailen her.

Virksomheder: Vi er under angreb hver eneste dag

På Folkemødet i år fortalte to topchefer fra henholdsvis NRGi og Region Sjælland, at de hver dag lever med bekymring for at blive hackede. Dubex’ hacker-ekspert Keld Norman gav de to topchefer og mødedeltagerne gode råd med hjem.

Awareness-uddannelse

Dubex Awareness-uddannelsesprogram stiller skarpt på generelle og specifikke trusler og sikrer, at alle medarbejdere ved, hvordan de skal handle, når de oplever noget mistænkeligt. Programmet leveres som en samlet pakke inkl. printmateriale og projektledelse.

Kan man tillade sig at bruge red teams?

Kan man tillade sig at sende en lokkedue for at teste sikkerheden, når det involverer rigtige mennesker? Det må overvejes, inden vi gør brug af red teams, for det er i høj grad også et etisk dilemma. Derfor arbejdes der lige nu på et branchekodeks.