Annonce
Danmark

Region Midt lagde fælde for medarbejderne - næsten hver anden faldt i

Næsten 1200 tilfældigt udvalgte medarbejdere i Region Midtjylland har modtaget en snydemail, som typisk kommer fra svindlere. Denne var dog sendt af regionen selv. I mailen blev de bedt om at indtaste deres adgangskode og brugernavn. Det gjorde 42 procent af de intetanende testpersoner. Modelfoto: Scanpix/Iris
Knap halvdelen af 1.194 regionale medarbejdere klikkede på et link i en såkaldt phishing mail. Heldigvis var mailen ikke sendt af svindlere, men derimod Region Midtjylland selv.

Regionen: Kære medarbejder.

Det er tid til at skifte adgangskode til dit ID i Regionen.

Du skifter din adgangskode ved at følge dette link.

Sådan startede en mail, der i begyndelsen af maj landede i 1.194 regionale medarbejderes indbakker.

Mailen var falsk, men heldigvis var den ikke sendt af lumske bagmænd med ondt i sinde. Den var derimod sendt af en såkaldt awareness arbejdsgruppe i Region Midtjylland, som har til formål at øge medarbejdernes bevidsthed om deres adfærd på nettet. Det skriver Region Midtjyllands interne nyhedsbrev, Midtnyt.

Og det var nok meget godt, at mailen ikke udgjorde en rigtig trussel. Af de 1.194 modtagere klikkede 44 procent nemlig på linket i mailen, hvorefter de blev sendt videre til en falsk login-side.

Her blev de bedt om at indtaste deres regions-id og adgangskode, og det gjorde så godt som alle af de, der havde klikket sig videre (496 i alt).

Annonce

4 tegn på, at du har modtaget en fup-mail

  1. Phishing-mails indeholder ofte stavefejl og forkert sætningsopbygning. Læs eksempelvis indledningen i artiklen igen. Lagde du mærke til, at der står "til til" og "følger" (det korrekte ville være "følge").
    Fejlene skyldes, at teksten i phishing mails ofte er oversat af en robot fra et andet sprog. Bagmændene er dog blevet dygtigere til at oversætte, så phishing mails er ikke længere det rene volapyk, som de var for år tilbage.
  2. Der vil ofte være et link i mailen, som man bliver lokket til at klikke på. Hvis du holder musen hen over linket uden at klikke, vil en boks vise dig adressen, der linkes til. Her kan du vurdere, om det ligner en officiel webadresse.
  3. Hvem er afsenderen? Ofte vil svindlerne fabrikere en afsendermail, som ligner den officielle. Eksempelvis har de fleste af os prøvet at få mails fra nogle, der udgiver sig for at være fra Skat. Kigger man nøje efter, vil afsendermailen dog variere fra den officielle.
  4. En phishing-mail indeholder ofte en vis grad af hastværk. Eksempelvis at man vil blive logget af systemet, hvis man ikke inden for kort tid sørger for at få opdateret sine oplysninger. Omvendt kan det også have karakter af, at man har vundet en præmie, og derfor skal sende sine personlige oplysninger.

Plads til forbedringer

Metoden med at sende en falsk mail rundt til en stor gruppe mennesker kaldes for phising - at fiske - og målet er at få så mange som muligt til at "bide på".

Havde der i dette tilfælde været tale om ondsindet phishing, så ville uvedkommende have fået adgang til en række af Region Midtjyllands interne systemer.

Nu blev de medarbejdere, som gik i fælden, i stedet sendt videre til en hjemmeside med information om fupnummeret og gode råd til, hvordan de kan spotte lignende angreb i fremtiden.

- Når testen viser, at knap halvdelen af os ryger i phishing-fælden med en mail, vi selv har konstrueret, så er der plads til forbedringer, siger regionsdirektør Pernille Blach Hansen til Midtnyt.

Flere fælder i fremtiden

Hun ser ikke noget galt i, at regionen lokker egne medarbejdere i en fælde, når blot formålet er ædelt - at øge opmærksomheden og dermed beskytte borgernes sundhedsoplysninger.

Testen var i øvrigt anonym, og det får ingen konsekvenser for de medarbejdere, der kom til at klikke på linket i den falske mail.

De ansatte i Region Midtjylland kan i fremtiden forvente flere af den slags tests. Arbejdsgruppen for awareness vil nemlig med jævne mellemrum sende lignende mails ud til tilfældigt udvalgte medarbejdere for at skabe øget opmærksomhed om phishing og gøre medarbejderne mere forsigtige på nettet.

Her er et screenshot af den mail, de tilfældigt udvalgte ansatte fik tilsendt. Mange lod sig narre, og den er da heller ikke åbenlyst falsk. Men hvis man nærlæser, så gemmer der sig tilpas mange stavefejl i teksten til, at man bør blive mistænksom. Eksempelvis står der först i stedet for først.
Annonce
Annonce
Forsiden netop nu
112 For abonnenter

Sag om grov babyvold er i gang: - Jeg tror ikke, jeg kan have rystet ham så meget, at han har fået de skader i hjernen

Annonce