Nå i oktober gjennomførte vi en test for å se hvor godt ansatte i kommunene klarer å oppdage forsøk på phishing, altså e-poster som prøver å lure deg til å klikke på en lenke eller oppgi informasjon.
Hvorfor vi gjorde dette
Målet var ikke å «ta» noen, men å øke bevisstheten rundt hvordan slike forsøk kan se ut.
Phishing-angrep blir stadig mer troverdige, og det krever bare ett uoppmerksomt øyeblikk for at et klikk skal føre til skadevare eller datainnbrudd.
Gjennom denne kampanjen ønsket vi å gi en realistisk øvelse – for å lære i trygge omgivelser.
Hvordan vi gjorde dette
E-postadressene ble hentet fra åpne, offentlige nettsider, der kontaktinformasjon og roller ligger tilgjengelig for alle.
Vi brukte altså ingen intern informasjon om organisasjonsstruktur eller tilgangsnivåer.
E-postene ble sendt fra et nøytralt domene og utformet slik at de lignet på en intern, troverdig melding – akkurat slik ekte angripere ville gjort det. Budskapet i e-posten ble formet basert på tilgjengelig informasjon i offentlige postlister og andre offentlige kilder.
Når mottakeren klikket på lenken i e-posten, ble de sendt til en trygg infoside hos Indigo IKT. Der fikk de vite at dette var en del av Nasjonal sikkerhetsmåned.
Resultatene
Klikkene ble registrert helt anonymt, og tallene ble kun brukt for å se hvor mange som klikket i hver kommune.
Tallene er basert på unike treff på lenken, men vi vet at enkelte e-poster kan ha blitt videresendt eller delt videre. Det er heller ikke sikkert at alle adressene vi hentet fra nettet fortsatt er i bruk, så noen meldinger har trolig aldri nådd en aktiv mottaker. I tillegg kan vi ikke se hvor mange e-poster som aldri ble åpnet, eller hvor mange som forsto at dette var en kampanje og kanskje oppfordret kollegaer til å klikke på lenken for moro skyld eller nysgjerrighet.
Med andre ord gir tallene et godt bilde av tendensen, men de må forstås som en indikasjon – ikke en fasit.
Her er resultatene fra testen:
Hva vi lærte
Det var enkelt å få mange til å klikke – og det viser hvor realistiske slike e-poster kan virke.
Samtidig viser resultatene at mange var skeptiske og varslet om meldingen, og det er akkurat slik vi ønsker at det skal være.
Konklusjon
Heldigvis ville denne typen e-post vanskelig kunne passere de reelle sikkerhetsmekanismene vi har på plass.
Systemene våre stopper de aller fleste forsøk på phishing før de når innboksen din.
Men innimellom slipper noe gjennom, og da er du som mottaker den siste og viktigste beskyttelsen.
Å være årvåken, sjekke avsender, og tenke deg om før du klikker, kan forhindre alvorlige hendelser – både for deg selv og for hele organisasjonen.