image

1 op 3 overheidsmedewerkers Michigan opent 'phishingmail'

zondag 18 maart 2018, 11:10 door Redactie, 14 reacties

Een op de drie overheidsmedewerkers van de Amerikaanse staat Michigan heeft tijdens een test een zogenaamde phishingmail geopend, zo blijkt uit onderzoek van de Rekenkamer van de staat. Om meer bewustzijn onder medewerkers te creëren werden er vorig jaar verschillende trainingen georganiseerd.

Voor de verschillende trainingsprogramma's, zoals phishing, openbare wifi, social engineering en wachtwoorden, waren 60.000 medewerkers aangemeld. De training over phishing werd door 42.000 medewerkers afgerond. Vervolgens wilde de Rekenkamer kijken hoe effectief de training was geweest en besloot naar 5.000 overheidsmedewerkers een zogenaamde phishingmail te sturen.

De phishingmail werd door een op de drie medewerkers (~1600) geopend. Een kwart hiervan (~1200) opende de link in het bericht. Vervolgens voerde bijna 20 procent van de medewerkers (945) zijn of haar wachtwoord in. Verschillende medewerkers rapporteerden de phishingmail echter. Daarnaast laat de Rekenkamer in het rapport (pdf) weten dat er verschillende beveiligingsmaatregelen zijn getroffen om de effectiviteit van phishingaanvallen te beperken.

Reacties (14)
18-03-2018, 12:50 door [Account Verwijderd]
In het bedrijf waar ik werkzaam ben suggereer ik wel eens dat het zin zou hebben op zijn minst af en toe eens de kunde te testen op het gebied van herkennen van phishing. Keuze genoeg: https://www.google.nl/search?complete=0&source=hp&ei=h1CuWsC-DMLXwAK5yJrYAQ&q=phishing+test&oq=phishing+test/

De respons is altijd lauw, want - 1x raden - 'we hebben het druk'
De overweging dat je het wel eens gruwelijk véél drukker kan krijgen als het netwerk plat komt te liggen door een geslaagde phishing aanval dringt niet of onvoldoende door.
18-03-2018, 14:08 door Anoniem
Als 1 op 3 in een effectieve phishingmail trapt dan was armagedon al uitgebroken. Phishing is pas effectief als de phisher iets kan met het resultaat.
18-03-2018, 15:44 door Briolet
Ik vind 1 op de 3 eigenlijk bedroevend weinig.

De overheid krijgt allerlei vragen van burgers (= onbekende afzenders). Als ze deze mail niet openen, kunnen ze ook niet beoordelen of iets een phishingmail is.
18-03-2018, 17:49 door hw28
We doen nu net of dit nieuws is. We doen bij NextTech al jaren regelmatig phishing simulaties voor onze klanten, en een ratio van 1-op-3 die op de link klikt en data invult op een nepsite is niet ongebruikelijk.
In dit geval is het kwalijk omdat de medewerkers volgens het artikel al security awareness training hebben ontvangen en er klaarblijkelijk niets mee gedaan hebben.
Dit zie je wel vaker bij Amerikaanse bedrijven. Want een training volgen "omdat het moet van de baas" voldoet niet.
De training moet mensen motiveren om hem te volgen en het geleerde toe te passen.
18-03-2018, 19:17 door Anoniem
Volgens mij ook totale overkill.
Er zijn aan ieder van (gemiddeld) 40000 medewerkers, ieder 24 Computer Security cursussen gegeven.
Dan krijg je inderdaad "omdat het moet van de baas".

Ik ben ook benieuwd hoe men eigenlijk detecteerd dat men "email geopend" heeft.
Alleen als je de IT afdeling het email programma verkeerd ingesteld heeft (b.v. standaard alle plaatjes downloaden) zou je dat kunnen detecteren. dat lijkt me een fout van de IT afdeling, niet van de medewerkers.
18-03-2018, 22:32 door Anoniem
Kijk dat is nu de keerzijde van het gejammer en gezeur over versleuteling.

Als S/MIME en PGP gemeengoed waren dan waren er 33% minder slachtoffers van phishing mail omdat men dan e-mail digitaal kon ondertekenen. Handtekening niet in orde, mail de prullenbak in... Simpeler kan het niet.
19-03-2018, 00:56 door Anoniem
Door Briolet: Ik vind 1 op de 3 eigenlijk bedroevend weinig.

De overheid krijgt allerlei vragen van burgers (= onbekende afzenders). Als ze deze mail niet openen, kunnen ze ook niet beoordelen of iets een phishingmail is.

"De" overheid krijgt wel veel mail van burgers, maar dat wil niet zeggen dat alle persoonlijke mailadressen van overheidsmedewerkers direct customer-facing zijn .
Evenmin is dat bij bedrijven van enige omvang het geval.
Ze proberen zoveel mogelijk van de externe interface achter webformulieren af te handelen, en mail adressen zijn vrijwel altijd rol-adressen.

Lastiger is het waarschijnlijk voor gekozen politici, van wie logischerwijs meer verwacht wordt dat ze persoonlijk bereikbaar zijn voor hun kiezers , maar dat is maar een handjevol.
Maar het overgrote deel van 42,000 ambtenaren uit Michigan (en het overgrote deel van de 5000 in de steekproef) zal echt niet een enorm diverse externe mailflow hebben .

Zoals herby ook schrijft, het zijn normale cijfers en het is eigenlijk geen nieuws.

Prima dat ze training doen, en applaus dat ze ook nog een goede steekproef doen om te kijken of er effect was.
19-03-2018, 01:46 door Anoniem
Je hoort vaker dit soort percentages van rond de 20% of nog hoger, wat in een phishing mail getrapt is. Uitgaande van een traditionele phishing (email-account en wachtwoord) is mijn ervaring dat dit meestal een stuk lager ligt. Het aantal phishing mails dat ontvangen is (even tellen op de mailserver) en het aantal misbruikte accounts is meest hooguit een paar procent.
Overigens genoeg om een hoop overlast te geven als het medewerkers met toegang tot personeelsgegevens betreft en je een malding bij de AP moet doen.
19-03-2018, 09:37 door Anoniem
Openen van de mail is niet zo gek.
Openen van de bijlage is VEEL erger.
19-03-2018, 10:31 door Anoniem
Kreeg er gisteren nog 1, iets wat ik al jaren niet meer gehad heb.
Of ik even mijn Paypal account wou bijwerken door even in te loggen.
Incl. de link erna, voor het gemak.
Ik heb daar niet eens een account.
19-03-2018, 10:56 door Anoniem
Hebben ze de mail alleen geopend ? Hebben ze vervolgens ook attachments bekeken, verdachte linkjes gevolgd, credentials afgestaan ? De conclusie dat de mail is geopend zegt me helemaal niets.

De overheid krijgt allerlei vragen van burgers (= onbekende afzenders). Als ze deze mail niet openen, kunnen ze ook niet beoordelen of iets een phishingmail is.

Geheel mee eens.
19-03-2018, 11:58 door Anoniem
Door Anoniem: Hebben ze de mail alleen geopend ? Hebben ze vervolgens ook attachments bekeken, verdachte linkjes gevolgd, credentials afgestaan ? De conclusie dat de mail is geopend zegt me helemaal niets.

Meer dan de titel lezen was te moeilijk ?

"De phishingmail werd door een op de drie medewerkers (~1600) geopend. Een kwart hiervan (~1200) opende de link in het bericht. Vervolgens voerde bijna 20 procent van de medewerkers (945) zijn of haar wachtwoord in. "
19-03-2018, 12:06 door Anoniem
Kijk dat is nu de keerzijde van het gejammer en gezeur over versleuteling.

Als S/MIME en PGP gemeengoed waren dan waren er 33% minder slachtoffers van phishing mail omdat men dan e-mail digitaal kon ondertekenen. Handtekening niet in orde, mail de prullenbak in... Simpeler kan het niet.

Lekker realistisch weer. Dan moet je eerst van iedereen uberhaupt een public key hebben, voor je hun berichten kan lezen.
20-03-2018, 13:46 door Anoniem
We doen nu net of dit nieuws is. We doen bij NextTech al jaren regelmatig phishing simulaties voor onze klanten, en een ratio van 1-op-3 die op de link klikt en data invult op een nepsite is niet ongebruikelijk.

Het openen van een email, en het klikken op een link in een email (laat staan het vervolgens invullen van info op een website), zijn toch echt verschillende zaken. Dat zou je als geen ander moeten weten, indien je werk bestaat uit het organiseren van phishing simulaties.

De overheid krijgt allerlei vragen van burgers (= onbekende afzenders). Als ze deze mail niet openen, kunnen ze ook niet beoordelen of iets een phishingmail is.

De conclusie dat deze ratio bij iedere ontvangen mail opgaat is een beetje voorbarig. Het gaat om 1 specifieke mail, met een specifiek onderwerp, en een specifieke afzender. Dus wellicht dat het al heel goed zichtbaar was dat het niet ging om ''een vraag van een burger''.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.