Hvad er phishing?
Phishing er falske mails, ofte sendt med det formål at stjæle loginoplysninger og betalingsoplysninger, eller identititestyveri. Oftest sendes phishingmails med en falsk afsender, så det ligner at mailen kommer fra en bekendt eller en kollega. Hensigten er at vække tillid, for så at snyde brugeren til at aflevere oplysninger. Phishing kan også være mails, der indeholder vedhæftninger med skadelig kode, som kan slette eller ødelægge data på computeren hvis de åbnes.
Simuleret phishing som et læringsværktøj
SDU gennemførte i foråret 2023 en simuleret phishingkampagne på alle ansatte. Direktionen har vedtaget, at dette vil være et tilbagevendende tiltag. Det er et centralt opmærksomhedspunkt ift. organisationens informationssikkerhed, da sektoren generelt er under øget pres, ikke mindst efter Ruslands invasion af Ukraine. Det er ydermere vigtigt for den enkelte medarbejder, da nogle laver forskning som kan være interresant for fremmede magter. Resultater af kampagnen i foråret var, at 19,2% klikkede på linket i mailen og afgav deres loginoplysninger. Vi kan allerede nu se en forbedring i, hvor dygtige ansatte på SDU er til at fange phishingmails, da der i kampagnen i efteråret kun var 4,8% der klikkede og afleverede loginoplysninger.
Metode til simulering af phishing
For at gennemføre kampagnen benyttede SDU Microsofts sikkerhedsplatform, som er en integreret del af vores omfattende Microsoft-løsning. I løbet af kampagnen blev der registreret, når en bruger klikkede på linket i e-mailen, og om der blev afgivet loginoplysninger. Alle data blev anonymiseret og aggregeret i grupper bestående af mere end 5 personer, kategoriseret efter omkostningsnumre.
Det er værd at bemærke, at oplysninger om den enkelte medarbejders 'klik' kun var tilgængelige for to betroede medarbejdere i SDU IT, som udtrak dataene og anonymiserede dem omhyggeligt. Derefter blev de anonymiserede data overdraget til SDU Digital Compliance, som var ansvarlig for databehandlingen.
De aggregerede data deles udelukkende gennem ledelseskanalen med den lokale ledelse, som er ansvarlig for at sprede oplysningerne i samarbejde med de lokale GDPR- og informationssikkerhedskoordinatorer. Ingen ledere eller andre medarbejdere vil få adgang til data vedrørende enkeltpersoners eventuelle klik i forbindelse med kampagnen.
Illustration af den simulerede phishing-mail
Kan du spotte alle fejlene?
5 gode tips til at undgå phishing
- Tjek afsenderen – Er det en du kender? Eller er det en fra en organisation du kender?
- Er det noget du har bedt om? Eller virker budskabet troværdigt?
- Hvis du er i tvivl, kan du spørge en kollega, om de har fået samme mail, eller ringe tilbage til afsenderen. Dette er især relevant, hvis du pludselig modtager en mail fra din chef om at udbetale større summer penge. Dette kaldes også CEO-fraud.
- Er du i tvivl, kan du også ringe til IT-servicedesk på: 6550 2990 eller skrive en mail til Servicedesk.
- Din bank eller forsikringsselskab vil aldrig bede dig opdatere dine oplysninger via mail – Hvis du er i tvivl, er det altid bedst at ringe og spørge, inden du indtaster nogen oplysninger.