Phishingtest Vlaamse overheid laat ambtenaren schrikken
Een phishingtest waarmee de Vlaamse overheid 20.000 ambtenaren wilde testen heeft voor enige paniek gezorgd. De ambtenaren kregen gisteren een e-mail die zogenaamd van Thalys afkomstig was en stelde dat er bijna 20.000 euro van de creditcard zou worden afgeboekt vanwege een gereserveerde reis.
Ontvangers van het bericht konden de reservering annuleren als ze dit binnen drie dagen deden door hun creditcardgegevens te bevestigden, zo meldt VTM Nieuws. Hiervoor moest een meegestuurde Word-bijlage worden geopend. In de e-mail kregen ambtenaren ook instructies dat ze macro's in het Word-document moesten inschakelen. Macro's staan standaard in Word uitgeschakeld. Door ze in te schakelen kan een document stilletjes in de achtergrond malware downloaden en installeren. Een tactiek die ook door cybercriminelen wordt gebruikt om computers met malware te infecteren.
Ambtenaren belden vervolgens massaal naar Thalys, maar de treinmaatschappij wist van niets. Ook banken en politie werden door verontruste ambtenaren gebeld, wat voor enige overlast zorgde. De Vlaamse overheid heeft inmiddels excuses gemaakt, omdat het in de phishingmail ook het logo van Thalys gebruikte, terwijl dit niet is toegestaan. Daarnaast is de e-mail inmiddels teruggetrokken en is er een nieuwe e-mail verstuurd die laat weten dat het om een phishingtest ging. Juristen stellen dat de phishingtest mogelijk strafbaar is, omdat de Vlaamse overheid zich als iemand anders voordeed.
Reacties (28)
Grote Faal van de Vlaamse overheid.
Een typisch geval van valse autoriteit. Je bent nog geen deskundige als je de macht om iets te doen in handen hebt.
Een typisch geval van valse autoriteit. Je bent nog geen deskundige als je de macht om iets te doen in handen hebt.
Maar hoe dan ook, de test is geslaagd en vele medewerkers hebben gefaald. Dat was overigens te verwachten, het overgrote deel van de bevolking faalt wanneer ze een phishing mail ontvangen. Hun hele hebben en houden geven zo zonder nadenken weg.... Goed dat er nu zo'n heisa wordt gemaakt van deze test, misschien leert men er van.
22-07-2015, 10:50 door
Mysterio
Grote faal van zo goed als alle betrokken partijen.
22-07-2015, 11:01 door
PietdeVries
Overheid doet niets tegen phishing - grote Faal
Overheid doet wel iets tegen phishing maar laat wat steken vallen - nog steeds grote Faal
Klein onderzoek op de reacties op security.nl: maakt niet uit wat een overheid doet, men vindt 't altijd wel een grote faal...
Overheid doet wel iets tegen phishing maar laat wat steken vallen - nog steeds grote Faal
Klein onderzoek op de reacties op security.nl: maakt niet uit wat een overheid doet, men vindt 't altijd wel een grote faal...
Door Anoniem: Maar hoe dan ook, de test is geslaagd en vele medewerkers hebben gefaald. Dat was overigens te verwachten, het overgrote deel van de bevolking faalt wanneer ze een phishing mail ontvangen. Hun hele hebben en houden geven zo zonder nadenken weg.... Goed dat er nu zo'n heisa wordt gemaakt van deze test, misschien leert men er van.
Helemaal me eens. Al moet ik wel het iets nuanceren. Want vele van jullie zullen ervaren, als jullie de test van Intel en McAfee zullen doen, dat ook ervaren mensen niet alles zullen herkennen.
Test je zelf hier maar eens: https://phishingquiz.mcafee.com
Ik slaagde er ook niet in om alles te herkennen.
Door Anoniem: Maar hoe dan ook, de test is geslaagd en vele medewerkers hebben gefaald. Dat was overigens te verwachten, het overgrote deel van de bevolking faalt wanneer ze een phishing mail ontvangen. Hun hele hebben en houden geven zo zonder nadenken weg.... Goed dat er nu zo'n heisa wordt gemaakt van deze test, misschien leert men er van.
Waar haal je vandaan dat vele medewerkers hebben gefaald?
De medewerkers bellen b.v. Thalys om dit bericht te controleren er staat niet de medewerkers hebben massaal word document geopend de macro's ingeschakeld en de creditcard gegevens ingevuld.
Er staat ook niet bij waarom ze de politie precies belde er staat om de politie te waarschuwen kan ook zijn om politie te waarschuwen dat ze phising mail ontvangen.
van de overheid was het inderdaad een faal
22-07-2015, 11:17 door
[Account Verwijderd]
-
Bijgewerkt: 22-07-2015, 11:18
[Verwijderd]
Door Anoniem: Grote Faal van de Vlaamse overheid.
Een typisch geval van valse autoriteit. Je bent nog geen deskundige als je de macht om iets te doen in handen hebt.
Een typisch geval van valse autoriteit. Je bent nog geen deskundige als je de macht om iets te doen in handen hebt.
Hm, de Vlaamse overheid heeft haar werknemers bewust willen maken van de risico's van hun gedrag. Hiertoe was die overheid als werkgever volledig geautoriseerd. Ze heeft het niet vlekkeloos aangepakt, maar waar vinden we een vlekkeloze aanpak? In de IT-wereld in ieder geval nergens.
22-07-2015, 11:25 door
Mysterio
Door PietdeVries: Overheid doet niets tegen phishing - grote Faal
Overheid doet wel iets tegen phishing maar laat wat steken vallen - nog steeds grote Faal
Klein onderzoek op de reacties op security.nl: maakt niet uit wat een overheid doet, men vindt 't altijd wel een grote faal...
Je kunt falen door iets niet te doen en je kunt falen door iets beroerd te doen. Vaak is iets doen beter dan niets doen echter maakt dat niet opeens een slecht uitgevoerd goed idee meteen ook een goede actie. Overheid doet wel iets tegen phishing maar laat wat steken vallen - nog steeds grote Faal
Klein onderzoek op de reacties op security.nl: maakt niet uit wat een overheid doet, men vindt 't altijd wel een grote faal...
Vergelijk het met een ontruimingsoefening. Ja, het is goed om regelmatig te oefenen en het is zeer aan te bevelen om van te voren de brandweer in te lichten want er is altijd een snuggere die de brandweer belt of aan het brandalarm trekt. Een beetje voorbereiding maakt van een goed idee ook een goede actie.
Als je voor een baas werkt en hij krijgt een dure fop rekening binnen dan wil je dat controleren. Als je het mis hebt komt het op jouw bord dus dat begrijp ik wel. Een word document downloaden en de macros inschakelen om zo je credit card gegevens door te geven begrijp ik niet echt. Dat is zo duidelijk nep dat eigenlijk geen ambtenaar daar mag intrappen.
Door Anoniem: Maar hoe dan ook, de test is geslaagd en vele medewerkers hebben gefaald.
Ambtenaren belden vervolgens massaal naar Thalys
Hoezo falende medewerkers? Ze hebben talys gebeld. Er staat nergens vermeld hoeveel personen de bijlage openden.
Door Anoniem: Maar hoe dan ook, de test is geslaagd en vele medewerkers hebben gefaald. Dat was overigens te verwachten, het overgrote deel van de bevolking faalt wanneer ze een phishing mail ontvangen. Hun hele hebben en houden geven zo zonder nadenken weg.... Goed dat er nu zo'n heisa wordt gemaakt van deze test, misschien leert men er van.
Waar baseer je dat op.
Er staat nergens dat de medewwerkers massaal de macro's in de bijlage hebben geactiveerd om de malware binnen te halen, of hun creditcard gegevens hebben afgestaan. Noch in dit artikel, noch in het VTM artikel.
Wat er wel gezegd wordt, is dat medewerkers (massaal?) met Thalys en de politie zijn gaan bellen.
Weliswaar niet de reactie waar de overheid op hoopte, maar beter dan blindelings de malware downloaden of je creditcard-gegevens afstaan.
Maar hoe dan ook, de test is geslaagd
Ehm, de bedoeling van zo'n test is niet dat medewerkers allerlij andere instanties gaan lastig vallen. Het misbruiken van logo's van andere bedrijven, wat juridisch niet is toegestaan, hoort evenmin in zo'n test thuis. Inhoudelijk was de test wat dat betreft nogal ''onhandig''. Ik zou niet spreken van een geslaagde mock spear phishing test.
vele medewerkers hebben gefaald
Hoezo, hoeveel medewerkers hebben de maco's ingeschakeld, en hun computer ''besmet'' ? Indien jij een mail binnenkrijgt, zogenaamd van jouw bank, en jij reageert erop door je bank te bellen omdat je het niet vertrouwt, faal jij dan ?
Het feit dat zij door de inhoud van de mail werden 'aangemoedigd' om contact te zoeken met externe partijen betreft een fout aan de kant van de makers van deze mock spear phishing campagne.
Een word document downloaden en de macros inschakelen om zo je credit card gegevens door te geven begrijp ik niet echt. Dat is zo duidelijk nep dat eigenlijk geen ambtenaar daar mag intrappen.
Hoeveel ambtenaren zijn er denk je die niet eens weten wat een ''Word Macro'' precies is ? Er zitten heel veel digibeten. En dat sommigen daarin trappen, dat snap ik best. Projecteer je je eigen kennis niveau niet te veel op anderen ? ;)
Door Anoniem:Test je zelf hier maar eens: https://phishingquiz.mcafee.com
Ik slaagde er ook niet in om alles te herkennen.
Ik ook niet, maar hoe vreemd is dat? Met sommige van die bedrijven heb ik nog nooit van mijn leven te maken gehad en je kunt in de voorbeelde-mails niet de muis over de link bewegen om te kijken waar 'ie naartoe leidt, wat ik normaal gesproken doe om phishing te herkennen.Ik slaagde er ook niet in om alles te herkennen.
Door Anak Krakatau: -- als een schip kapseist, meteen heb je 17 miljoen kapiteins in dit land die het beter weten
-- als er iets in de kerk gebeurt, meteen heb je 17 miljoen pausen die het beter weten
-- als een overheid iets verkeerd doet, dan heb je 17 miljoen burgemeesters die het beter weten
-- als er een ict-faal gebeurt, dan heb je 17 miljoen ict-ers die het beter weten...
ik weet het overigens ook altijd beter, maar dat is slechts een klein detail.. ;-)
-- als er iets in de kerk gebeurt, meteen heb je 17 miljoen pausen die het beter weten
-- als een overheid iets verkeerd doet, dan heb je 17 miljoen burgemeesters die het beter weten
-- als er een ict-faal gebeurt, dan heb je 17 miljoen ict-ers die het beter weten...
ik weet het overigens ook altijd beter, maar dat is slechts een klein detail.. ;-)
tja, anders zouden het er 16.999.999 zijn ;-)
Door PietdeVries: Overheid doet niets tegen phishing - grote Faal
Overheid doet wel iets tegen phishing maar laat wat steken vallen - nog steeds grote Faal
Klein onderzoek op de reacties op security.nl: maakt niet uit wat een overheid doet, men vindt 't altijd wel een grote faal...
Overheid doet wel iets tegen phishing maar laat wat steken vallen - nog steeds grote Faal
Klein onderzoek op de reacties op security.nl: maakt niet uit wat een overheid doet, men vindt 't altijd wel een grote faal...
In dit geval maakt het niet uit of het initiatief bij de overheid vandaan kwam.
Het is gewoon erg onprofessioneel aangelopen.
Ze hadden toch kunnen anticiperen dat er heel veel mensen (er waren 20000 mensen aangeschreven) zouden bellen naar het bedrijf dat in de mail genoemd is? Stel dan tenminste dit bedrijf in kennis.
Verder hadden ze gewoon een link in de mail moeten verwerken die naar een geprepareerde site zou leiden, met daar de vermelding dat normaliter hun pc nu besmet zou zijn en ze zichzelf hebben blootgesteld aan een beveiligingsrisico of zoiets.
Je wilt toch dat mensen aware worden van het probleem?
Binnen een paar dagen gaat er vast weer een mail verschijnen, nu van de echte Thalys,
die wegens overlast van een test en onbevoegd toepassen van hun logo bijna €20.000 van de creditcard zullen afschrijven etc.
Al die Belgische ambtenaren: "Ach ja, dat is weer zo enen test van onzen regering hee..."
die wegens overlast van een test en onbevoegd toepassen van hun logo bijna €20.000 van de creditcard zullen afschrijven etc.
Al die Belgische ambtenaren: "Ach ja, dat is weer zo enen test van onzen regering hee..."
Ze hadden toch kunnen anticiperen dat er heel veel mensen (er waren 20000 mensen aangeschreven) zouden bellen naar het bedrijf dat in de mail genoemd is? Stel dan tenminste dit bedrijf in kennis.
Geen verwijzing naar een bestaand bedrijf lijkt mij handiger. De kans dat een ander bedrijf akkoord gaat, indien je hen hierover inlicht, is ook verwaarloosbaar. Immers kost dat hen alleen maar zinloze tijd en moeite. Wat hebben ze eraan van te voren te weten dat ze lastig gevallen gaan worden door talloze ambtenaren, over iets waar ze niets mee te maken hebben ?
Een geslaagde test toch! of hadden ze eerst iedereen moeten informeren over de test zoals met een brand oefening?
Zowel voor de Thalys als de overheid een goede oefening om te zien of "men" bekend is met de protocollen in zo een situatie.
Zouden meer bedrijven moeten doen...
Zowel voor de Thalys als de overheid een goede oefening om te zien of "men" bekend is met de protocollen in zo een situatie.
Zouden meer bedrijven moeten doen...
Door Anoniem:
Door Anoniem:Test je zelf hier maar eens: https://phishingquiz.mcafee.com
Ik slaagde er ook niet in om alles te herkennen.
Ik ook niet, maar hoe vreemd is dat? Met sommige van die bedrijven heb ik nog nooit van mijn leven te maken gehad en je kunt in de voorbeelde-mails niet de muis over de link bewegen om te kijken waar 'ie naartoe leidt, wat ik normaal gesproken doe om phishing te herkennen.Ik slaagde er ook niet in om alles te herkennen.
Je kan wel degelijk zien waar de links naartoe leiden. Gewoon eroverheen gaan met je muis (link). Heb voor de gein ook maar even de test ondergaan en behaalde een score van 70% De tweede keer 60% en ben daarna meteen gestopt ;P
22-07-2015, 15:40 door
Ramon.C
OT
Waarom heeft de overheid niet samen met Thalys deze experiment ondernomen? Uiteindelijk zal dit wel degelijk de security awareness verbeteren van deze ambtenaren. Beter dan een aangekondigde steekproef!
Waarom heeft de overheid niet samen met Thalys deze experiment ondernomen? Uiteindelijk zal dit wel degelijk de security awareness verbeteren van deze ambtenaren. Beter dan een aangekondigde steekproef!
Door Anoniem:
Hm, de Vlaamse overheid heeft haar werknemers bewust willen maken van de risico's van hun gedrag. Hiertoe was die overheid als werkgever volledig geautoriseerd. Ze heeft het niet vlekkeloos aangepakt, maar waar vinden we een vlekkeloze aanpak? In de IT-wereld in ieder geval nergens.
Door Anoniem: Grote Faal van de Vlaamse overheid.
Een typisch geval van valse autoriteit. Je bent nog geen deskundige als je de macht om iets te doen in handen hebt.
Een typisch geval van valse autoriteit. Je bent nog geen deskundige als je de macht om iets te doen in handen hebt.
Hm, de Vlaamse overheid heeft haar werknemers bewust willen maken van de risico's van hun gedrag. Hiertoe was die overheid als werkgever volledig geautoriseerd. Ze heeft het niet vlekkeloos aangepakt, maar waar vinden we een vlekkeloze aanpak? In de IT-wereld in ieder geval nergens.
Niet vlekkeloos is wel iets anders als ondoordacht. Iedereen met een beetje verstand kan verwachten dat er met zo'n email problemen ontstaan. Een derde partij erbij betrekken zonder toestemming is dom. Sowieso mag je helemaal niets in de privesfeer van je ambtenaren. Dat je werkgever bent, geeft je nog niet het recht om je werknemers bang te maken of (zoals hier) valse informatie te geven.
Wat je eventueel wel zou kunnen doen is de link laten leiden naar een pagina waarop vermeld wordt dat het een phishingtest betreft op het intranet. Daar schuilt overigens weer een gevaar in dat phishers "phishingtests" gaan versturen. Dat is geen denkbeeldig gevaar, want phishers maken standaard berichten over accounts na.
Een phishingtest zal altijd over het bedrijf moeten gaan. Zo'n test zal ook goed moeten worden voorbereid. Informatie geef je niet op de phishing site zelf, maar op de intranet bedrijfssite. De interne procedures omtrent wachtwoorden wijzigen e.d. moeten al op orde zijn.
goed initiatief, maar niet doordacht om dat onder naam van Thalys te doen.
Mijn instelling stuurde onlangs een test phishing mail naar een deel van het personeel onder haar eigen naam, met een website en domein die ze zelf hadden nagemaakt naar model van de echte intranet login pagina. De bedoeling was dat personeel zou opmerken dat het om een niet-https en onbekend domein ging.
Dat is slimmer aangepakt: vragen kwamen zo bij de eigen helpdesk terecht in plaats van bij een bedrijf dat er helemaal niets mee te maken heeft.
Mijn instelling stuurde onlangs een test phishing mail naar een deel van het personeel onder haar eigen naam, met een website en domein die ze zelf hadden nagemaakt naar model van de echte intranet login pagina. De bedoeling was dat personeel zou opmerken dat het om een niet-https en onbekend domein ging.
Dat is slimmer aangepakt: vragen kwamen zo bij de eigen helpdesk terecht in plaats van bij een bedrijf dat er helemaal niets mee te maken heeft.
Door Anoniem: Maar hoe dan ook, de test is geslaagd en vele medewerkers hebben gefaald. Dat was overigens te verwachten, het overgrote deel van de bevolking faalt wanneer ze een phishing mail ontvangen. Hun hele hebben en houden geven zo zonder nadenken weg.... Goed dat er nu zo'n heisa wordt gemaakt van deze test, misschien leert men er van.
Ik heb de gelinkte informatie doorgelezen, maar nergens zie ik iets over "vele medewerkers hebben gefaald". Je wilt juist dat men dit soort zaken verifieert bij de betreffende partij. En aangifte doet als blijkt dat die van niets weet.
Peter
Door Anak Krakatau:
ik weet het overigens ook altijd beter, maar dat is slechts een klein detail.. ;-)
ik weet het overigens ook altijd beter, maar dat is slechts een klein detail.. ;-)
Nou, beter
Je doet inderdaad erg je best om vooral veel reacties te geven wat de kwaliteit niet ten goede komt.
Er is overigens verschil tussen een kapitein en een stuurman, ook wel stuurlui genoemd.
De laatste schijnen nog wel eens vanaf de wal aanwijzingen te geven.
https://nl.wikipedia.org/wiki/Stuurman_%28rang%29
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
