Clinton-campagne liet medewerkers met phishingmails testen
Campagnemedewerkers van Hillary Clinton werden geregeld met phishingmails getest. Het kon echter niet voorkomen dat campagnevoorzitter John Podesta zijn gegevens op een phishingsite invoerde, waardoor 60.000 e-mails met vertrouwelijke informatie konden worden buitgemaakt.
E-mails die uiteindelijk op WikiLeaks verschenen. "We verstuurden zelf phishingmails om mensen te testen en ze te onderwijzen hoe kwetsbaar ze waren en dat hun keuzes uitmaakten", zegt Clintons campagnemanager Robby Mook in een interview met DarkReading. Campagnemedewerkers ontvingen ook vaak e-mails over goede it-hygiëne. "We hadden waarschuwingen in de toiletten om wachtwoorden niet te delen en na te denken voordat men ergens op klikte."
"We herinnerden mensen er ook aan om informatie over de campagne uit hun persoonlijke accounts te houden", stelt Mook verder. Ook werd het gebruik van tweefactorauthenticatie en sterke wachtwoorden aangemoedigd. Daarnaast kregen medewerkers het advies om berichten via de smartphone te versturen als ze niet wilden dat er iets in de de e-mail zou opduiken. Volgens Mook was uiteindelijk wat er gebeurde niet het gevolg van kwaadwillende insiders, maar van medewerkers die een foute link openden.
Stellen dat je als organisatie je best doet om bewustzijn te verhogen en dat de aanval niet aan je eigen organisatie lag is makkelijk. Ik mis het moeilijke deel: verklaren waarom dat niet hielp tegen een simpele aanval.
Als je keer op keer medewerkers hebt die in phisningmails van je bewustzijncampagne trapt, waarom neem je dan geen maatregel als het filteren van URLs in mails?
Bewustzijncampagnes uitvoeren vraagt om rendement. Het rendement is verwaarloosbaar als je op de reslutaten alleen maar meer of andere campagne gaat voeren. Bewustzijncampagnes alleen verhelpen niet dat je als organisatie slachtoffer kan worden van een simpele aanval.
Je moedigt dat niet aan, je dwingt het af.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
