image

Clinton-campagne liet medewerkers met phishingmails testen

donderdag 16 februari 2017, 16:07 door Redactie, 3 reacties

Campagnemedewerkers van Hillary Clinton werden geregeld met phishingmails getest. Het kon echter niet voorkomen dat campagnevoorzitter John Podesta zijn gegevens op een phishingsite invoerde, waardoor 60.000 e-mails met vertrouwelijke informatie konden worden buitgemaakt.

E-mails die uiteindelijk op WikiLeaks verschenen. "We verstuurden zelf phishingmails om mensen te testen en ze te onderwijzen hoe kwetsbaar ze waren en dat hun keuzes uitmaakten", zegt Clintons campagnemanager Robby Mook in een interview met DarkReading. Campagnemedewerkers ontvingen ook vaak e-mails over goede it-hygiëne. "We hadden waarschuwingen in de toiletten om wachtwoorden niet te delen en na te denken voordat men ergens op klikte."

"We herinnerden mensen er ook aan om informatie over de campagne uit hun persoonlijke accounts te houden", stelt Mook verder. Ook werd het gebruik van tweefactorauthenticatie en sterke wachtwoorden aangemoedigd. Daarnaast kregen medewerkers het advies om berichten via de smartphone te versturen als ze niet wilden dat er iets in de de e-mail zou opduiken. Volgens Mook was uiteindelijk wat er gebeurde niet het gevolg van kwaadwillende insiders, maar van medewerkers die een foute link openden.

Reacties (3)
17-02-2017, 00:48 door Anoniem
Toen het campagneteam bewustzijn voor security wilde verhogen trapten medewerkers al in phishingmails. Toen een buitenstaander een phishingmail verzond trapte medewerks hier nog steeds in.

Stellen dat je als organisatie je best doet om bewustzijn te verhogen en dat de aanval niet aan je eigen organisatie lag is makkelijk. Ik mis het moeilijke deel: verklaren waarom dat niet hielp tegen een simpele aanval.

Als je keer op keer medewerkers hebt die in phisningmails van je bewustzijncampagne trapt, waarom neem je dan geen maatregel als het filteren van URLs in mails?

Bewustzijncampagnes uitvoeren vraagt om rendement. Het rendement is verwaarloosbaar als je op de reslutaten alleen maar meer of andere campagne gaat voeren. Bewustzijncampagnes alleen verhelpen niet dat je als organisatie slachtoffer kan worden van een simpele aanval.
17-02-2017, 01:40 door [Account Verwijderd]
Ook werd het gebruik van tweefactorauthenticatie en sterke wachtwoorden aangemoedigd

Je moedigt dat niet aan, je dwingt het af.
17-02-2017, 12:08 door Anoniem
In onze organisatie doen we ook ons best het bewustzijn over phishing mails te verhogen, Dat doen we met een Mass-Mail met daarin een link naar een pagina over Phishing. Zucht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.