image

Kritiek op nep-phishingmail die ABN Amro naar personeel stuurde

vrijdag 24 november 2017, 09:54 door Redactie, 51 reacties

Een deel van de werknemers van ABN Amro en vakbond De Unie hebben kritiek op een nep-phishingmail die de bank als test naar het personeel stuurde, zo laat de Volkskrant vandaag weten. De e-mail, die als afzender ABNArmo.ml had en door het "het management team" was ondertekend, beloofde een kerstcadeau. Als gebruikers echter op de meegestuurde link klikten kregen ze een melding te zien dat ze zich door de nep-phishingmail hadden laten misleiden en hoe ze die hadden kunnen herkennen.

Vorig jaar werd het kerstpakket voor ABN Amro-personeel nog geschrapt. Nu ook blijkt dat het in de e-mail aangekondigde kerstcadeau niet echt is, is er kritiek op het onderwerp van de nep-phishingmail. "De bank wantrouwt het eigen personeel en maakt het en passant blij met een dode mus", laat bestuurder Emanuel Geurts van vakbond De Unie tegenover de krant weten. De bank stelt in een reactie dat het niet de bedoeling was om mensen te kwetsen en e-mails van criminelen ook "heel vernuftig" in elkaar zitten en op de gevoelens van de ontvanger inspelen.

Image

Reacties (51)
24-11-2017, 09:59 door Anoniem
Het lijkt mij een uitstekende oefening, vooral het onderwerp dat inspeelt op de gevoelens van het personeel maakt het een stuk realistischer. Ben benieuwd hoeveel personen op de link hebben geklikt.
24-11-2017, 10:05 door Anoniem
ik vind die mail een goede zaak, wordt men bewust van hoe makkelijk het gaat.
24-11-2017, 10:10 door Whacko
Wat een onzin. ze doen een hele goede interne test om te kijken of personeel alert is, en dan zijn mensen beledigd. Jezus wat een onzin.
24-11-2017, 10:22 door Anoniem
Wat een kleine kinderen daar. Dit soort actie van ABN zijn juist goed! Hoeveel mensen zijn er blij gemaakt met een 'dode mus'? Het aantal kliks staat niet in het bericht. Zal wel hoog zijn geweest.

TheYOSH
24-11-2017, 10:24 door Anoniem
NOOIT op links klikken in een e-mail, maar ALTIJD eerst onderzoeken of de link kwaadaardig is via VirusTotal bijvoorbeeld.
24-11-2017, 10:25 door Anoniem
Blijkbaar hebben ze reden om hun personeel te wantrouwen, scherp houden kan helemaal geen kwaad.
Elke fishing mail is gebaseerd op een dode mus, dus moeten die bonden niet zeuren.
24-11-2017, 10:26 door Anoniem
Een top actie dit zouden meer bedrijven moeten doen op die manier komt er misschien een beetje bewustzijn bij de mensen dat je eerst goed moet lezen en dat niet alle mail mails is van officiele instanties. En uit ervaring weet ik dat het vaak de mensen zijn die erin zijn getrapt nu kritiek uiten op deze actie
24-11-2017, 10:27 door root - Bijgewerkt: 24-11-2017, 10:37
Leuk, de Hogeschool van Arnhem en Nijmegen heeft ook een keer zoiets gedaan: alle medewerkers gevraagd of ze nog wel een kerstpakket willen. Het hele verhaal is hier te lezen:

https://ictoblog.nl/2017/04/06/geavanceerde-en-gevaarlijke-phishing-e-mail

Ik vind het een zeer goede actie! En wie loopt te klagen over de inhoud van de mail snapt er echt niks van..
24-11-2017, 10:32 door Anoniem
Door root:Ik vind het een zeer goede actie! En wie loopt te klagen over de inhoud van de mail snapt er echt niks van.

In de ogen van een ICTer is dit een goede test, maar voor n00bs is dat het duidelijk niet.
De vraag is alleen hoe je je personeel (dat blijkbaar geen affiniteit met ICT-gerelateerde zaken heeft) dan toch hiervoor weet te interesseren. Een uitdsaging voor of de afdeling Communicatie of de ICTers.
24-11-2017, 10:42 door Anoniem
Ondertussen ben ik weer wat tot rust gekomen,...

Wat hier gebeurt kan echt niet. Het resultaat van dit soort dingen kan echt onder geen beding ooit naar buiten gebracht worden. Wat leer ik als kwaadwillend persoon van dit bericht;

1. Als ik mail spoof, moet ik het vanuit het management team doen.
2. De medewerkers klikken lukraak op linkjes.
3. Er heerst onvrede tussen mgmt en medewerkers.
4. Er is totaal geen gevoel voor security intern.

En zo kan ik nog even doorgaan.

Wat er ook gebeurt binnen een bedrijf, Je mag echt nooit toestaan dat dit soort kritische info je bedrijf verlaat. Dit is echt een geval van slechte training van de collega's op security gebied. Wat gaat er nu de volgende keer gebeuren bij een dergelijke mail ?... "Oh dit is weer zo;n wassen neus" of "Ik kijk wel of we dit keer wel een cadeau kijken". In ieder geval word de essentie van de test, kijken wat de security awareness binnen deze omgeving is hiermee totaal teniet gedaan, en tevens word direct teveel info gepubliceert over de interne omgeving en omgang met security. Slecht verhaal!
24-11-2017, 10:49 door Anoniem
Door Anoniem: NOOIT op links klikken in een e-mail, maar ALTIJD eerst onderzoeken of de link kwaadaardig is via VirusTotal bijvoorbeeld.
Behalve als die link een wachtwoord reset link is of zoiets. Of als die andere persoonlijke informatie bevat.
24-11-2017, 10:57 door Anoniem
De insteek van de email was superdom, behoorlijke fuckup. Verder is het testen van beveiliging m.b.v. nep phishing emails een goede manier om de awareness op te krikken. Van de klachten op dat gebied snap ik weinig; bankmedewerkers moeten ook het belang inzien van security awareness.
24-11-2017, 11:05 door Anoniem
Door Anoniem: De insteek van de email was superdom, behoorlijke fuckup. Verder is het testen van beveiliging m.b.v. nep phishing emails een goede manier om de awareness op te krikken. Van de klachten op dat gebied snap ik weinig; bankmedewerkers moeten ook het belang inzien van security awareness.

Insteek was briljant. De jankers zullen diegene zijn die hebben geklaagd bij de bond en daarmee een serieus security risico hebben genomen.
24-11-2017, 11:08 door Anoniem
Door Anoniem:
Door Anoniem: NOOIT op links klikken in een e-mail, maar ALTIJD eerst onderzoeken of de link kwaadaardig is via VirusTotal bijvoorbeeld.
Behalve als die link een wachtwoord reset link is of zoiets. Of als die andere persoonlijke informatie bevat.
Dan heb jezelf om een reset gevraagd. Vaak staat er ook in zo'n mail dat als je geen reset hebt aangevraagd dat je het moet melden
24-11-2017, 11:21 door dmstork
Het gaat hier over twee verschillende dingen: nep-phisingmails en het onderwerp wat gekozen is om mensen te laten klikken.

Dat je je personeel een nep-phising mail stuurt om te kijken wat de bewustwording is, snap ik. Wel is het altijd disruptive, al is het alleen maar dat je personeel zich schaamt dat ze ergens ingetrapt zijn. Maar dat accepteer je als organisatie als je dit gaat doen. Als je dan ook nog eens een zeer gevoelig onderwerp neemt, dan kan het het doel voorbij schieten.

Het uiteindelijke doel van deze campagne is inzicht over hoeveel mensen toch klikken maar vooral ook bewustwording bij personeel. Dat kan ook met een minder gevoelig onderwerp. Nu word de discussie door personeel meer over de inhoud van het mailtje gevoerd, dan het feit dat men op linkjes heeft geklikt (wat nadat de eerste personen die erop geklikt hebben rond kunnen vertellen wat mogelijk juist tot meer kliks leid).

Lastig te zeggen wat het effect zal zijn (zijn hier onderzoeken naar gedaan, naar het effect van nep-phising mails?), ik kan mij voorstellen dat er nu personeel is die nu wellicht eerder op linkjes klikt van echte phishingmails.
24-11-2017, 11:39 door Tha Cleaner - Bijgewerkt: 24-11-2017, 11:40
Door Anoniem: Het lijkt mij een uitstekende oefening, vooral het onderwerp dat inspeelt op de gevoelens van het personeel maakt het een stuk realistischer. Ben benieuwd hoeveel personen op de link hebben geklikt.
Door Anoniem: ik vind die mail een goede zaak, wordt men bewust van hoe makkelijk het gaat.
Door Whacko: Wat een onzin. ze doen een hele goede interne test om te kijken of personeel alert is, en dan zijn mensen beledigd. Jezus wat een onzin.
Door Anoniem: Wat een kleine kinderen daar. Dit soort actie van ABN zijn juist goed! Hoeveel mensen zijn er blij gemaakt met een 'dode mus'? Het aantal kliks staat niet in het bericht. Zal wel hoog zijn geweest.

TheYOSH

Oefening/gedachte is goed. Uitvoering is alleen waardeloos. En juist deze opmerkingen laten zien waarom de oefening zo fout is uitgevoerd. Personen die geen gevoel hebben met wat op de vloer werkelijk speelt of hoe iets opgevat kan worden door eindgebruikers. Stap eens uit je ivoren toren en denk eens iets verder dan je neus lang is.

Er wordt gedacht vanuit techniek of security, maar niet vanuit het user persectief. Onderwerp is gewoon totaal verkeerd gekozen..

Als ik deze Email zou mogen ontvangen, zou ik ook duidelijk mijn ongenoegen laten blijken bij mij manager, zowel per mail als persoonlijk. Er is totaal niet over nagedacht.
24-11-2017, 11:51 door root
Door dmstork: .... Als je dan ook nog eens een zeer gevoelig onderwerp neemt, dan kan het het doel voorbij schieten....

Juist niet, je moet een gevoelig onderwerp kiezen om ervoor te zorgen dat de boodschap aankomt. Als je dat niet doet, dan klikt iedereen de mail weg en heb je niets bereikt.
24-11-2017, 12:07 door Anoniem
Door Tha Cleaner:
Door Anoniem: Het lijkt mij een uitstekende oefening, vooral het onderwerp dat inspeelt op de gevoelens van het personeel maakt het een stuk realistischer. Ben benieuwd hoeveel personen op de link hebben geklikt.
Door Anoniem: ik vind die mail een goede zaak, wordt men bewust van hoe makkelijk het gaat.
Door Whacko: Wat een onzin. ze doen een hele goede interne test om te kijken of personeel alert is, en dan zijn mensen beledigd. Jezus wat een onzin.
Door Anoniem: Wat een kleine kinderen daar. Dit soort actie van ABN zijn juist goed! Hoeveel mensen zijn er blij gemaakt met een 'dode mus'? Het aantal kliks staat niet in het bericht. Zal wel hoog zijn geweest.

TheYOSH

Oefening/gedachte is goed. Uitvoering is alleen waardeloos. En juist deze opmerkingen laten zien waarom de oefening zo fout is uitgevoerd. Personen die geen gevoel hebben met wat op de vloer werkelijk speelt of hoe iets opgevat kan worden door eindgebruikers. Stap eens uit je ivoren toren en denk eens iets verder dan je neus lang is.

Er wordt gedacht vanuit techniek of security, maar niet vanuit het user persectief. Onderwerp is gewoon totaal verkeerd gekozen..

Als ik deze Email zou mogen ontvangen, zou ik ook duidelijk mijn ongenoegen laten blijken bij mij manager, zowel per mail als persoonlijk. Er is totaal niet over nagedacht.

Integendeel - er is enorm goed nagedacht voor een geloofwaardige phish .
Dat is het insider voordeel van een interne test - kennis van de lokale cultuur, taal en verwachtingen .
Maar een goed voorbereide outsider kan dat ook .

Jezelf op de borst gaan kloppen dat maar 2% klikte op een "Dear friend I am the wife of Nigerian prince" oh oh wat zijn wij met z'n allen phishing aware is een vals gevoel van veiligheid .

Rond december Nederlanders mailen dat er een kerstpakket te halen (of te missen) valt is een _echte_ test .

Wat wou je nou je manager vertellen ? Dat je baalt dat je blij gemaakt werd met een dode mus ?
Lachte je ook altijd om tokkies die blij gemaakt werden met een 10,000.000 uit Nigeria , of geloofden in mailtjes van Sletlana die hen spontaan mailde voor een relatie en is het enige verschil dat het nu iets was wat _jij_ geloofde ?
24-11-2017, 12:09 door Anoniem
De link was https://verrassing.abnarmo.ml
Dus .ML ipv .NL
24-11-2017, 12:24 door Anoniem
Door root:
Door dmstork: .... Als je dan ook nog eens een zeer gevoelig onderwerp neemt, dan kan het het doel voorbij schieten....

Juist niet, je moet een gevoelig onderwerp kiezen om ervoor te zorgen dat de boodschap aankomt. Als je dat niet doet, dan klikt iedereen de mail weg
Nee... Je moet een goed onderwerp kiezen en daar moet je goed over nadenken. Anders komt misschien de boodschap aan, maar creëer je ook een sfeer op de werkvloer zie zo slecht is, dat het maanden kost om dit weer een beetje op te peppen.

Het discussies ontstaan dan over het onderwerk en niet over de veiligheid. Ofwel men denk helemaal niet meer aan de achterliggende gedachte. En denkt men er helemaal niet meer over na. Immers men is met hun gedachte en discussies met andere dingen bezig.

en heb je niets bereikt.
Sfeer verpest, productiviteit omlaag, en security awareness effect nauwelijks verbeterd. Je hebt gelijk dat je inderdaad wat bereikt heb.... Of het nu het juiste is.....
24-11-2017, 12:31 door karma4
Simpel te herkennen pishing mail.
Bij Abn Amro heeft men weinig over voor het personeel enkel de top krijgt flink geld mee. Herinvoering van een kerstpakket is dan uit de aard van de zaak een fantasie. /sarcasm
24-11-2017, 13:12 door Anoniem
Of het bewees weer eens hoe of Mitnick gelijk had met zijn social engineering hacks waarschuwingen.

De enige die er niet op klikte was natuurlijk die lieve mevrouw aan de balie, want zij beschikt over een grote hoeveelheid sociale intelligentie en heeft al vele collega's van later toepassen van reputatie management gered.

De oefening had wel intern moeten blijven. Ik zou het ook doen onder de IT-ers zelf.
Wat is de versie van de naamservers? Die horen we immers niet zo te zien.
Welke security headers zijn er ingesteld?
Hebben we sri-hashes nodig? Overhoor de hap maar eens?

Vergeet niet dat een hele grote hoeveelheid beveiliging berust op het principe "security through obscurity".

Het had zo nooit naar buiten mogen worden gebracht, maar je weer wel gelijk waar de 'oenen' binnen je organisatie zitten.
Op de webpagina had men al vaak genoeg de eigen klanten hiervoor gewaarschuwd.
Belangrijk eigen leermoment.

Vind de nieuwe webpagina outlay echter naadje, maar dat geheel ter zijde.
24-11-2017, 13:15 door Tha Cleaner - Bijgewerkt: 24-11-2017, 13:15
Door Anoniem:Integendeel - er is enorm goed nagedacht voor een geloofwaardige phish .
Dat is het insider voordeel van een interne test - kennis van de lokale cultuur, taal en verwachtingen .
Maar een goed voorbereide outsider kan dat ook .

Jezelf op de borst gaan kloppen dat maar 2% klikte op een "Dear friend I am the wife of Nigerian prince" oh oh wat zijn wij met z'n allen phishing aware is een vals gevoel van veiligheid .

Rond december Nederlanders mailen dat er een kerstpakket te halen (of te missen) valt is een _echte_ test .

Wat wou je nou je manager vertellen ? Dat je baalt dat je blij gemaakt werd met een dode mus ?
Lachte je ook altijd om tokkies die blij gemaakt werden met een 10,000.000 uit Nigeria , of geloofden in mailtjes van Sletlana die hen spontaan mailde voor een relatie en is het enige verschil dat het nu iets was wat _jij_ geloofde ?

Nee, juist Sfeer verpest, productiviteit omlaag, en security awareness effect nauwelijks verbeterd. Je hebt gelijk dat je inderdaad wat bereikt heb.... Of het nu het juiste is.....

Men is op de werkvloer allang vergeten waar dit over ging. Helemaal over een maand of nog langer, het lange termijn effect voor de security awareness is er nauwelijks of nauwelijks verbeterd.

Het enige wat men zal blijven herinneren is iets met kerstpakketten wat achteraf toch niet zo bleek. Iets zoalsiemand blij maken met een dode mus. En dat is wat men zich nog jaren zal herinneren vanuit deze awareness... Dat het iets met phishingmail te maken had, dat is men zo vergeten. De onrust echter niet.

Onderschat niet hoe zo iets kan leven bij het personeel of wat een slechte sfeer kan veroorzaken in een bedrijf. Zo'n actie kan jaren aan transformatie of cultuur in 1 keer volledig ongedaan maken voor jaren.

Daarom vanuit security(techniek) is er over nagedacht en is het goed opgezet.... Maar niet over de consequenties en belevenis van het personeel. Waardoor de actie of beter het gewenste resultaat eigenlijk mislukt is.
24-11-2017, 13:30 door Anoniem
Door Tha Cleaner:
Door Anoniem:Integendeel - er is enorm goed nagedacht voor een geloofwaardige phish .
Dat is het insider voordeel van een interne test - kennis van de lokale cultuur, taal en verwachtingen .
Maar een goed voorbereide outsider kan dat ook .

Jezelf op de borst gaan kloppen dat maar 2% klikte op een "Dear friend I am the wife of Nigerian prince" oh oh wat zijn wij met z'n allen phishing aware is een vals gevoel van veiligheid .

Rond december Nederlanders mailen dat er een kerstpakket te halen (of te missen) valt is een _echte_ test .

Wat wou je nou je manager vertellen ? Dat je baalt dat je blij gemaakt werd met een dode mus ?
Lachte je ook altijd om tokkies die blij gemaakt werden met een 10,000.000 uit Nigeria , of geloofden in mailtjes van Sletlana die hen spontaan mailde voor een relatie en is het enige verschil dat het nu iets was wat _jij_ geloofde ?

Nee, juist Sfeer verpest, productiviteit omlaag, en security awareness effect nauwelijks verbeterd. Je hebt gelijk dat je inderdaad wat bereikt heb.... Of het nu het juiste is.....

Dat denk je. Ik denk dat de awareness _enorm_ verbeterd zal zijn, en qua productiviteit een paar uurtjes koffieautomaat neuzelen.


Men is op de werkvloer allang vergeten waar dit over ging. Helemaal over een maand of nog langer, het lange termijn effect voor de security awareness is er nauwelijks of nauwelijks verbeterd.

Het enige wat men zal blijven herinneren is iets met kerstpakketten wat achteraf toch niet zo bleek. Iets zoalsiemand blij maken met een dode mus. En dat is wat men zich nog jaren zal herinneren vanuit deze awareness... Dat het iets met phishingmail te maken had, dat is men zo vergeten. De onrust echter niet.

Onderschat niet hoe zo iets kan leven bij het personeel of wat een slechte sfeer kan veroorzaken in een bedrijf. Zo'n actie kan jaren aan transformatie of cultuur in 1 keer volledig ongedaan maken voor jaren.

Daarom vanuit security(techniek) is er over nagedacht en is het goed opgezet.... Maar niet over de consequenties en belevenis van het personeel. Waardoor de actie of beter het gewenste resultaat eigenlijk mislukt is.

Valt wel mee.

Een tijdje lang grapjes 'zeker weer zo'n kerstpakketten mailtje' .

Het is wel te hopen dat ze daarna inderdaad _wel_ een kerst pakket krijgen, maar de ervaring dat niet alles is wat het lijkt blijft nu echt wel hangen. The burned hand teaches the best . Heel veel meer dan van die doorklik CBTs.
24-11-2017, 13:57 door Anoniem
Op IT security gebied moet je het personeel inderdaad wantrouwen en awareness training toepassen. Goede actie van ABN-AMRO.
24-11-2017, 13:59 door SPer
Door Anoniem: De link was https://verrassing.abnarmo.ml
Dus .ML ipv .NL

en om niet te vergeten niet amro maar armo ;-)
24-11-2017, 13:59 door SPer
Trouwens niet zo handig om in het bericht een actieve link te zetten ;-)
24-11-2017, 14:04 door Anoniem
Lol dit hadden we ook gedaan en het bedrijf waar ik voor werkte was wel wat groter met veel meer personeel. Het werkte prima.

Geen klachten gehad en nee mensen werden ook niet persoonlijk aangesproken of geregistreerd.

Maar iedereen stond wel een flinke tijd op scherp.

Maar security awareness dien je te herhalen dat is een gegeven.
24-11-2017, 14:14 door Anoniem
Nou als je als management zo'n actie opzet en dan de mensen die je "security aware" gemaakt hebt evengoed het
beloofdee speakertje van 5 a 10 euro inkoop niet gunt, dan ben je toch wel erg diep gezonken.
En ik neem aan dat er bij het zichzelf gunnen van de jaarlijkse bonussen en opslagen dit soort testjes niet gedaan
worden.
24-11-2017, 14:59 door Anoniem
Door Anoniem: Ondertussen ben ik weer wat tot rust gekomen,...

Wat hier gebeurt kan echt niet.
...knip...
Wat er ook gebeurt binnen een bedrijf, Je mag echt nooit toestaan dat dit soort kritische info je bedrijf verlaat.

Zo kritisch is die informatie niet. De conclusie geldt voor (bijna) elke organisatie. Phishers weten dat dit zo werkt en daarom sturen ook phishing mails.

Banken waarschuwen zo vaak om nooit op linkjes te klikken. Hun eigen marketingafdeling snapt daar niets van, want hun mails staan ook vol met links. En zolang (het management van) een organisatie niet zelf het goede voorbeeld geeft, hoe kun je dan een verwijt maken aan de medewerkers?
24-11-2017, 15:01 door Anoniem
Door Anoniem: NOOIT op links klikken in een e-mail, maar ALTIJD eerst onderzoeken of de link kwaadaardig is via VirusTotal bijvoorbeeld.

Denk je dat elke secretaresse, receptioniste, opa/oma, facilitaire afdeling, etc dit gaat doen?
Verwachtingsmanagement mag wel eens bijgesteld worden door sommige slimme mensen.
24-11-2017, 16:04 door Anoniem
"De bank wantrouwt het eigen personeel en maakt het en passant blij met een dode mus"
Altijd al gedacht, maar hieruit blijkt wel weer de arrogante, slome, niet-begrijpende houding van bepaald personeel bij AbnAmro en vakbonden.

Zo zouden ze er ook in het echt ingeluisd kunnen worden, maar ze zijn zo sloom dat ze daar nog niet eens aan denken.

De test was dus prima maar hoeveel het gaat helpen?......
24-11-2017, 16:14 door Anoniem
Geniaal! Ze hebben de test zelf zo gerafineerd opgezet dat ze vorig jaar eerst het kerstpakket hebben afgeschaft om nu dit jaar daar een phinngtest uit te kunnen voeren :-).
24-11-2017, 16:24 door root
https://youtu.be/4gR562GW7TI

Even niet opletten en je bedrijf gaat eraan.

Om ook de mensen te bereiken die het geen reet interesseert, kun je niet anders dan dit soort dingen doen. Dat mensen achteraf lopen te zeiken moet je gewoon negeren.
24-11-2017, 18:50 door Anoniem
Nu wachten op de phising-mail specifiek gericht aan ABN-Amro personeel waarin hen als goedmakertje alsnog een kerstkado wordt aangeboden.
24-11-2017, 19:08 door Anoniem
Door Anoniem: Ondertussen ben ik weer wat tot rust gekomen,...

Wat hier gebeurt kan echt niet. Het resultaat van dit soort dingen kan echt onder geen beding ooit naar buiten gebracht worden. Wat leer ik als kwaadwillend persoon van dit bericht;

1. Als ik mail spoof, moet ik het vanuit het management team doen.
2. De medewerkers klikken lukraak op linkjes.
3. Er heerst onvrede tussen mgmt en medewerkers.
4. Er is totaal geen gevoel voor security intern.

Je post op security.nl , en je schrijft die vier punten alsof het grote eyeopeners voor je waren, die misschien voor phishers nieuw zijn ?

1 - like DUH - je wilt dat de ontvanger de mail in alle opzichten als 'belangrijk - moet lezen' ziet. In een zakelijke omgeving is sturen namens management (of PZ) nogal voor de hand liggend. De spam trojans spoofen al jaren hun afzender als de vorige geinfecteerde richting het adresboek van die geinfecteerde.
2 - no shit. Ook heel oud nieuws voor malware makers, en mensen die ook maar een klein beetje security volgen
3 - wie had dat gedacht, in een bedrijf dat door een stevige reorganisatie en bezuiniging gegaan is.
4 - Dat is helemaal niet gezegd. Bijna zeker zal ook ABN z'n personeel gespamd hebben met awareness sessies en online traininkjes .


En zo kan ik nog even doorgaan.

Wat er ook gebeurt binnen een bedrijf, Je mag echt nooit toestaan dat dit soort kritische info je bedrijf verlaat. Dit is echt een geval van slechte training van de collega's op security gebied. Wat gaat er nu de volgende keer gebeuren bij een dergelijke mail ?... "Oh dit is weer zo;n wassen neus" of "Ik kijk wel of we dit keer wel een cadeau kijken". In ieder geval word de essentie van de test, kijken wat de security awareness binnen deze omgeving is hiermee totaal teniet gedaan, en tevens word direct teveel info gepubliceert over de interne omgeving en omgang met security. Slecht verhaal!

Integendeel, prima verhaal.

Overigens moet je als bedrijf van formaat ABN [21,000 mensen] niet werken vanuit het idee dat dingen die je "naar alle medewerkers" stuurt geheim kunnen blijven.
Evenmin zal het resultaat een verrassing zijn , niet voor security professionals [whitehat of blackhat] .

Maar voor de mensen die _wel_ verbaasd zijn dat de respons zo hoog is (of dat ze deel waren van de respons) is het wellicht wel een eye opener .

Ik ben erg benieuwd welke CIO zou durven zeggen "ons personeel is zo goed getraind, deze phish trappen ze niet in".
Ik zou dan heel graag willen weten wat die dan wel niet aan awareness trainingen doen .
24-11-2017, 19:16 door Anoniem
Zoals gewoonlijk staan de beste stuurlui (de meeste reguurders onder dit artikel) aan wal.

Hoeveel van jullie werken bij een organisatie die niet alleen maar uit ITers bestaat, EN komen af en toe van de IT afdeling af om in de gewone wereld eens rond te kijken hoe het er daar aan toe gaat.

De gewone werkemer heeft geen affiniteit met ICT, security, computer, oid. Die willen gewoon hun werk doen.
Als zo'n medewerker een mailtje krijgt over een kerstpakket (iets dat het jaar ervoor afgeschaft is) dan zullen ze daar naar kijken. Dingen die voor jullie simpel zijn, zoals het herkennen van een rare url, valt ze niet op. Want zo beleven zij de wereld niet. Het zijn namelijk geen "computer-nerds". Als dan blijkt dat ze "weer" genaaid zijn door de werkgever, nl. geen kerstpakket en in het ootje genomen door de IT afdeling, dan gaan er mensen klagen. Heel normaal gedrag, voor gewone (niet ICT) medewerkers.

Zoals hierboven al opgemerkt is, de werkgever heeft zo de werksfeer verbeterd. Namelijk het personeel verenigd tegen de baas. Maar de realisatie dat ze iets doems gedaan hebben, zal ze niet bijblijven. Daar zijn ze namelijk te boos voor (op de baas).

ICT technisch misschien goed uitgevoerd, maar communicatief was dit een schoolvoorbeeld hoe je faalt als IT-organisatie.

De operatie is geslaagd, maar de patient is overleden.

Maar blijkbaar is enige affiniteit met de normale werknemer niet op zijn plaats bij de IT-nerds die hier reageren.
Misschien nog maar een cursusje communicatie volgen?
Of bij een klant een weekje meewerken op een andere afdeling dan de IT-afdeling. Misschien dat er dan meer begrip voor de gebruiker/klant ontstaat.


Misschien is het een paar lezer opgevallen dat ik de term IT gebruikt heb. De C van Communicatie ontbreekt duidelijk bij veel van jullie.


Met vriendelijke groet,
Galbraith
24-11-2017, 19:44 door Anoniem
Door Anoniem: Zoals gewoonlijk staan de beste stuurlui (de meeste reguurders onder dit artikel) aan wal.

Met vriendelijke groet,
Galbraith

Op basis waarvan maak jij een onderscheid tussen jouw eigen bijdrage en die van anderen?
Op basis waarvan zijn anderen reaguurders en jij niet?

Op basis van de huisregels toevallig?
Wees respectvol richting andere bezoekers en moderators

Nee, dat kan het niet zijn.
Maar wat dan wel?
24-11-2017, 20:07 door Tha Cleaner
Door Anoniem: Dat denk je. Ik denk dat de awareness _enorm_ verbeterd zal zijn, en qua productiviteit een paar uurtjes koffieautomaat neuzelen.
Als ITer wil je dat graag geloven. Maar je denkt weer vanuit de IT/Security. En vanuit de IT is het project geslaagd. Maar daar draait dit juist helemaal niet op. Dit gaat juist op de klassieke punten helemaal fout.. Dat onderschap je ook hoeveel impact dit soort dingen hebben in een organisatie.

Bij ons praten we nog steeds over de lease aanpassing van 5-6 geleden. De bezuinigingen op de telefoon. We maken miljoenen winst maar een salarisverhoging kan er al jaren niet vanaf. Koffie niet te zuipen.

En ga even uit van 1 uurtje verlies met 10000 man... Dat is een verlies van 10.000 manuren.

Valt wel mee.
Je hebt ervaring in cultuur aanpassingen en management in een Enterprise? Als je weet hoeveel geld een bedrijf van die omvang uitgeeft om positiviteit bij de werknemers te kweken, dat is met deze Email in eens weggespoeld dit jaar. En je mag blij zijn als ze volgend jaar het weer positief kunnen krijgen.
Vergeet niet dat positiviteit heel lastig en langdurige is. Maar negativiteit gaat heel snel, en het duurt heel lang voordat voordat je dit weer onder controle hebt, maar dan is het nog steeds niet weg.

Daarom is dit een gruwelijke fout van mensen geweest. En aan de reacties te zien hier, snappen de meeste duidelijk niet wat de impact kan zijn van dit soort acties.

Dit valt onder een Dode mus of operatie gelukt, patiënt overleden, slag gewonnen maar oorlog verloren.


maar de ervaring dat niet alles is wat het lijkt blijft nu echt wel hangen.
Je hebt het nu waarschijnlijk over de security awareness? Want wij hebben ook wel eens zo'n email gehad, en bij klanten zien we ze ook wel eens. We hebben hier ook periodieke awareness trainingen. Maar er wordt meer gepraat over ons waardeloze ingerichte hoofdkantoor, wat helemaal niets uitstraalt en koud aan voelt. Of de nog steeds waardeloze koffie. Over die trainingen hoor je letter niemand.
Dat zegt juist iets over wat men belangrijk vindt.

Daarom.. Ik vraag mij serieus af hoe dit bedacht heeft. Waarschijnlijk een hele goede ITer of Security man, maar duidelijk geen enkel benul wat de gewone gebruiker voelt of doet. Beetje denken vanuit de ivoren toren en denken dat ze alles zelf het beste weten.

Prachtig en goed dat men dit soort testen en awareness doet. Moeten ze eigenlijk vaker doen. Maar de uitvoering is gewoon totaal verkeerd. Daarom Slag gewonnen, oorlog verloren.

Onderschat dit soort gevolgen niet voor een bedrijf. Zeker niet op dit soort gevoelige onderwerpen.
24-11-2017, 22:31 door Anoniem
Er schuilt een psychologisch effect achter, en wel dit:

Werknemers die op de link hadden geklikt, willen hun gevoel van stommiteit afleiden naar een ander onderwerp.
(dan hoeven ze niet zo te erkennen hoe stom ze zélf waren)

Maar ze zouden zich moeten realiseren dat een kwaadaardige mail er echt zo uit kan zien,
en dat klagen bij de vakbond "dat het over zo'n gevoelig onderwerp ging" dan niets helpt.

Als er iemand een cadeautje heeft verdiend, dan zijn het wel degenen die niet op de link hadden geklikt.
Wedden dat degenen die nu faalden dan de volgende keer beter zullen opletten?

Maar wie toch blijven zeuren, zijn (te) weinig gemotiveerde mensen die een bank kan missen als kiespijn.
Bij de eerstvolgende ontslagronde gaan ze eruit.
(want vergeet niet: het zakenleven is hard...)
24-11-2017, 23:10 door Anoniem
Door Tha Cleaner:
Door Anoniem: Dat denk je. Ik denk dat de awareness _enorm_ verbeterd zal zijn, en qua productiviteit een paar uurtjes koffieautomaat neuzelen.
Als ITer wil je dat graag geloven. Maar je denkt weer vanuit de IT/Security. En vanuit de IT is het project geslaagd. Maar daar draait dit juist helemaal niet op. Dit gaat juist op de klassieke punten helemaal fout.. Dat onderschap je ook hoeveel impact dit soort dingen hebben in een organisatie.

Bij ons praten we nog steeds over de lease aanpassing van 5-6 geleden. De bezuinigingen op de telefoon. We maken miljoenen winst maar een salarisverhoging kan er al jaren niet vanaf. Koffie niet te zuipen.

Nou, dan heb je een extra onderwerpje om met het kringetje collega's over te hebben.

[..]


Valt wel mee.
Je hebt ervaring in cultuur aanpassingen en management in een Enterprise? Als je weet hoeveel geld een bedrijf van die omvang uitgeeft om positiviteit bij de werknemers te kweken, dat is met deze Email in eens weggespoeld dit jaar. En je mag blij zijn als ze volgend jaar het weer positief kunnen krijgen.

Net zoveel ervaring als jij, vermoedelijk.

Maar mensen die al zes jaar ontevreden zijn over de lease, het telefoonbudget en de 'sinds kort voor 0,10 betalen voor bruin slootwater uit de automaat' krijg je toch niet tevreden met een paar hippe posters die communicatie op laat hangen of een kringetje op de hei dag.
En nauwelijks _nog_ meer ontevreden met een phish test.

En als de sfeer er wel goed in zit heb je geen gedoe om een phish test.

Oftewel - ik geloof dus niet dat deze test op zichzelf zo'n grote impact op medewerker gevoel zal hebben.


Vergeet niet dat positiviteit heel lastig en langdurige is. Maar negativiteit gaat heel snel, en het duurt heel lang voordat voordat je dit weer onder controle hebt, maar dan is het nog steeds niet weg.

Daarom is dit een gruwelijke fout van mensen geweest. En aan de reacties te zien hier, snappen de meeste duidelijk niet wat de impact kan zijn van dit soort acties.

Dit valt onder een Dode mus of operatie gelukt, patiënt overleden, slag gewonnen maar oorlog verloren.

We gaan het zien, in de komende tijd.


maar de ervaring dat niet alles is wat het lijkt blijft nu echt wel hangen.
Je hebt het nu waarschijnlijk over de security awareness? Want wij hebben ook wel eens zo'n email gehad, en bij klanten zien we ze ook wel eens. We hebben hier ook periodieke awareness trainingen. Maar er wordt meer gepraat over ons waardeloze ingerichte hoofdkantoor, wat helemaal niets uitstraalt en koud aan voelt. Of de nog steeds waardeloze koffie. Over die trainingen hoor je letter niemand.
Dat zegt juist iets over wat men belangrijk vindt.

Nu spreek je jezelf nogal tegen :

Eerst zeg je dat z'n phish waar men massaal intrapt enorm impacting is en nog een jaar doorwerkt, en hierboven zeg je dan z'n phish testmail totaal niet leeft ?

Of bedoel je alleen dat awareness trainingen niet zo leven ? Dat is ook mijn observatie inderdaad.


Daarom.. Ik vraag mij serieus af hoe dit bedacht heeft. Waarschijnlijk een hele goede ITer of Security man, maar duidelijk geen enkel benul wat de gewone gebruiker voelt of doet. Beetje denken vanuit de ivoren toren en denken dat ze alles zelf het beste weten.

Gezien de schaalgrootte - een project team met signoff vanuit de CSO of CIO , en nog een rondje langs Legal en HR voor minimaal de formaliteiten.

Overigens klink ook jij als een ITer die buiten z'n branche opinieert - geeft niet, doet iedereen hier (op dit terrein - ik ook) .


Prachtig en goed dat men dit soort testen en awareness doet. Moeten ze eigenlijk vaker doen. Maar de uitvoering is gewoon totaal verkeerd. Daarom Slag gewonnen, oorlog verloren.

Onderschat dit soort gevolgen niet voor een bedrijf. Zeker niet op dit soort gevoelige onderwerpen.

Een phish waarop gehapt wordt is gewoon altijd gevoelig, voor de happer.
25-11-2017, 00:08 door Anoniem
Maar lieve mensen van de Communicatie en Media Studies poot, de vraag is:

"Hoe maak je dan je medewerkers van een Internet bedrijf alert op deze Mitnick-achtige social engineering truuks,
zoals daar zijn da spam, da scam, da junk & da phishing?".

IT doet een intern onderzoekje en gelijk willen jullie er remedial en reputation management tegen aan gooien.

Technische IT heeft ook een verhaaltje te vertellen en genoeg n00bs
en zelfs ook menigeen getrainde developer weet 'zilch' van IT security.

Ja we hebben wel eens gehoord dat er black hat, grey hat en white hackers zijn,
maar dat was een keer per vorig studiejaar. Verder is het voor ons veelal onbekend terrein, aldus de studenten.

Kom dan eens met een goede setting om zo iets te doen en wellicht is het een leuke case voor een komende toets
(hallo, docent, leest u ook even mee, kunnen de studenten zich minimaal 100 minuten mee vermaken,
liefst in twee versies).
25-11-2017, 00:30 door Anoniem
Ik stuur gemiddeld 1 a 2 security awereness emails per 2 maanden afhankelijk van de incidenten die zich voordoen en/of wat er gebeurd in de wereld.
Met de wannacry/notpetya een paar extra alleen om te laten zien wat het was, hoe het was en gewoon ter informatie. Onderwerpen die passeren zijn natuurlijk ransomware, privacy, usb dropping, verantwoordelijkheid wat er 'kan' gebeuren, social engineering, password policies etc etc etc. Laat het leven bij mensen. Iemand iets opdragen is één ding. Iemand iets laten begrijpen.. das een andere stap.

Ik merk dat mensen het ontzettend op prijsstellen als je communiceert. Nou is ons bedrijf maar 4000 mensen groot maar het heeft vestigingen in 10 verschillende landen. Daar merk je ook enorme cultuur verschillen. In Nederland is het helemaal zo gek nog niet; ik wil jullie situaties in met name India besparen :) Daar clicken ze sneller dan hun schaduw.

hoe dan ook; wij sturen ook regelmatig phishing campaigns de deur uit. Hou de mensen scherp! Mensen reageren uitstekend en worden echt steeds meer aware op eventuele phishing maar ook whaling campaigns.

Lang verhaal kort: ik denk dat het echt ontzettend bijdraagt. De vraag of het spreekwoordelijke mailtje van de ABN nou zo goed gekozen is. Ik heb zelf bij dé (andere) grote bank gewerkt en de mentaliteit is anders. Helemaal een phishing test op het kerstpakket is misschien wat minder goed gekozen. Ook bij de 'andere' bank is het kerstpakket in mijn tijd geschrapt omdat de 'directie' aangaf dat er door het personeel was gekozen om de bedragen van het kerstpakket aan een goed doel te schenken. (niet het personeel wat ik kende trouwens) hoe dan ook... dit zette in mijn tijd daar al kwaad bloed. Ik kan een dergelijke reactie, en helemaal in het licht reorganisaties en massale ontslagen, wel een beetje begrijpen.

ps: downside van 'awere' medewewrkers dat ik bestookt wordt met incidenten 'of ik wil controleren of de email een phishing mail is' . Ach .... elk voordeel heeft zijn nadeel :)

groeten,
Eminus
25-11-2017, 09:42 door Bitwiper
Door Whacko: Wat een onzin. ze doen een hele goede interne test om te kijken of personeel alert is, en dan zijn mensen beledigd. Jezus wat een onzin.
Kan zijn maar het is een feit. Dat eindgebruikers, om welke reden dan ook, een hekel hebben of krijgen "aan die eikels van security", draagt niet bij aan jouw doelstellingen (als jij een van die "eikels" bent).

Bij mijn vriendin op het werk was ook een phishingmail gestuurd, zonder dat mensen enige training hadden gehad. Veel medewerkers waren daar ingetrapt en voelden zich daar rot over. Ik vermoed dat er (bij mijn vrienin op haar werk) een "nul-meting" is uitgevoerd - zonder dat de verzenders zich vooraf hebben gerealiseerd dat zo'n meting schade kan veroorzaken. Voordat je door de betrokkenen serieus genomen gaat worden, zul je eerst die schade moeten herstellen.

Overigens had ik mij dit, voor het incident (bij mijn vriendin op haar werk) ook niet gerealiseerd; ik vond het dan ook een wijze les.

Daarnaast is het, voor een leek, onmogelijk om een goede phishingmail van een echte mail te kunnen onderscheiden. Naming and shaming is dan ook niet op zijn plaats.
25-11-2017, 09:45 door Anoniem
Door Anoniem:
Door Anoniem: Zoals gewoonlijk staan de beste stuurlui (de meeste reguurders onder dit artikel) aan wal.

Met vriendelijke groet,
Galbraith

Op basis waarvan maak jij een onderscheid tussen jouw eigen bijdrage en die van anderen?
Op basis waarvan zijn anderen reaguurders en jij niet?

Op basis van de huisregels toevallig?
Wees respectvol richting andere bezoekers en moderators

Nee, dat kan het niet zijn.
Maar wat dan wel?

Geachte Anoniem 19:44 uur (????):

Wat zou het toch kunnen zijn? Was mijn eerste reactie niet dudielijk genoeg?

Misschien hangen de navelstaarderige reacties van IT-ers die allemaal zo goed weten wat andere (niet-IT) werknemers allemaal fout doen, me de keel uit. (Ben zelf ook IT-er, bij een niet IT bedrijf. En nee, niet de financiele sector. Dus niet de ABN bank)

Helaas voor deze IT-ers werkt de maatschappij niet zo zoals zij dat graag zouden zien.
Misschien toch maar eens wat vaker onder die steen vandaan komen jongens. Er is een wijdse wereld van wonderen die jullie nog niet ervaren hebben.


Groetjes,
Galbraith.
25-11-2017, 11:43 door karma4
Door Anoniem: ....
Misschien is het een paar lezer opgevallen dat ik de term IT gebruikt heb. De C van Communicatie ontbreekt duidelijk bij veel van jullie.
...
Met vriendelijke groet,
Galbraith
Prachtig verwoord Galbraith. Eens.

Ik ben opgegroeid met ICT.
Op een gegeven moment zijden er wat communicatie deskundigen dat de C vanzelfsprekend was kun je wel wegelaten.
Technologie daar gaat het al lang niet meer om dat koop je extern in, ook dat kun je wel weglaten.
Er was een tijd dat het als IS (S van services) zou gaan het is IV geworden als laatste hype aanduiding. De S vertaald naar het nederlandse "Voorziening". "Informatie Voorziening" niet dat er verder veel veranderd is. Leveren en dienstverlening is een problematische houding.
25-11-2017, 13:53 door Anoniem
Laten we zonder negatief te doen, dan toch eens even vaststellen, dat het kringetje dat wel 'voldoende' security bewust is,
veel en veel te klein is. Mensen opleiden voor productieve communicatie en media management, maar niet trainen op wat hun bedrijf en de gemeenschap verschrikkelijk veel geld kan kosten.

Waarom is maar een klein kringetje technisch geschoolde IT goed getraind, waarom leert de kring developers en "gewone' ITveel te weinig over dit soort van onderwerpen.

Het is nu allemaal click en paste, tijdens toetsen mogen de IT-ers in de dop bronnen opzoeken, eigen aantekeningen erbij hebben, behalve onderling mogen chatten en naar forums gaan of peripherals (mobiel en smartwatch) etc.)aan laten staan, mag bijna alles en nog leren ze op een Hoger Instituut voor IT Studies niet voldoende om de Nederlandse infrastructuur veilig te krijgen en te houden, ook intern. Ik maak het mee en ik vind het een schande.

Innovatieslag op zo'n manier winnen, amme hoela!

Nog meer management voort laten komen uit de Media en Communicatie studie poten, nog meer commercieel denken dat alle praktisch veiligheidsdenken wegschuift als alleen maar lastig voor de te behalen scopes. Daarmee gaat onze economie echt naar de ratsmodee. Maar men wil dit toch, krijgt men wat men wil. Korte termijn politiek en mensen niet laten opschrikken.
25-11-2017, 21:31 door -karma4 - Bijgewerkt: 25-11-2017, 21:45
Door Anoniem: NOOIT op links klikken in een e-mail, maar ALTIJD eerst onderzoeken of de link kwaadaardig is via VirusTotal bijvoorbeeld.

Waarom kan je dan op een link klikken in een e-mail? Als je dat niet kan uitzetten in de e-mail client, waarom worden links dan niet weggefilterd door de ontvangende e-mail servers van het bedrijf of de instantie? Als je het aan de mensen achter de toetsenborden overlaat dan is er altijd wel eentje die er toch op klikt. Zwak beleid om erop te vertrouwen dat er voldoende 'awareness' is te kweken om dit uit te sluiten.
25-11-2017, 21:41 door Anoniem
Het certificaat wat de website gebruikt waar ze naar linken, bevat ook de volgende URL's:
autorader.co.uk
autotrder.co.uk
autotreder.co.uk
scoressense.com
wizzair.fr
wizzair.no
wwwamazon.it

Autotrader, Scoresence, Wizzair en Amazon Italië zijn dus ook klant bij hetzelfde bedrijf.
27-11-2017, 11:04 door Anoniem
TheYOSH[/quote]
Oefening/gedachte is goed. Uitvoering is alleen waardeloos. En juist deze opmerkingen laten zien waarom de oefening zo fout is uitgevoerd. Personen die geen gevoel hebben met wat op de vloer werkelijk speelt of hoe iets opgevat kan worden door eindgebruikers. Stap eens uit je ivoren toren en denk eens iets verder dan je neus lang is.

Er wordt gedacht vanuit techniek of security, maar niet vanuit het user persectief. Onderwerp is gewoon totaal verkeerd gekozen..

Als ik deze Email zou mogen ontvangen, zou ik ook duidelijk mijn ongenoegen laten blijken bij mij manager, zowel per mail als persoonlijk. Er is totaal niet over nagedacht.[/quote]
Helemaal eens! Wij doen dit soort phishingtests ook, maar proberen wel aan te sluiten bij meer realistische scenario's zoals Cadeau-acties van winkelketens, Facturen, LinkedIn uitnodigingen ed. Phishing op deze schaal maakt eigenlijk nooit gebruik van "inside information" en daarmee slaat deze actie dus de plank mis. Het sluit niet aan bij de werkelijke dreiging.
Daarbij is het simpel klikken een slechte graadmeter. Dan kun je dus geen enkele nieuwsbrief o.i.d. nog vertrouwen. Het gaat om weerbaarheid om onverwachte en to-good-to-be-true mailtjes te negeren. En om bijlages (zeker zip bestanden) niet te openen. En om geen gegevens in te vullen.
Daar heeft deze test dus duidelijk niet aan bijgedragen.
27-11-2017, 19:45 door Anoniem
Door Anoniem: Ik stuur gemiddeld 1 a 2 security awereness emails per 2 maanden afhankelijk van de incidenten die zich voordoen en/of wat er gebeurd in de wereld.
Ik ontvang gemiddeld 1 a 2 security awareness emails per 2 maanden. Ik heb in Outlook een filter gebouwd die dit soort ongewenste spam linea recta in de trashcan gooit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.