Een niet-geautoriseerde phishing test ? Klinkt erg vaag.

Zelf ook eens meegemaakt - een overijverige marketing man van een bekend Nederlands beveiligingsbedrijf had een offerte maar gelijk helemaal als "OK" gezien en alles (zonder verdere communicatie met ons) in gang gezet. De alarmbellen gingen gelukkig snel af en na wat zoeken kwamen we er achter wie de schuldige was. Een stevig gesprek volgde kort erna en, nee, dat bedrijf hebben we niet meer ingezet.

Nope... Klinkt erg veel als phishing!

"NGP VAN even went so far as to confirm that our notification wasn’t actually part of a larger elaborate phishing campaign" https://blog.lookout.com/dnc-phishing-kit

Wat bedoelen ze hier nu weer mee? Dit is echt een on-zin.

Overigens, de security officer bij de DNC, als ze hem goed gequote hebben klinkt als iemand die moeite heeft met logisch redeneren. De conclusies die hij trekt worden niet ondersteund door de feiten (ik zeg het nu netjes).

https://edition.cnn.com/2018/08/23/politics/dnc-hack-false-alarm/index.html

Zal wel weer Rusland zijn geweest :-)

Neuh. Niet geauthoriseerd door de nationale partij - maar blijkbaar wel geregeld door afdeling Michigan.
(" In an abundance of caution, our digital partners ran tests that followed extensive training. " , quote van "Brandon Dillon, the chair of the Michigan Democratic Party," ).

Het scenario lijkt me:

1 - partij Michigan bestelt een uitgebreide phishing training .
2 - daarbij zit ook een live test . (Amerika kennende zal dat _absoluut_ in het contract gestaan hebben. Alleen de informatie dat er een test volgde is duidelijk niet op alle lagen bekend geworden )
3 - de test wordt ontdekt - en de mensen die 't ontdekken weten niet dat dit onderdeel is van een training van Michigan .
4 - de paniek/aanval wordt publiek gecommuniceerd voordat de melding uit Michigan "dat is voor ons" doordringt .

En dan een heleboel fuzz om intern gekwetste tenen te verkomen .

Het uitvoerende bedrijf zal gegarandeerd een solide contract met toestemming (van hun klant - democraten Michigan) hebben.
(niet hun taak of probleem om de hele partij organisatie te kennen )

De nationale security verantwoordelijke heeft een melding uit Michigan gemist - of niet gekregen , maar kan noch partij Michigan publiek voor paal zetten, noch zichzelf .
En partij Michigan heeft of niet gedacht om het nationale security team in te lichten, of heeft dat wel gedaan maar de melding werd niet gekoppeld toen de test-phish ontdekt werd . Ook zij kunnen hun straatje alleen schoonvegen door het vuil naar de nationale partij te vegen - of het blijft bij henzelf liggen .

En dan krijg je van die bijzonder vage uitspraken .

Mensen met wat ervaring in grotere enterprises (her)kennen het soort probleem - relatief zeldstandige landorganisaties, of business units met keuzes of projecten die soms botsen met zaken vanuit 'het hoofdkantoor' (of 'de CIO office') .

Een "test" als voorbereiding op het grote werk tav de mid-term verkiezingen?

De "" suggereren dat je er een samenzwering in ziet .
Wil je die wat expliciter maken ?

De statements van de partij en FBI zijn dus dat dit inderdaad een test was besteld door democraten Michigan. (alleen dat hadden ze niet door bij de respons).

Het is zelfs een zinvolle voorbereiding om een phishing awareness te runnen voordat 'het grote werk' van een kwaadwillende er mogelijk aan komt - wat dat betreft verdient de test geen aanhalingstekens - het _is_ gewoon een test, horend bij een training waarvan de noodzaak welbekend is.

Of wou je suggereren dat de Democraten van plan zijn phishing in te zetten tegen tegenstanders, en zichzelf voorbereiden om niet in hun eigen aanval te trappen ?

Of wou je suggereren dat het _toch_ een externe aanval was maar dat het slachtoffer en FBI om de één of andere reden bereid was te liegen dat het dat niet was ?

Zucht- zoveel manieren om een wink-wink knipoog te duiden. Say what you mean.