Ah, ja dat herken ik wel.
"Waarschuwing, deze mail is van een onbekende afzender" (officieel bericht van Microsoft.)

Doet me denken aan een keer dat we moesten waarschuwen voor social engineering tegen zogenaamde Microsoft callcenter uit India wegens toename aan ongein daarmee. Je raadt het al voor een grote joint project werden we ineens benaderd door een callcenter van Microsoft met matig Engels sprekende leden.

Onze medewerkers hadden zoals geleerd meteen de hoorn op de haak te doen in zo scenario. Twee weken later kreeg ik bericht via onze MS account manager dat ze ons hadden proberen te benaderen maar dat ze niemand aan de lijn kregen.

En zo kan ik wel meer situaties verzinnen. Bank die niet om gegevens vraagt volgens hun eigen beleid behalve als het de fraude detectie team is voor zakelijk gebruik die wel ineens wat vragen ging stellen.

Bedrijven en het volgen van eigen beleid is altijd een ramp.


Wat uitermate dom is in dit geval dat ze ook geen certificaat validatie actief hebben.
De enige reden dat ik wist dat dit legit was zonder rest van berichtgeving te lezen is omdat het in ons talosintel dashboard wel associatie records heeft.https://talosintelligence.com/reputation_center/lookup?search=purviewcustomer.powerappsportals.com

Maar het blijf natuurlijk oer dom dat ze hier zo mee om zijn gegaan.

Klinkt bekend. Wij hebben regelmatig contact met Indische leveranciers. Maar deze communicatie gaat eigenlijk altijd per mail. Toen iemand onverwacht de telefoon gebruikte, begon ik met heel onbeleefd te antwoorden. Dat pidgin engels wekt bij mij vooral associaties op met de "microsoft helpdesk".
Gelukkig had ik op tijd door dat dit geen oplichter was, maar een voor mij bekend persoon.

Ik maakte ooit bij een (inmiddels opgedoekt) bankfiliaal het volgende mee. Geldautomaten waren toen gaan waarschuwen dat je op moest letten dat de sleuf waar je je betaalpas in stak er hetzelfde uitzag als op de afbeelding op het beeldscherm. Tot mijn schrik was het niet hetzelfde. Het filiaal was open, en ik liep meteen naar binnen om ze ervoor te waarschuwen. De filiaaldirecteur wist dat het verschillend was, verzekerde me dat het klopte en dat ik me nergens zorgen over hoefde te maken, zei dat ze het elke dag controleerden. Een typische verkoper met een vlotte babbel over zich die absoluut niet doorhad dat die waarschuwing een functie heeft en dat je, om die goed te laten werken, moet zorgen dat het klopt in plaats van het plat te lullen als iemand erop wijst.

Bij een andere bank ooit, waar ik toen op de ontwikkelafdeling werkte, was een interne bewustwordingscampagne gaande om mensen ervan te doordringen dat er allerlei criminele organisaties proberen via telefoon en e-mail informatie los te krijgen over het bedrijf, en tegen phishing-aanvallen. Wees je er zeer van bewust en geef niet teveel bloot, was de boodschap. Opeens kwam er een e-mail binnen waarin we werden uitgenodigd om aan een door HR georganiseerde kwis mee te doen om de kennis over de onderneming te testen. De e-mail kwam van buiten, de kwis-website was buiten het bedrijf, waar kon je eigenlijk aan zien dat dit echt was? Terwijl tot mijn verbijstering mensen om me heen, IT'ers nota bene, enthousiast die leuke kwis begonnen te doen belde ik meteen HR om te vragen of dit echt van hun afkomstig was. Ja, dat hadden zij georganiseerd, het was echt. Ik vroeg: beseffen jullie dat je nergens aan kan zien dat het echt is? Dat zomaar een partij van buiten je uitnodigt om vragen over het bedrijf te gaan beantwoorden, terwijl er een campagne gaande is om mensen te waarschuwen tegen het blootgeven van teveel informatie? O, maar ze hadden het met een betrouwbare partij georganiseerd, heel goede afspraken gemaakt, bla bla bla, niets aan de hand. Dat al die ontvangers van die e-mail dat aan die e-mail niet kunnen zien en dat het nogal dom is om tegenstrijdige boodschappen te verspreiden: ik probeerde het duidelijk te maken en het kwam niet aan.

Er zijn afdelingen binnen een bedrijf waar men iets belangrijks snapt en andere afdelingen waar men het nog niet snapt als je ze ermee in hun gezicht slaat. Ander slag mensen, die wezenlijk anders tegen de werkelijkheid aankijken.

---

Nog iets terzijde dat afdwaalt van het onderwerp maar wel met de voorbeelden te maken heeft. Ik ben jaren na deze voorvallen op autisme getest en heb de diagnose gekregen. Bij alle informatie over autisme die ik toen kreeg zat ook dat autisten typisch denken dat een ander wel zal weten wat ze zelf weten, zonder dat dat hoeft te kloppen, en dat wordt dus gezien als een eigenschap van autisme waar je last van kan hebben. Maar klopt dat wel als ik voorbeelden meemaak van mensen die precies hetzelfde doen, in beroepen waar autisten typisch helemaal niet goed in zijn? Die filiaaldirecteur was een hoogst commercieel mannetje. Iemand bij HR heeft op een andere manier een op mensen gericht beroep gekozen. En toch hadden die mensen totaal niet door dat dingen die zij weten helemaal niet zichtbaar zijn voor anderen en dat dat tot verkeerde en tegenstrijdige boodschappen kan leiden. Jouw verhaal over Microsoft lijkt ook in dat beeld te passen. Ik als autist had het juist prima door. Ook zijn er autisten met wie ik kan lezen en schrijven en aan een half woord genoeg heb.

Het heeft mij het idee gegeven dat het wel eens veel meer een kwestie kan zijn van dat mensen van hetzelfde slag elkaar makkelijk begrijpen en heel verschillende mensen elkaar moeilijk begrijpen, en dan valt de meerderheid dit effect wel op bij een minderheid maar niet bij zichzelf. Als je tot een meerderheid behoort snap je de meerderheid nou eenmaal makkelijk, lijkt het aan de minderheid te liggen als dat niet lukt en valt niet zo op dat je die beperking zelf net zo goed hebt.

@Anoniem op 11-07-2024 om 16:11 uur.

Super interessante voorbeelden die jij geeft. Ik heb mij ook wel eens op autisme laten testen omdat ik dacht: ligt het nou aan die anderen of aan mij dat wij elkaar niet begrijpen? Ik kreeg niet de diagnose. Toch herken ik iets wanneer jij schrijft:


Ondanks mijn negatieve diagnose op het punt van autisme, hoor ik misschien wel bij een andere, nog niet gelabelde "minderheidsgroep op het spectrum van neurodiversiteit". Daar zou ik, op de bonnefooi, een labeltje "hoogbegaafd" op kunnen plakken, op grond van een zeer lang geleden gedane IQ-test. Dat lijkt me echter niet terecht, want er zijn zoveel vormen van hoogbegaafdheid die niet gekoppeld zijn aan een hoge uitslag van een IQ-test - dus niet alleen de "blauwe" of blauwachtige vormen die in zulke testen vaak "gemeten" worden.

Daar komt nog de vraag bij welke invloed persoonlijke belangen op iemands intelligentie hebben. Bij Microsoft zouden er wel eens persoonlijke (carrière)belangen kunnen spelen die (tijdelijk of meer langdurig) een nadelige invloed hebben gehad op de intelligentie van de medewerkers die zo'n waarschuwingsmail bedachten die op een phishing-email lijkt.

Als ik iets heel erg graag wil, of juist ergens heel erg bang voor ben, dan wil dat ook nog wel eens invloed hebben op mijn denkvermogen, voorstellingsvermogen en/of mijn empathische vermogens, als ik even niet oplet.

De ontwerpers van digitale systemen lijken helemaal niet stil te staan bij de neurodiversiteit van mogelijke gebruikers. Ze lijken heel beperkt te denken vanuit bepaalde "aanbod"-belangen van zichzelf of van hun betalende opdrachtgever, zonder oog voor de behoeften (de "vraag") van een neurodiverse "doelgroep".

Ook met AI zal er waarschijnlijk een enorme bias in die kunstmatige "intelligentie" ontstaan ten voordele van meerderheidsgroepen en ten nadele van minderheidsgroepen die vanwege hun getalsmatig kleine omvang minder invloed hebben op de training van AI-bots, en dus ook minder goed "begrepen" zullen worden door zulke bots.

Hoog tijd dus voor meer bewustwording hierover!

Maar ja, een grote meerderheid van mensen vindt bewustwording op dit punt waarschijnlijk helemaal niet zo interessant... De wens tot bewustwording beperkt zich waarschijnlijk tot bepaalde groepen op het spectrum van neurodiversiteit, en daarbinnen dan weer tot mensen die bepaalde "leerervaringen" opdoen. Dus zullen er nog veel contraproductieve "waarschuwingsmails" worden verstuurd door Microsoft en andere organisaties.

M.J.

Bij ons doen we phishing campagnes om medewerkers te testen en bewuster te maken. Als iemand op een linkje in zo'n test phish klikt, dan krijgen ze meteen een uitnodiging voor een security awareness training. Verzonden door het bedrijf dat deze training verzorgt, met hierin dan een linkje waar de medewerker op moet klikken om de training te doen.... Ik heb heb al veel medewerkers gehad die het vertikken om nog op dat linkje te klikken... ha ha. En gelijk hebben ze.

Andere afdelingen sturen ook perfecte phishing mails rond, die toch echt zijn. Het is voor de medewerkers niet makkelijk om het van elkaar te onderscheiden. En de security afdeling maar awareness campagnes doen.

Verkeerde dingen aanleren is geen goed bestuur. Is jouw bedrijf er ook zo een die zegt dat klikken op links gevaarlijk is? Dat is het niet, als je de browser goed up to date houdt en er het geen doelwit is voor aanvallen van buitenlandse mogendheden (zero days). Wat wel van belang is dat je geen gegevens invult in formulieren. Daar moet je dus op sturen.