Universiteit VS maakt excuses voor phishingtest met ebola als onderwerp
De Amerikaanse universiteit UC Santa Cruz heeft excuses aangeboden nadat het als onderdeel van een phishingtest een e-mail verstuurde over een ebola-infectie op de campus. Volgens de e-mail had een universiteitsmedewerker tijdens een reis in Afrika ebola opgelopen en was dit tijdens een routinetest in het universiteitslab ontdekt.
Vanwege de infectie had de universiteit een contactonderzoek ingesteld om te kijken met wie de besmette persoon in aanraking was gekomen. De e-mail bevatte een link naar een website met meer informatie, wat in werkelijkheid een phishingtest-website was. Een aantal uur nadat de e-mail was verstuurd kwam de universiteit met een excuusmail. "De inhoud van de e-mail was niet echt en ongepast, omdat het onnodige paniek veroorzaakte en mogelijk vertrouwen in publieke gezondheidswaarschuwingen ondermijnt. We bieden onze oprechte excuses aan voor deze vergissing."
Volgens de universiteit zijn phishingtests bedoeld om mensen echte phishingaanvallen te laten herkennen. "We beseffen dat het gekozen onderwerp voor deze simulatie ongerustheid veroorzaakte en onbedoeld schadelijke informatie over Zuid-Afrika in stand hield." De universiteit zegt maatregelen te nemen om herhaling in de toekomst te voorkomen.
Als je mensen wilt trainen om niet in phishing mails te trappen, dan kun je niet alleen mails gebruiken die overduidelijk vals zijn. Dan moet je juist mails gebruiken waar mensen makkelijk in trappen.
Blijkbaar zijn ze in Santa Cruz zo naief dat ze denken dat criminelen dergelijke emails niet zullen gebruiken.
De universiteit zegt dus eigenlijk dat ze hun awareness programma gaan verslechteren door mails waar iedereen in trapt niet meer te gebruiken.
Als je op de eerste link kijkt, dan zie je dat die universiteit daadwerkelijk al dergelijke phishing mails heeft onvangen.
Maar die figuren op reddit snappen niet dat dat dan juist een reden is om een dergelijke mail in je awareness campagne mee te nemen.
In de VS (en zeker in de volksrepubliek Californie) is dat alles wat riekt naar huidskleur en letterbak orientatie.
In Nederland waren er de gekwetsen bij (bank ? kpn ? ) toen de test-phish ging over kerstpakket waarvoor ingeschreven moest worden want anders krijg je 'm niet , aimgh .
Tijdens een reorganisatie is het zeker ook oogsten met dat onderwerp.
Bestaande awareness-systemen die nep-phishingaanvallen toepassen om gebruikers te trainen kunnen en zullen ook actuele nieuwsfeitjes gebruiken, anders heeft het geen nut.
Blijkbaar zijn ze in Santa Cruz zo naief dat ze denken dat criminelen dergelijke emails niet zullen gebruiken. ……
Er zijn grenzen en hier hebben ze duidelijk een grens overschreden. Wat me het meest verbaast is dat ze dit niet vooraf hadden bedacht.
Misschien is zo'n mail heel goed voor het bewustzijn van phishing, maar het ondermijnt het effect van toekomstige reële waarschuwingen omtrent acute infectierisico. Ook de paniek die dit bij sommige mensen kan oproepen kan heel schadelijk zijn voor de psyche van deze mensen.
Hier zijn de negatieve effecten waarschijnlijk groter dan de beoogde positieve effecten.
In mijn beginjaren in de info sec wereld dacht ik dat wel eens dat zo realistisch mogelijke phishing test mails het beste waren. Daar ben ik van teruggekomen...
Ik vind het terecht dat de test van deze universiteit werd gestopt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
