Universiteit VS maakt excuses voor phishingtest met ebola als onderwerp
De Amerikaanse universiteit UC Santa Cruz heeft excuses aangeboden nadat het als onderdeel van een phishingtest een e-mail verstuurde over een ebola-infectie op de campus. Volgens de e-mail had een universiteitsmedewerker tijdens een reis in Afrika ebola opgelopen en was dit tijdens een routinetest in het universiteitslab ontdekt.
Vanwege de infectie had de universiteit een contactonderzoek ingesteld om te kijken met wie de besmette persoon in aanraking was gekomen. De e-mail bevatte een link naar een website met meer informatie, wat in werkelijkheid een phishingtest-website was. Een aantal uur nadat de e-mail was verstuurd kwam de universiteit met een excuusmail. "De inhoud van de e-mail was niet echt en ongepast, omdat het onnodige paniek veroorzaakte en mogelijk vertrouwen in publieke gezondheidswaarschuwingen ondermijnt. We bieden onze oprechte excuses aan voor deze vergissing."
Volgens de universiteit zijn phishingtests bedoeld om mensen echte phishingaanvallen te laten herkennen. "We beseffen dat het gekozen onderwerp voor deze simulatie ongerustheid veroorzaakte en onbedoeld schadelijke informatie over Zuid-Afrika in stand hield." De universiteit zegt maatregelen te nemen om herhaling in de toekomst te voorkomen.
Als je mensen wilt trainen om niet in phishing mails te trappen, dan kun je niet alleen mails gebruiken die overduidelijk vals zijn. Dan moet je juist mails gebruiken waar mensen makkelijk in trappen.
Blijkbaar zijn ze in Santa Cruz zo naief dat ze denken dat criminelen dergelijke emails niet zullen gebruiken.
De universiteit zegt dus eigenlijk dat ze hun awareness programma gaan verslechteren door mails waar iedereen in trapt niet meer te gebruiken.
Als je op de eerste link kijkt, dan zie je dat die universiteit daadwerkelijk al dergelijke phishing mails heeft onvangen.
Maar die figuren op reddit snappen niet dat dat dan juist een reden is om een dergelijke mail in je awareness campagne mee te nemen.
In de VS (en zeker in de volksrepubliek Californie) is dat alles wat riekt naar huidskleur en letterbak orientatie.
In Nederland waren er de gekwetsen bij (bank ? kpn ? ) toen de test-phish ging over kerstpakket waarvoor ingeschreven moest worden want anders krijg je 'm niet , aimgh .
Tijdens een reorganisatie is het zeker ook oogsten met dat onderwerp.
Bestaande awareness-systemen die nep-phishingaanvallen toepassen om gebruikers te trainen kunnen en zullen ook actuele nieuwsfeitjes gebruiken, anders heeft het geen nut.
Blijkbaar zijn ze in Santa Cruz zo naief dat ze denken dat criminelen dergelijke emails niet zullen gebruiken. ……
Er zijn grenzen en hier hebben ze duidelijk een grens overschreden. Wat me het meest verbaast is dat ze dit niet vooraf hadden bedacht.
Misschien is zo'n mail heel goed voor het bewustzijn van phishing, maar het ondermijnt het effect van toekomstige reële waarschuwingen omtrent acute infectierisico. Ook de paniek die dit bij sommige mensen kan oproepen kan heel schadelijk zijn voor de psyche van deze mensen.
Hier zijn de negatieve effecten waarschijnlijk groter dan de beoogde positieve effecten.
In mijn beginjaren in de info sec wereld dacht ik dat wel eens dat zo realistisch mogelijke phishing test mails het beste waren. Daar ben ik van teruggekomen...
Ik vind het terecht dat de test van deze universiteit werd gestopt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
