PHISHING

Ansatte raser etter phishing som lokket med lønnsbonus

Sikkerhetstest ved en dansk utdanningsinstitusjon har skapt dårlig stemning blant medarbeiderne som gikk fem på.

Skoleansatte fikk erfaringer med phishing, men ingen ekstra lønnsutbetaling.
Skoleansatte fikk erfaringer med phishing, men ingen ekstra lønnsutbetaling. Illustrasjon: Pixabay
5. nov. 2021 - 19:00

Eposten som i forrige uke ramlet inn i medarbeidernes innboks ved FGU Vestegnen, en utdanningsinstitusjon i Danmark, lokket med en gledelig overraskelse, skriver Version2.

Det søkkrike A.P. Møller og Hustru Chastine Mc-Kinney Møllers Fond til almene Formaal, en stor velgjører og landets største private fond, hadde utpekt dem som verdige mottakere av 25 millioner kroner.

Hver medarbeider skulle få 8.500 kroner fra den milde gaven. Eneste krav før utbetalingen var at de måtte fylle ut et skjema med personlige opplysninger. Det var bare ett problem.

Lønnsbonusen viste seg å være falsk lokkemat i en penetrasjonstest, som ledelsen hadde bestilt for å teste virksomhetens evne til å motstå cybertrusler.

Forventningen om å få noe mer å rutte med før jul er byttet ut med dårlig stemning blant ansatte som føler seg grundig lurt av phishing-operasjonen. Ledelsens initiativ blir betegnet som «toppen av arroganse», melder danske Version2.

Troverdig og forlokkende

FGU står for den forberedende grunduddannelse, som i Danmark er et studieforberende utdanningstilbud for unge voksne under 25 år, som ikke har studiekompetanse.

Hanne Fischer er direktør ved FGU Vestegnen, som en av skoleetatens største regioner. Det er hun som har godkjent den omstridte phishing-eposten. Poenget med den var å opptre både realistisk og forlokkende, som ledd i et internt kompetanseløft i lys av EUs personvernforordning (GDPR) og behovet for økt cybersikkerhet.

Det å friste med ekstra utbetaling, som takk for et viktig arbeid er likevel etiske betenkelig eller på kanten av hva man kan tillate seg, mener Jacob Herbst, teknisk direktør ved sikkerhetsselskapet Dubex.

Han er intervjuet i Dansk Radio om saken i et innslag tirsdag denne uken, der han blant annet går inn på etiske retningslinjer, som er utviklet av flere danske bransjeaktører i samarbeid.

– Det er noen elementer i eposten, som er litt på kanten. Særlig på to områder går det for langt. Det at man går inn i en konflikt man kanskje har på arbeidsplassen, som handler om lønn og arbeidsvilkår ved å love noen penger til de ansatte. Det andre er henvisningen til et eksternt fond. Dette er noen man ifølge de etiske retningslinjene bør unngå, sier Herbst til allmennkringkasterens program P1 Morgen.

Direktør Lillian Røstad, professor Michael Riegler og forsker Mikkel Lepperød ved Simula Research Lab.
Les også

Sju tiltak for å sikre etisk og vitenskapelig ny KI

Skjedd før

Det er ikke første gang at en virksomhet har lokket med julebonus i phishing. Den amerikanske webhotellkjempen Godaddy gjorde akkurat det samme i desember 2020.

Å lure sin egen stab med falske løfter om bonus, attpåtil rett før julehøytiden, midt i en pandemi som har tatt livet av svært mange mennesker, ble stemplet som særdeles tonedøvt i en rekke amerikanske medier. Episoden ble også utropt til årets ondeste spøk av teknologiavisen The Verge den gangen.

Flau digitaliseringssjef

Det er ikke uvanlig å sende falske svindelmeldinger til ansatte for å lære dem opp til å unngå ekte svindel fra trusselaktører på nettet.

Tvert imot har mange erfaring med slike kontrollerte stunt, som gjerne blir utført av et profesjonelt datasikkerhetsfirma på oppdrag fra arbeidsgiveren din.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Store muligheter for norsk design i USA
Store muligheter for norsk design i USA

Digi.no har tidligere skrevet om Kristiansand kommune, som for et år siden sendte phishing til 9.500 medarbeidere, da med beskjed om å fylle inn brukernavn og passord.

Mer enn 1330 ansatte gikk rett i fellen. Det inkluderte også digitaliseringssjefen i kommunen, som syntes det var flaut, men måtte konstatere at hun gikk fem på.

Kirsten Rydne, advokat i NITO – Norges ingeniør- og teknologorganisasjon.
Les også

Derfor bør du ikke småjobbe i julen

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.