Eposten som i forrige uke ramlet inn i medarbeidernes innboks ved FGU Vestegnen, en utdanningsinstitusjon i Danmark, lokket med en gledelig overraskelse, skriver Version2.
Det søkkrike A.P. Møller og Hustru Chastine Mc-Kinney Møllers Fond til almene Formaal, en stor velgjører og landets største private fond, hadde utpekt dem som verdige mottakere av 25 millioner kroner.
Hver medarbeider skulle få 8.500 kroner fra den milde gaven. Eneste krav før utbetalingen var at de måtte fylle ut et skjema med personlige opplysninger. Det var bare ett problem.
Lønnsbonusen viste seg å være falsk lokkemat i en penetrasjonstest, som ledelsen hadde bestilt for å teste virksomhetens evne til å motstå cybertrusler.
Forventningen om å få noe mer å rutte med før jul er byttet ut med dårlig stemning blant ansatte som føler seg grundig lurt av phishing-operasjonen. Ledelsens initiativ blir betegnet som «toppen av arroganse», melder danske Version2.
Troverdig og forlokkende
FGU står for den forberedende grunduddannelse, som i Danmark er et studieforberende utdanningstilbud for unge voksne under 25 år, som ikke har studiekompetanse.
Hanne Fischer er direktør ved FGU Vestegnen, som en av skoleetatens største regioner. Det er hun som har godkjent den omstridte phishing-eposten. Poenget med den var å opptre både realistisk og forlokkende, som ledd i et internt kompetanseløft i lys av EUs personvernforordning (GDPR) og behovet for økt cybersikkerhet.
Det å friste med ekstra utbetaling, som takk for et viktig arbeid er likevel etiske betenkelig eller på kanten av hva man kan tillate seg, mener Jacob Herbst, teknisk direktør ved sikkerhetsselskapet Dubex.
Han er intervjuet i Dansk Radio om saken i et innslag tirsdag denne uken, der han blant annet går inn på etiske retningslinjer, som er utviklet av flere danske bransjeaktører i samarbeid.
– Det er noen elementer i eposten, som er litt på kanten. Særlig på to områder går det for langt. Det at man går inn i en konflikt man kanskje har på arbeidsplassen, som handler om lønn og arbeidsvilkår ved å love noen penger til de ansatte. Det andre er henvisningen til et eksternt fond. Dette er noen man ifølge de etiske retningslinjene bør unngå, sier Herbst til allmennkringkasterens program P1 Morgen.
Easypark er hacket igjen – kundedata er stjålet
Skjedd før
Det er ikke første gang at en virksomhet har lokket med julebonus i phishing. Den amerikanske webhotellkjempen Godaddy gjorde akkurat det samme i desember 2020.
Å lure sin egen stab med falske løfter om bonus, attpåtil rett før julehøytiden, midt i en pandemi som har tatt livet av svært mange mennesker, ble stemplet som særdeles tonedøvt i en rekke amerikanske medier. Episoden ble også utropt til årets ondeste spøk av teknologiavisen The Verge den gangen.
Flau digitaliseringssjef
Det er ikke uvanlig å sende falske svindelmeldinger til ansatte for å lære dem opp til å unngå ekte svindel fra trusselaktører på nettet.
Tvert imot har mange erfaring med slike kontrollerte stunt, som gjerne blir utført av et profesjonelt datasikkerhetsfirma på oppdrag fra arbeidsgiveren din.
Digi.no har tidligere skrevet om Kristiansand kommune, som for et år siden sendte phishing til 9.500 medarbeidere, da med beskjed om å fylle inn brukernavn og passord.
Mer enn 1330 ansatte gikk rett i fellen. Det inkluderte også digitaliseringssjefen i kommunen, som syntes det var flaut, men måtte konstatere at hun gikk fem på.
Statsbygg-sakene: Kjøpte programvare av seg selv. Fagforeninger krever hastemøte
