Aarhus Universitet sender phishingmails til medarbejderne for at træne dem i at spotte forsøg på phishing
Hver dag rammes Aarhus Universitet af flere hundredtusinde phishingmails. For at skærpe medarbejdernes opmærksomhed over for den trussel udsætter universitetet dem flere gange årligt for konstruerede phishingmails. Ved seneste kampagne gik godt 6 procent i nettet.
Sådan gik det ved seneste phishingkampagne
Ved seneste kampagne blev en konstrueret phishingmail sendt til 7.400 medarbejdere.
Heraf klikkede 6,2 procent på linket i mailen, og 3 procent udleverede loginoplysninger.
Kilde: Thomas Kaaber, informationssikkerhedschef ved Aarhus Universitet
Sådan spotter du phishing
- Du bliver bedt om at udlevere adgangskoder eller om at logge ind.
- Tjek linket: Hold musen over linket og tjek, hvor det leder hen.
- Phishingmails er ofte maskinoversatte, så vær opmærksom, hvis du spotter stavefejl eller underlige formuleringer.
- Tjek afsender: Kender du afsenderen? Er der forsøg på at efterligne organisationsmails; f.eks. adresser, der ender på @uniau.dk i stedet for @au.dk?
- Ro på! Brug tid på at vurdere overstående, inden du reagerer på en mail.
Sådan gør du, hvis du spotter en phishingmail:
- Klik på ikonet ’Rapportér’ i Outlook, og vælg ’Rapportér phishing’
Sådan gør du, hvis du er kommet til at klikke på phishingmail:
- Skift adgangskode
- Kontakt din lokale IT-support
Læs mere på AU’s site om phishing
”Incoming email quarantined: Attention needed”
Mails med dette emnefelt er den seneste tid sendt til medarbejderne ved Aarhus BSS, Arts, Faculty of Natural Sciences og Fællesadministrationen. Før sommerferien er en lignende mail sendt til medarbejdere på de øvrige fakulteter. Mailen, der har The Microsoft account team (c) som afsender, oplyser på engelsk om, at synkroniseringen af indkommende e-mails har fejlet, og man bedes handle på sagen ved at logge sig ind.
6,2 procent af de i alt 7.400 medarbejdere, der modtog mailen, klikkede på linket i mailen, og 3 procent efterkom anmodningen om at logge sig ind og videregav dermed deres loginoplysninger.
Men mailen var en såkaldt phishingmail – altså en mail, typisk udsendt af cyberkriminelle med det formål at skaffe sig adgang til informationer såsom loginoplysninger, som kan bruges til at begå cyberkriminalitet eller -spionage.
Denne gang kunne de medarbejdere, der uforvarende kom til at klikke på linket og måske tilmed forsøgte at logge sig ind, dog ånde lettet op. For phishingmailen var konstrueret af AU IT som led i en kampagne, der skal træne universitetets medarbejdere i at spotte forsøg på phishing og dernæst indrapportere forsøget via de rette kanaler.
Sinna Bygballe Jensen, der er informationssikkerhedskoordinator i AU IT, fortæller, at AU IT tidligere har lavet lignende kampagner sporadisk, men at de nu er sat i system, så medarbejderne rammes af konstruerede phishingmails flere gange om året.
”Baggrunden er, at phishing er et udbredt værktøj blandt cyberkriminelle til at skaffe brugeroplysninger og dermed adgang til informationer,” siger hun og fortsætter:
”Kampagnens fokus er, at medarbejderne både lærer at identificere en phishingmail, og hvordan de bedst reagerer, når de spotter forsøg på phishing. Med kampagnen giver vi redskaber til at opdage phishing såsom at kigge på afsenderadressen, og vi oplyser om, at medarbejderne bør melde forsøg på phishing via knappen ’Rapportér’ i Outlook,” fortæller Sinna Bygballe Jensen.
Alle medarbejdere, der har modtaget den konstruerede phishingmail, har efter kampagnen fået endnu en mail, hvori det fremgik, at der var tale om en phishingmail. Medarbejdere, der afgav loginoplysninger, har fået information om, hvordan de fremover kan identificere en phishingmail – og hvad de skal gøre, når de fremover modtager en phishingmail.
Sinna Bygballe Jensen uddyber, at når medarbejdere rapporterer forsøg på phishing i Outlook frem for bare at slette phishingmailen, er de med til at forhindre, at andre rammes af den pågældende phishingmail.
Et andet mål med kampagnen er at indsamle statistik om, hvor godt denne læring over tid rodfæster sig blandt medarbejderne, og kommunikere tallene videre til institutter og enheder, fortæller Sinna Bygballe Jensen.
”Som sagt: Det er læring, der er i fokus med kampagnen, vi er ikke ude på at udskamme nogen,” understreger hun. Statistikken opgøres alene på institutniveau eller enhedsniveau, ikke på medarbejderniveau.
Informationssikkerhedschef forsvarer metoden
Det er AU’s informationssikkerhedschef Thomas Kaaber, der med accept fra universitetsledelsen har iværksat kampagnen. På spørgsmålet om, hvorfor universitetet benytter sig af metoden med at udsætte medarbejderne for konstruerede forsøg på phishing frem for at gennemføre eksempelvis online uddannelsesforløb som det, der blev brugt til at uddanne AU’s medarbejdere i GDPR, svarer han:
”Det ene udelukker ikke det andet. Men erfaringen med GDPR-kurset er, at langt fra alle medarbejdere kom igennem det. Dertil kommer, at mange af de standardiserede e-learningpakker om phishing ikke er nærværende i forhold til universitetet som organisation,” fortæller Thomas Kaaber.
Derudover er der også et ønske om, at kampagnen ikke optager for meget af medarbejdernes tid.
”Vi oplever, at denne kampagne ikke forstyrrer folks hverdag særlig meget – hvis du er faldet i, tager det omkring fem minutter. Hvorimod e-learning tager noget længere tid og også risikerer at blive trivielt, hvis man som nogle organisationer gør det obligatorisk at tage et onlinekursus en gang om måneden for at kunne logge sig ind på sin computer – og hvor lederen vel at mærke kan følge med i, hvordan den enkelte medarbejder klarer sig,” siger Thomas Kaaber.
Han er dog bevidst om, hvordan det kan opleves af medarbejderne at blive udsat for disse konstruerede phishingmails:
”Vi kørte en lignende kampagne under coronanedlukningen, og her blev det taget negativt imod, især fordi folk i forvejen var presset følelsesmæssigt. Det er vigtigt for mig at understrege, at kampagnens fokus ikke er at benfeje medarbejdere eller overvåge dem; det handler om at arbejde med adfærden,” siger Thomas Kaaber.
Hundredtusindvis af phishingmails om dagen
At det er nødvendigt at skabe opmærksomhed om phishing blandt medarbejderne i en organisation som AU’s, er uomtvisteligt, siger Thomas Kaaber. For en organisation som Aarhus Universitet med 8.500 medarbejdere og 40.000 studerende har en kæmpe angrebsflade.
For at sætte tal på truslen giver han et eksempel fra en tilfældigt udvalgt hverdag i august: Her modtog Aarhus Universitet samlet set 443.096 indkommende mails, hvilket er lidt over gennemsnittet for denne måned, som lå på 376.000 indkommende mails.
Samtlige mails gennemgås af Microsofts algoritmer, som ud fra flere parametre analyserer de indkommende mails for forsøg på phishing. Denne dag blev der i denne proces detekteret 211.000 mails, som indeholdt forsøg på phishing, malware (software, som kan bruges af cyberkriminelle til at skaffe sig adgang til systemer eller informationer, red.) eller lignende. Yderligere 50.000 mails kunne ikke alene ud fra algoritmerne kategoriseres som forsøg på phishing, og de endte enten i folderen ’Uønsket mail’ eller i karantæne. Efter denne filtrering blev 261.000 mails altså sorteret fra, men blandt de 182.000 mails, som gik videre til brugernes indbakker, kan der fortsat være phishingmails, og her har brugeren hovedrollen i forhold til at spotte dem.
”Det betyder, at omkring 40 procent af de mails, der er sendt til os 1. august, kommer igennem; enten fordi de er uproblematiske, eller fordi phishingforsøget har været maskeret på en måde, som vi ikke kan gennemskue med vores filtre. Noget slipper igennem, og det er et dilemma, hvor finmasket nettet skal være, for vi vil omvendt heller ikke risikere, at vigtige mails ikke når ud til medarbejderne eller de studerende,” siger Thomas Kaaber.
Truslen er ’meget høj’
Også Center for Cybersikkerhed, som overvåger cybertruslen rettet mod Danmark, har de seneste år vurderet truslen fra cyberkriminalitet og cyberspionage, herunder phishing, som værende ’meget høj’.
I sin seneste rapport fra august om cybertruslen rettet mod Danmark skriver Center for Cybersikkerhed:
”Medarbejdere, og særligt deres interaktion med hackere via phishingmails, spiller en central rolle i langt de fleste cyberangreb. Organisationer bør derfor løbende oplyse og træne medarbejdere i cybersikkerhed, lige fra de starter”.
”Det er et samfundsproblem og dermed også et problem for Aarhus Universitet,” konstaterer Thomas Kaaber.
Alle kan falde i
Han pointerer, at når det gælder phishing, udgør menneskene i en organisation den allerstørste sårbarhed:
”Det gælder alle – også folk som mig, der arbejder med informationssikkerhed til daglig. I en travl hverdag kan vi alle falde i, for det er stærkt professionaliserede kriminelle kræfter, der står bag phishing, i nogle tilfælde med statsstøtte i ryggen (fra fjendtlige statsmagter, red.). Det er sværere og sværere at identificere,” siger Thomas Kaaber.
Af samme grund er det ikke enkelte grupper medarbejdere, kampagnen retter sig imod – den rammer alle. Og Thomas Kaaber forventer også, at de studerende i fremtiden vil blive omfattet af en lignende kampagne.
Thomas Kaaber vil ikke oplyse, hvordan de enkelte institutter eller enheder har klaret sig i den seneste kampagne.
”Jeg ønsker ikke, at nogen skal føle, at de bliver udstillet som en fare for organisationen.”
Men han oplyser, at det sted, hvor flest medarbejdere klikkede på linket i phishingmailen, drejede det sig om 13 procent. I den anden ende af spektret er der nogle steder, hvor kun 2 procent af medarbejderne har klikket på linket.
”Det er et bedre resultat sammenlignet med tidligere, hvor vi ved lignende kampagner har ligget på 20-30 procent.”
Men når omkring 3 procent af medarbejderne udleverede loginoplysninger, er der stadig noget at arbejde med, erkender han:
”Det er et kæmpe problem, når brugernavn og password ender i forkerte hænder,” siger Thomas Kaaber.
Korrekturlæst af Charlotte Boel