Ongevoelige phish-hengels

Hoe ver kun je gaan als bedrijf om uit te proberen of medewerkers trappen in phishingmails? ABN Amro heeft dat afgelopen woensdag (22-11-2017) uitgeprobeerd door niet-bestaande kerstgeschenken aan te bieden aan hun medewerkers, een maandje voor de kerst dus. Terwijl ABN Amro kerstpakketten heeft afgeschaft een tijdje geleden. Het mailtje stuurden ze als een nep-phishingmail om de bewustwording te vergroten bij het personeel. Gaat dit te ver? Is het te ongevoelig?

Het kan mij haast niet gek genoeg als het gaat om bewustwording rond phishing. Dat komt omdat phishing nog altijd dé manier is om logingegevens te stelen en vooral als dat gaat om een grote groep mensen. Er is altijd wel iemand die weer op een linkje klikt in een phishingmail. Dus hoe creatiever een security team is, hoe beter. Waarom? Omdat criminelen zich geen donder aantrekken van gevoeligheden. Sterker nog, ze gokken er juist op dat mensen trappen in juist die mails die een gevoel aanspreken. Een kerstpakket is iets persoonlijks. Nou ja, het is de bedoeling dat het zo overkomt.  Dus wat mij betreft is alles toegestaan om het aantal mensen dat in phishingmails trapt, te verkleinen. Is er een grens? Ja, de wet.

De actie van ABN Amro juich ik toe ondanks dat veel mensen het een harteloze, ongevoelige actie vinden. Maar die mensen vergeten één ding: het gaat niet om hun, het gaat in dit geval om hun werkgever. Stel dat een crimineel een phishingmail stuurt naar een werknemer van ABN Amro. De werknemer klikt op de link en geeft bepaalde logingegevens op waardoor klanten van ABN Amro in de problemen komen. Dan gaat het niet om gevoel, dan gaat het om kille, koude zakelijke schade. Niets meer, niets minder. Zakelijke schade is voor het bedrijf niet goed en dus voor de werknemer ook niet. Nee, het is niet leuk voor de werknemer maar dat was ook niet de bedoeling. Het is niet een theekransje, het is een professionele werkomgeving waarin een fout veel geld kan kosten.  Nogmaals, zo’n nep-phishingcampagne simuleert een criminele activiteit. Ik als crimineel zou juist die gevoeligheid rondom kerstpakketten gebruiken om de click-rate zou groot mogelijk te maken. Ja de actie is harteloos en gevoelloos maar het doel was niet om een hartelijke, warme en gevoelige phishingmail te sturen. Het doel was om de bewustwording te vergroten en volgens mij is dat redelijk gelukt, zelfs buiten ABN Amro…