Medarbejderne bestod alle phishing-tests. Klikrate var rekordlav.
Så ringede hackerne til helpdesk, og 2 minutter senere var de inde.
Problemet var ikke træningen. Det var det, ingen trænede dem i.
Ti minutter på LinkedIn
Telefonen ringer hos helpdesk. “Hej, jeg er fra salgsafdelingen, jeg kan ikke logge ind, kan du nulstille min kode?” lyder det stresset.
Supporteren hjælper. Det er hans job.
Men personen i røret er ikke fra salg. Det er en hacker, der har brugt ti minutter på et socialt medie til at finde et navn, en afdeling og en leder at referere til.
Over 2 milliarder kroner
Det skete hos en af Europas største detailkæder.
Hackerne ringede til helpdesken, udgav sig for ansatte og fik nulstillet passwords og MFA. Ikke én gang, men gentagne gange over flere dage. Ingen alarm gik i gang.
Da virksomheden opdagede det, var ransomwaren allerede rullet ud. Tabet endte over 2 milliarder kroner.
Virksomheden havde trænet medarbejderne i phishing. De vidste, hvad en falsk mail så ud. Men ingen havde testet, hvad der skete, når truslen kom som et telefonopkald i stedet for en mail.
21 sekunder
Kun 20% af medarbejdere genkender og rapporterer phishing korrekt i simulerede tests. Og mediantiden fra en phishing-mail lander til nogen klikker er 21 sekunder.
Det er ikke fordi folk er dumme. Det er fordi de er mennesker. De vil hjælpe. De har travlt. De stoler på kollegaer.
Hackere ved det, og de udnytter det systematisk.
Forskellen på træning og test
Det er forskellen på at træne medarbejdere og at teste dem.
Træning lærer folk at genkende trusler. Det er fundamentet, og uden det er alt andet spildt. Men træning alene viser ikke, om folk faktisk handler rigtigt, når situationen føles virkelig.
Det gør kun en test.
Hvad en test er
En test er, når nogen forsøger at komme ind, fysisk eller digitalt, ved at udnytte menneskelig tillid.
Ringer til helpdesken med en troværdig historie. Følger med en medarbejder ind ad døren. Sender en overbevisende mail til bogholderiet kl. 15:55 en fredag. Møder op i reception med en falsk leverandør-ID.
Ikke for at straffe nogen. Men for at finde ud af, hvor jeres forsvar reelt holder, og hvor det kun holder i teorien.
I har brug for begge
Træning uden test er teori. Test uden træning er en fælde.
I har brug for begge.
Tre ting du kan gøre nu
Gennemfør awareness-træning, men stop ikke der. Træning giver folk sproget til at genkende trusler. Men kun en test viser, om de faktisk reagerer rigtigt under pres. Lad nogen ringe til jeres helpdesk med en troværdig historie. Se hvad der sker.
Test mere end phishing. De fleste træningsprogrammer fokuserer på falske mails. Men hackerne ringer, møder op fysisk og bruger sociale medier til at finde de rigtige navne. Hvis I kun tester det, I træner i, tester I kun det nemme.
Gør resultaterne til læring, ikke straf. Det farligste I kan gøre er at skabe en kultur, hvor folk er bange for at indrømme, at de blev snydt. Så stopper de med at rapportere. Og så mister I det vigtigste: den tidlige advarsel, der kan stoppe et angreb, før det spreder sig.
Ved I, hvad jeres helpdesk gør?
Hvis nogen ringer med en overbevisende historie og beder om et nyt password, hvad sker der så?
Hvis svaret er “det ved vi ikke”, er det præcis der, hackerne vil starte.
Få testet jeres menneskelige forsvar
Awareness-træning giver jeres medarbejdere fundamentet til at genkende trusler. Men træning alene viser ikke, om de handler rigtigt under pres.
En penetrationstest med social engineering afslører, om jeres helpdesk, reception og medarbejdere kan modstå en troværdig historie, eller om ti minutter på sociale medier er nok til at komme ind.
Og en cybersikkerhedsaudit kortlægger, om jeres procedurer for password-nulstilling og identitetsverifikation holder, eller om de kun eksisterer på papir.
Alle bestod phishing-testen. Hackerne ringede. Ved I, hvad jeres helpdesk gør?
Har du brug for at få testet jeres menneskelige forsvar?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
