Mechelse ambtenaren kunnen het klikken niet laten

Phishing is een reëel veiligheidsrisico voor de Mechelse stadsdiensten. Dat blijkt uit een test van Audit Vlaanderen. Het Vlaams agentschap verstuurde twee lokmails naar de medewerkers van Stad en Sociaal Huis Mechelen: 70 keer werd doorgeklikt. Minstens 32 verschillende medewerkers gaven ook nog eens hun logingegevens door. Toch schrijft Stad Mechelen in haar jaarverslag Informatieveiligheid dat “onze medewerkers goed scoren op de test”. Nochtans heeft sommige kwaadaardige software maar één onvoorzichtige gebruiker nodig om voor een verregaande besmetting te zorgen.

Wat voorafging: na ons beroep omdat Stad Mechelen verschillende passages in haar jaarverslag Informatieveiligheid onleesbaar had gemaakt, maakte de beroepsinstantie voor openbaarheid van bestuur brandhout van de meeste juridische argumenten van de Stad….

Met twee vervalste e-mails trachtte Audit Vlaanderen, in het voorjaar van 2017, de 808 stadsambtenaren en 340 medewerkers van het Sociaal Huis te verleiden om hun logingegevens door te geven. Een beproefde methode, want hacken gaat een stuk makkelijker met het paswoord van een medewerker bij de hand. (Bij phishing proberen cybercriminelen je te laten doorklikken op een niet zo onschuldige link in een e-mail om erna jouw inloggegevens te ontfutselen, AGP).

Schabouwelijk

Een slordig opgestelde phishing-mail zette 3 stadsmedewerkers op het verkeerde been: ze klikten op de aanlokkelijke link én gaven login en wachtwoord mee (Bij het Sociaal Huis klikte slechts één medewerker door en verder niks, AGP). Opmerkelijk, de Stad concludeert in haar jaarverslag Informatieveiligheid dat “onze medewerkers goed scoorden op de test”. Al waarschuwt ze meteen dat een echte hacker zo 3 logins in handen kreeg om onfrisse zaken op het stadsnetwerk mee uit te voeren.

Over die andere, eerste phishingmail geeft de Stad wel toe dat die erg moeilijk te ontmaskeren was. “Dit illustreert dat phishing en andere schadelijke mails meer en meer professioneel worden en niet meer enkel herkend kunnen worden aan schabouwelijk Nederlands”, klinkt het waarschuwend.

Phishing mails kunnen niet meer enkel herkend worden aan schabouwelijk Nederlands

66 clicks

Dat die eerste lokmail inderdaad heel wat succes had, staat buiten kijf: vlot 66 verschillende personeelsleden konden de link niet weerstaan in de professioneel ogende mail van Sportief Vlaanderen – een allusie op Sport Vlaanderen, het vroegere Bloso. De verzorgde mail, die oproept om meer te bewegen op het werk, verleidde tientallen medewerkers die kans dachten te maken op een sporthorloge. 32 daarvan gaven ook login en wachtwoord door.


Niets is wat het lijkt: met een afgelikte lokroep voor een flashy sporthorloge tracht Audit Vlaanderen de medewerkers van Stad en Sociaal Huis Mechelen te laten klikken op een malafide link. 66 medewerkers konden zich niet bedwingen en haalden zo mogelijks kwaadaardige software binnen. Gelukkig was het maar om te testen. (Bron figuur: Audit Vlaanderen)

In diezelfde conclusie geeft de Stad – even verderop – dan ook toe “dat de [phishing]test aantoont dat sensibilisering en een veelzijdige aanpak van informatieveiligheid nodig blijft.”

Sensibilisering en een veelzijdige aanpak van informatieveiligheid blijft nodig

Ook de IT-dienst slaagde er blijkbaar niet in om alle phishingmails uit de mailbox van de stadsmedewerkers te weren.

Dit zijn de phishing-resultaten die de stad liever verborgen hield. Bij Stad Mechelen werd 40 keer doorgeklikt. Mogelijks was dat bij de beide mails in 3 gevallen dezelfde medewerkers. Bij het Sociaal Huis werd 30 keer doorgeklikt, waarvan mogelijks eenzelfde persoon dit tweemaal deed. (Bron figuur: jaarverslag Informatieveiligheid Stad & Sociaal Huis Mechelen)
https://www.safeonweb.be/quiz/phishingtest
Omdat het echt iedereen kan overkomen. (Bron figuur: Safeonweb.be)

Doorklikken naar een mogelijk besmette website is een ernstig veiligheidsrisico. Niet alleen voor de Stad zelf maar ook voor haar burgers. Je kunt namelijk niet weigeren dat jouw gegevens ook door jouw lokaal bestuur worden verwerkt. Dan voelt het toch iets comfortabeler als je weet dat ze bij Stad en Sociaal Huis Mechelen de computermuis in bedwang weten te houden…

Update

Ons bericht kreeg heel wat weerklank in de lokale media: