Regionen sendte falsk mail til medarbejderne - halvdelen klikkede

Region Midtjylland vil sætte fokus på phishing, efter at halvdelen af medarbejderne klikkede på en snydemail, regionen selv havde sendt ud.

Region Midtjylland vil sætte fokus på phishing, efter mange klikkede på en falsk mail, de heldigvis selv havde sendt ud. Foto: Morten Stricker - Ritzau Scanpix

Tillykke, du har vundet! Klik her og få din præmie.

Læs også Villiam Petersen genopstår i chefstolen

Sådanne mails har mange af os fået, og selvom det af og så giver anledning til jubel, er reaktionen oftest rullende øjne og et tryk på ”slet”-knappen.

Kampagnerne er helt anonyme. Principielt er vi totalt ligeglade med, om det er Per eller Poul, der er dumpet i. Vi vil bruge det for at skabe noget opmærksomhed på det bagefter.

Carsten Lind, vicedirektør, Region Midtjylland

Når svindlere gennem mails eller andre beskeder over nettet forsøger at franarre modtageren personlig information, hedder det phishing.

Og Region Midtjylland sendte i maj en phishing-mail til 1.194 af sine medarbejdere for at skabe opmærksomhed på problemet. 44 procent hoppede i.

- Alt vores informationssikkerhedsarbejde udfører vi jo for at passe på borgerens sundhedsdata. I virkeligheden er vi selv vores største fjende. Hvis vores ansatte kommer til at give deres password til forkerte personer, så er de kriminelle tættere på at få fat i det her data, siger Carsten Lind, der er vicedirektør i Region Midtjylland.

Sådan så regionens interne phishing-mail ud.

I mailen stod, at medarbejderen skulle skifte sin adgangskode til sit regions-ID ved at klikke på et link. Linket førte ind på en guide til, hvordan man undgår at hoppe i phishing-fælden.

Nyt password

Men havde afsenderen været ondsindet, kunne det have gået galt. Selvom et password alene ikke er nok til, at de kriminelle kan komme ind i systemet, så er det nemlig et stort skridt på vejen.

- Ligesom vores ansatte kan slå borgeren op i systemet og se, hvad du har af sygdomme og får af medicin, så ville de kriminelle også kunne det. Så kan man spørge om, hvad de kriminelle kan bruge det til. Man kan for eksempel ændre på data eller tilføje noget, siger Carsten Lind til TV2 ØSTJYLLAND.

Selvom næsten halvdelen af personalet klikkede på linket, venter der ikke en opsang. I regionens ledelse er man kun interesseret i at forbedre sikkerheden.

- Kampagnerne er helt anonyme. Principielt er vi totalt ligeglade med, om det er Per eller Poul, der er dumpet i. Vi vil bruge det for at skabe noget opmærksomhed på det bagefter. Vi skal øve os på at blive bedre, siger vicedirektøren.

De fleste af os har oplevet at få phishing-mail, og derfor skal man passe på, inden man tror på det, der står i ens indbakke.

Læs også Nu tør læger fortælle forældre det, ingen forældre vil høre

Carsten Lind fortæller, at de nu vil oplyse de ansatte i regionen om problemet, og så vil de om et års tid lave et forsøg igen.

Her er fire gode råd til at undgå at blive snydt:

1: Tjek afsenderen

Hvis afsenderadressen er anderledes end normalt, er der som regel noget galt. I regionens tilfælde slutter afsenderadressen altid på rm.dk. Hvis der derimod står rm.dk-net.org, er det altså ikke regionen, der har sendt dig en mail.

2: Links kan være mistænkeligt

Hvis der er et link i mailen, kan du tjekke, hvor det fører hen, ved at holde musen over det. Så kan du lettere vurdere, om det er et link, der giver mening. 

3: Tjek sproget

De falske mails er ofte sendt ud i massevis på tværs af grænserne. Når et program oversætter dem, vil der ofte være en række stavefejl eller forkert grammatik. Hvis der er meget åbenlyse sproglige fejl, skal du altså være opmærksom.

4: Tidsfrister er unormale

Hvis mailen skriver, at du skal skynde dig for at få din præmie, beholde dit password eller noget tredje, kan der ofte være tale om phishing. Afsenderen forsøger at få dig til at handle overilet, og derfor skal du altså være kritisk, inden du følger mailens instrukser.