大企業の情シス部の者だけど「フィッシング詐欺テスト」に引っかかる奴多すぎてビビってる

嫌儲

2020.10.10 01:31

1 : 2020/10/09(金) 23:55:28.51 ID:LEus5vOo0: 告知までしてるのにあんな見え見えのリンククリックしてんじゃねーよジジイ共
コロナ禍に従業員への「フィッシング詐欺テスト」で大炎上してしまった企業
https://internet.watch.impress.co.jp/docs/column/dlis/1281455.html
9月下旬、米国イリノイ州のとあるメディア企業が、従業員のセキュリティリテラシーを確認するために、フィッシング詐欺メールを送る「フィッシング詐欺テスト」を実施しました。
もちろん、本物のフィッシング詐欺に引っ掛けるものではありません。
米国ではよく行われているテストで、外部のセキュリティ企業に依頼することもありますし、自社のセキュリティ部門が実施することもあります。
2019年にサイバーセキュリティコンサルタント企業のCoalfireが発表したレポートでは、71％の従業員は騙されてアクセス情報を渡してしまったそうです。
中でも最悪なのが、従業員を引っ掛けることに注力しすぎたフィッシング詐欺テストを行うことだと言います。前出のメディア企業では、こうしたテストを実施したことで大炎上しました。
従業員には「コスト削減の取り組みによって、5000～1万ドルのボーナスを支払うことができるようになった」という内容のメールを送信していました。
「ボーナスは助かる！」とメールに記載されているURLをクリックすると、「Oops! You clicked on a simulated phising test!（おっと！フィッシング詐欺のテストをクリックしましたね！）」と表示されました。
当然のようにボーナスは支払われません。
従業員の中には「このテストに関わった人全てを解雇しろ！」とツイートしている人もいました。結果的にこの企業は謝罪することになりました。
テストを行う側は、できるだけ多くの人が引っ掛かるように工夫しますが、今回の場合は最悪の結果を招いてしまいました。
2 : 2020/10/09(金) 23:55:50.11 ID:9ZPj8cT6p: 情シスとか情弱っぽい
3 : 2020/10/09(金) 23:56:37.96: よく分かんないからクリックしてヨシ
4 : 2020/10/09(金) 23:57:49.89 ID:gRLjGKgJa: よくわからないからクリックして確認するんだよ
5 : 2020/10/09(金) 23:58:16.77 ID:xlLICQrS0: Emotetでマクロ制限解除までやるガ●ジばっかでうちの情シス泣いてた
47 : 2020/10/10(土) 00:49:32.07 ID:f+5v3iXV0: >>5
emotetはしゃーない
多くの企業で引っかかってるから、あれは別の対策しないと無理
6 : 2020/10/09(金) 23:58:26.97 ID:FcpWzoeor: 都内上場企業か？
7 : 2020/10/09(金) 23:58:34.59 ID:L11XRwUoa: ダースベイダーかな
8 : 2020/10/09(金) 23:58:51.53 ID:HLqb9s/q0: 社内イントラネットなら普通に騙されるわ
9 : 2020/10/09(金) 23:59:05.13 ID:OEQPTWKX0: 本社のクソ情シス部のやつ、ウチの支店の取引先の名前、担当者名使って税理士名乗ってメール送ってきやがったわ
案件もこの時期によくある事柄
案の定引っかかったやついたし、ズルすぎんだろ
そんな緻密な罠わからんわ
18 : 2020/10/10(土) 00:04:36.73 ID:IlALpc560: >>9
大丈夫かお前
emotetに引っかかるぞ
10 : 2020/10/09(金) 23:59:36.65 ID:LghpCjLh0: 発信元：佐藤（○☓会社）
件名：先日の件
本文
○○さま　お世話になっております。
ご指摘の通り、添付で仕様書を修正しましたのでご確認ください。
11 : 2020/10/10(土) 00:00:59.78 ID:8Wa2HUvY0: イントラ内のフィッシングはシステムの責任だと思ってるから、気にせず確認する
12 : 2020/10/10(土) 00:01:03.61 ID:wT6WZOjV0: emotet風のやつ？
実在の社員のメアドから送るタイプ？
あれってジジイが回避できるとは思えない
13 : 2020/10/10(土) 00:01:04.05 ID:BibFSU2C0: セキュリティソフトとかで対策できないのか
メールとか怖すぎなんだが
14 : 2020/10/10(土) 00:02:14.25 ID:w+6EM4vm0: まあ会社内のメールじゃなきゃ踏まないよな
15 : 2020/10/10(土) 00:02:39.40 ID:GyWzSXS80: >>1
馬鹿だな。
わざと開けてるんだよ。
そんなこともわからないのかよw
16 : 2020/10/10(土) 00:03:41.49 ID:pm3Dr/AD0: Ｂｅ　ｖｅｒｙ　ｃａｒｅｆｕｌ．　Ｄｏｎ’ｔ　ｔｒｕｓｔ　ａｎｙｂｏｄｙ．
17 : 2020/10/10(土) 00:04:35.43 ID:v/Y91o0f0: 誰のおかげで飯食ってると思うんだああん？
と言ってやりたい
19 : 2020/10/10(土) 00:05:38.51 ID:Kiu0s05O0: 感染前提で考えないとな
20 : 2020/10/10(土) 00:05:42.99 ID:UCmktBL20: すぐにパスワードを変更してください！あなたは大きな変態です。無限のファンタジー！
21 : 2020/10/10(土) 00:07:10.58 ID:xcz1Fsvk0: テレワーク導入したっていうフィッシングメールならつい2日前会社にきた
メチャクチャ皆引っ掛かってるらしい
22 : 2020/10/10(土) 00:07:21.88 ID:OlDOAkOy0: 派遣時給千円で働いてた、そこはとんでもないもの（言えない）を作ってるところだったんだが
PCでそれらを設計している社員たちはPCについて驚くほど知識がなかった
そして情シスの皆も同様
Google検索でトラブルを探り当てるのはaccsessも満足に使えないほど最もじょうよわでペーペーな自分が一番うまかったｗ
「ブログってなに？」「ネットゲーム？怖い」「家帰ってまでPCなんてやらない」などなどの発言も
23 : 2020/10/10(土) 00:08:15.64 ID:5azmiKMY0: なんで燃えたんだ
25 : 2020/10/10(土) 00:08:29.25 ID:cx9B5sOg0: イントラにくるはずの無い偽装外部メールでテストする意味がわからない
物理的にあり得ない事象を想定したテストとか馬鹿じゃねーの
26 : 2020/10/10(土) 00:09:28.24 ID:5azmiKMY0: プライベートネットワークでやっちゃったのか
27 : 2020/10/10(土) 00:10:00.89 ID:wM/apBvG0: フィッシング詐欺テストの告知でリンク先で確認してくださいってメール来てこれが罠かもしれないと思って開けない
28 : 2020/10/10(土) 00:10:54.49 ID:5azmiKMY0: コロナ禍の影響で、給与の削減やニュースルームの閉鎖などでコスト削減を行ったこともあり、このテストは、実際に生活に支障が出ていた従業員の反感を買ってしまいました。
29 : 2020/10/10(土) 00:11:42.30 ID:DbHomTvHd: そりゃ社員証つけて社内に居る人間が
実際に社内に居る奴の名前出して
面会来たら応じるだろ
30 : 2020/10/10(土) 00:11:53.86 ID:XnWjL11gM: こいつら鬼の首取ったかのように何人引っかかりましたとかやってるの腹立つわ
絶対陰キャだろ
54 : 2020/10/10(土) 01:11:25.06 ID:EGD4NLq80: >>30
鬼の首取られた程度で済んで良かったなのテストだぞ
31 : 2020/10/10(土) 00:12:05.30 ID:j3OTBEp10: テストってわかっててもどんなページ用意したのかなって開きたくなっちゃうよね
32 : 2020/10/10(土) 00:12:06.85 ID:VpKK276Wd: 俺もこの前Emotet引っ掛かったけど
ディフェンダーが普通に止めてくれたよ
33 : 2020/10/10(土) 00:12:38.49 ID:/v6CnUDS0: あるある笑
うちの職場でも若いのが気づいて周知しちゃうけど、黙ってたら何割引っかかるんだろ
34 : 2020/10/10(土) 00:12:57.32 ID:jTXEH6Z80: IBM Notesっていうメール等諸々がセットになってるサービスがあってな
ToやCCのメールアドレスが社内の場合は、メアドは表示されずにメアド所有者の名前が表示される
社外のメアドの場合は、メアドはそのまま表示される
だから怪しいメールは一瞬で気付ける
Notesという素晴らしいサービスがあるのにそれを使わずにしょうもないメールサービス使ってるから怪しいメールに引っかかる
37 : 2020/10/10(土) 00:19:00.56 ID:eHITX/DH0: >>34
大きい企業は殆どノーツ使ってそう
42 : 2020/10/10(土) 00:30:46.30 ID:GOpJod7fd: >>34
NotesはもうIBMじゃないぞ
46 : 2020/10/10(土) 00:47:15.93 ID:bF3hNcweM: >>34
Notesってクソだろ
すぐゴミみたいなアイコンだらけになる
35 : 2020/10/10(土) 00:16:49.01 ID:qj+7eYUX0: どんなセキュリティ製品入れても人が騙されたら終わりなんだよ
騙される前提で検知する仕組み入れたりインシデントハンドリングのフロー作っておかなきゃいけない
36 : 2020/10/10(土) 00:18:53.46 ID:BnyDsagS0: Emotetとかいう地味にやべー奴
38 : 2020/10/10(土) 00:19:56.37 ID:QMS2g9Ei0: 正常に開けないからか何度もためすやつはリストに載せてる
39 : 2020/10/10(土) 00:26:14.03 ID:3t0nxUj50: You is a big fool man.
Hahahaha.
40 : 2020/10/10(土) 00:28:55.52 ID:63lPw6P50: マカフィーさんがなんとかしてくれるからクリックしてヨシっ！
41 : 2020/10/10(土) 00:30:28.95 ID:Zn7aWtZQ0: フィッシングメールの文章推敲する仕事やりたい
インチキ日本語の添削するだけで引っ掛け率何倍かに出来そう
44 : 2020/10/10(土) 00:40:20.11 ID:uGbpE9UO0: 社内に標的型攻撃のメールがきました、実例と対策は以下リンク参照
が訓練メールで結構引っかかってたな
45 : 2020/10/10(土) 00:41:06.43 ID:0eZZxbps0: テストメールとか一度たりとも引っかかったことねえわ
テストだと思うが一応デスクに通報までしといてやってるわ
48 : 2020/10/10(土) 00:49:42.42 ID:RkdJ2n6u0: メール開いただけで注意されたわ
メール開いてもリンク踏まなきゃ大丈夫じゃねえのかよ
49 : 2020/10/10(土) 00:54:12.63 ID:4DBdHYqm0: 本物のアドレスから送られたらセキュリティソフトだって反応しないだろ
50 : 2020/10/10(土) 00:54:34.68 ID:c8cugq0I0: フィッシング詐欺テストのメールが来たとき
本物のフィッシング詐欺メールが来たと勘違いしてサイバーポリスに通報したら大変なことになった
51 : 2020/10/10(土) 00:57:56.29 ID:GAhFA2bY0: テストは終わりました！結果はこちら！
みたいな2つ目のメールに引っかかった
52 : 2020/10/10(土) 01:03:27.06 ID:oRmnFSDNM: 弊社でもやったけど9000人くらい対象でやって200件くらい引っかかったらしい
3年未満の若い人と50代以上のおっさんが多い
53 : 2020/10/10(土) 01:10:50.17 ID:VEw8nb9P0: 無駄なことばっかしてんじゃねえぞゴミが
55 : 2020/10/10(土) 01:13:10.38 ID:Mpb307Aca: 引っかかるから流行するんだろ
56 : 2020/10/10(土) 01:14:51.73 ID:3+bjR+mM0: 外部のE_learningはフィッシングじゃねえのか！？と思って焦るからやめてほしい