Helaas is dit geen bericht om bekend te maken wie van de collega’s de iPhone 11 Pro gaat krijgen.

Wel is het een belangrijke mail om op je in te laten werken.

Gezien we als organisatie steeds meer digitaal werken, en er onlangs een aantal voorvallen waren waarbij collega’s slachtoffer werden van digitale criminelen, hebben wij als I&A de proef op de som genomen. Namelijk testen hoe onze organisatie reageert in de praktijk op phishing mail.

Afgelopen donderdagavond heeft I&A een mail verzonden waarbij je kans maakte op een iPhone 11 Pro. Er klopte een heel aantal dingen niet aan deze mail. Kwaadwillenden van buiten onze organisatie hadden relatief simpel een dergelijke mail kunnen opmaken.

De vraag in de mail was om je gegevens achter te laten voor de iPhone 11 Pro loting, waaronder op een link klikken en vervolgens logingegevens en wachtwoord.

773 collega’s hebben reeds op de link geklikt!

402 collega’s hebben vervolgens ook nog hun gegevens ingevuld. Sommigen hebben dat zelfs meerdere keren gedaan.

Dit betekent in feite dat kwaadwillenden met een dergelijke mail nu via 402 mogelijkheden op de respect werkplek hadden kunnen inloggen. Denk daarbij aan data inzien zoals mails, cliëntgegevens, bestanden en zo ook functionaliteit van onze applicaties misbruiken. En dat 773 mogelijkheden werden geboden om bijvoorbeeld ransomware te installeren op de systemen van Respect.

Gezien de onvoorstelbare aantallen heb ik zojuist besloten om hierbij de test te staken.

7 collega’s hebben alert gereageerd (zo zou het moeten zijn), namelijk door het niet invullen en de phishingmail te melden bij ons I&A team. Dat zijn de collega’s die de iPhones 11 Pro zouden hebben verdiend.

De genoemde aantallen geven mij aan dat we serieus werk aan de winkel hebben om samen beter bewust te raken van de gevaren op het internet. Hierover volgt binnenkort meer informatie.

De ontvangen mails met inlognaam en wachtwoorden worden hierbij vernietigd, er is geen noodzaak om je wachtwoord te wijzigen.

Voor nu een aantal simpele tips, wij hopen dat je onderstaande ter harte neemt!

• Nooit je persoonlijke login en wachtwoord combinatie ergens afgeven; je geeft immers ook niet je pinpas en pincode weg.

• Komt de mail wel van een Respect mailadres? -> @respectzorg.nl

• Is het aanbod te mooi om waar te zijn? Dan is dat ook meestal zo, wees dan extra alert.

Mijn persoonlijke dank aan Danny Bakker en Jorgen Stoute, die het project onder lastige geheimhouding hebben gerealiseerd.