9 av 19 toppchefer lurade med jobbmejlet från "Elin på Ekonomi"
De högsta cheferna på Lunds Universitet har utsatts för ett bluffmejl. Någon har ringt upp och utgett sig för att vara "Elin på Ekonomi", och skickat ett mejl. Men det hela var en bluff.
– Detta är inte unikt för Lunds universitet, säger internrevisionens chef Jean Odgaard.
Granska mejlet noga innan du öppnar en bifogad fil eller klickar på en länk. Är meddelandet förväntat? Brukar avsändaren uttrycka sig på det här sättet?
Var vaksam och klicka inte om meddelandet innehåller uppmaningar att till exempel lämna ifrån dig kort- eller kontonummer eller lösenord, ber dig ladda ner bilagor eller programvara eller uppmanar dig att agera snabbt.
Om du fattar misstankar bör du verifiera avsändaren via andra kanaler än de som anges i utskicket eller avstå från att öppna/klicka. Om du är anställd i en organisation ska du kontakta din it-funktion.
"Elin från Ekonomi" har undertecknat ett suspekt mejl som skickats till Lunds Universitets personal.
Och flera chefer klickade på länken. Nu slår Universitetet larm.
MISSA INTE: Värsta konkursvågen sedan 1994: "Stormens öga"
Skadlig kod
"Överlämnar man användarinformation eller laddar ner programvaror, kan [det] i värsta fall orsaka betydande verksamhetsavbrott och ekonomiska förluster för universitetet", skriver internutredningen i sin rapport.
– Det är inte unikt för Lunds Universitet, säger Jean Odgaard till Nyheter24.
Prefekter på Lunds Universitet fick bluffmejl
I Lund har 19 prefekter, alltså chefer på olika delar av universitetet i staden, blivit uppringda av någon som utger sig för att vara "Elin" på ekonomiavdelningen.
"Elin" har bett cheferna öppna ett fakturamejl som hon skickar till dem, och därefter klicka på en länk i mejlet.
9 av cheferna gjorde precis som bedragaren sade. En klar säkerhetsrisk, säger internrevisionens chef på universitetet, Jean Odgaard.
"Främmande nationer kan vara intresserade”
Tack och lov var mejlet ett it-test. Bluffakturorna skickades inte från en rysk spionagentur. Det var en anställd på universitetet som hade hört av sig, men det var inte ekonomiavdelningen.
Det var Jean Odgaards medarbetare som ville testa universitetets säkerhetssystem. Och om det hade varit ett riktigt bluffmejl så hade det varit riktigt dåliga nyheter för lärosätet.
Det var P4 Malmöhus först att rapportera om.
Ransomware – utpressningsvirus
Det är en klar risk att få in utpressningsvirus eller att bli bestulen på forskningsdata, menar Jean Odgaard som blivit intervjuad av Nyheter24.
– En av de största riskerna är att man blir utsatt för ransomware och det måste organisationen skydda sig mot på olika sätt. Vi har gjort en granskning av informations- och IT-säkerhetskulturen som visar på att det finns risker som behöver hanteras.
Inget unikt med Lunds Universitet
Detta är inte unikt för Lunds universitet. Troligen kan det vara så på flera arbetsplatser, men var och en behöver analysera sin egen organisation.
It-attackerna har blivit allt mer sofistikerade och bedrägerierna har vuxit till en miljardindustri. Förhoppningsvis kan tester som det på Lunds Universitet leda till att fler ser över cybersäkerheten på sin egen myndighet eller företag, säger han.
– Absolut är det en större risk idag än för ett antal år sedan, och det kräver en större förståelse och kunskap för att försvara sig emot, säger Jean Odgaard.
Risker med digitaliseringen
Enligt internrevisionens rapport, som Nyheter24 tagit del av, har digitaliseringen av samhället medfört en ökad uppkoppling mot internet och därigenom en ökad risk för cyberbrott och att data kommer i fel händer.
"Trots e-postfilter och andra tekniska åtgärder för att reducera risken för bland annat e-postbedrägerier så är det mycket som passerar och många gånger är det den mänskliga faktorn som blir dörröppnare för cyberbrottslingar", skriver internrevisionen.
Informationen hamnar i orätta händer
Slutsatserna går troligen att generalisera till många andra arbetsplatser i Sverige.
En medarbetare på vilket jobb som helst som lånar ut sitt användarnamn och lösenord till fel person, lämnar en dator som är igång och som blir stulen, eller en medarbetare (eller student i universitetens fall) som klickar på länkar i mail kan leda till säkerhetsbrister.
"Betydande verksamhetsavbrott och ekonomiska förluster"
"Överlämnar man användarinformation eller laddar ner programvaror, kan [det] i värsta fall orsaka betydande verksamhetsavbrott och ekonomiska förluster för universitetet", skriver internutredningen i sin rapport.
Förutom mejl kan även bolag och myndigheter utsättas för "sociala manipulationer, där angriparen ringer upp och/eller mailar medarbetare".
Informationen tas som gisslan
Detta i avsikt att i universitetets fall få åtkomst till universitetets interna information. På det viset tar man in innanför skalet på företag och myndigheter, och kan sedan ta informationen gisslan.
Undersökningen på Lunds Universitet utgår från ett allmänt hot och en allmän frågeställning i samhället, men slutsatserna är begränsade till Lunds Universitet.
Läs mer om it-säkerhet och ekonomi:
Värsta konkursvågen sedan 1994: "Stormens öga"
