Det inte ovanligt att större organisationer med jämna mellanrum genomför kontroller av den interna IT-säkerheten. Ett av de vanligaste sätten är genom att genomföra simulerade s.k. phishing-attacker - mail som skickas från avsändare som ser legitima ut, med uppmaning om att klicka på en länk.
Mot slutet av 2024 genomfördes en sådan simulerad phishing-attack mot Malmö stad, utan IT-avdelningens vetskap, rapporterar Sydsvenskan. Testerna pågår vanligtvis i 72 timmar, men redan efter 27 timmar avbröts det. Detta eftersom 1 121 av de 3 500 anställda klickat på länken, trots varningar från IT-avdelningen.
Syftet med phishing-attacker är att komma åt användaruppgifter, exempelvis genom att länka till en sida som ser legitim ut och ber en att logga in. Resultaten av en sådan simulerad attack delas upp i tre kategorier - de som ignorerade mailet, de som öppnade det och de som klickade på länken. Målsättningen är att maximalt 5 procent av anställda skall falla för attacken, men i detta fall landade man alltså på 32 procent. Snittet för svenska kommuner ligger närmare 15 procent.
