image

Herken jij een phishing site? Doe de Phish IQ quiz

dinsdag 17 juli 2007, 15:36 door Redactie, 20 reacties

Phishing is nog altijd een groot probleem, want ondanks alle technische maatregelen en speciale anti-phishing software, zijn het vaak de gebruikers die de fout maken om op een nepsite hun gegevens achter te laten. De hoeveelheid geld die phishing slachtoffers verliezen wordt ook steeds groter. Was het in 2004 nog 173 euro, vorig jaar bedroeg de schade gemiddeld 838 euro per persoon per incident. Beveiliger McAfee heeft daarom een quiz ontworpen waarbij mensen hun "Phish IQ" kunnen testen.

Reacties (20)
17-07-2007, 16:20 door Anoniem
YOU ANSWERED 5 OF 10 QUESTIONS CORRECTLY
Rating: Safety Guru
Nice work! Your practically clairvoyant knowledge of the Web allows
you to spot even the most realistic looking spoofed sites. We're
impressed!

But remember that even one misstep on a deceptive Web site can put
your personal information at risk which could lead to identity theft or
financial losses.

Don't let scammers fool you! SiteAdvisor can help protect your identity
by warning you before you visit a risky site.

Rating: Tightrope Walker
Not bad. You avoided some deceptive Web sites that would have put
your personal information at risk. But you chose others that pose
serious security threats that could lead to identity theft or financial
losses.

Don't let scammers fool you! SiteAdvisor can help protect your identity
by warning you before you visit a risky site.

Rating: You're at risk!
Watch out! Your identity is a click away from being stolen! Your
decisions would have landed you on many deceptive Web sites that
would have put your personal information at risk. These sites pose
serious security threats that could lead to identity theft or financial
losses.

Don't let scammers fool you! SiteAdvisor can help protect your identity
by warning you before you visit a risky site.
17-07-2007, 16:24 door Walter
Sorry hoor, maar zo moeilijk was deze niet.....


YOU ANSWERED 10 OF 10 QUESTIONS CORRECTLY
Rating: Safety Guru
Nice work! Your practically clairvoyant knowledge of the Web allows you to
spot even the most realistic looking spoofed sites. We're impressed!

But remember that even one misstep on a deceptive Web site can put your
personal information at risk which could lead to identity theft or financial
losses.
<knip reclame voor SiteAdvisor>
17-07-2007, 16:46 door Sheriff
ik had negen van de 10 goed
17-07-2007, 16:50 door SirDice
Ik ging mis bij Amazon en nog 2. Maar dat komt omdat ik nooit op die sites kom, geen profiel heb daar en dus elke mail die ik daar over ontvang als phishing kan behandelen. De meeste waren vrij voor de hand liggend.

Of je een echte site van een phising site kan onderscheiden is 1 ding. Belangrijker is nog om nooit op zo'n fake site terecht te komen. En dat begint al bij het lezen/bekijken van de e-mail die je naar de site stuurt.
17-07-2007, 17:43 door Anoniem
oeps... 8 websites.. nouja, alle websites waren die ik nooit bezoek... dus
dan is het nog knap.
17-07-2007, 19:30 door Anoniem
Dus je herkent pjishing sites vooral aan het gebrekkig taalgebruik ...
hmmm...
17-07-2007, 19:41 door Mameomowskwooz
8 op 10...

Maar blijkbaar moet je goed kijken naar stijl, grammatica
-en spellingsfouten. Daar heb ik dus he-le-maal niet naar
gekeken, mijn engels is dan ook niet perfect. Ik heb meer
gekeken naar de invulvelden en de gevraagde informatie in
relatie tot hetgeen wordt aangeboden. (ow ja, en één keer
naar de url in de adresbalk) Of ik met deze score nu gewoon
geluk heb gehad of dat mijn manier van kijken naar zo'n site
nu zo intelligent was, is me nu dus nog niet duidelijk....
Iemand enig idee?
17-07-2007, 20:13 door Anoniem
In 24 uur tijd twee verschillende testen gedaan met 70%
goed, maar wat bewijst dat? Vroeger kon je blind varen op
het SSL-certificaat, maar tegenwoordig moet je daar ook al
voor gaan uitkijken...

Mijn werkmethode tot nu toe:

1. Is de domeinnaam wel het echte domein? (te controleren via de echte sites, banksites in je favorietenlijst of Google-lijst), zo niet, er dan vanuit gaan dat de site vals is.
2. Is er een https-verbinding (voor inloggen) van zeer vertrouwelijk gegevens (financiële gegevens, persoonlijke gegevens), zo niet dan is de site meestal vals.
3. Vraagt men om een Creditcard nummer, zo ja dan is deze site vals.
4. Vraagt men om een PIN-code (voor een ATM=Automated Teller Machine). Zo ja, dan is de site zeker vals.
5. Vraagt men om Mother's mainden name? Zo ja, dan is de site vals. (men vraag immers nooit andermans gegevens in te vullen, alleen de eigen gegevens.)
6. Is de afgebeelde URL waar men op moet klikken (voor inlog e.d.) een geobfusceerde link? (browser is zo in te stellen dat de domeinnaam te zien is in de statusbalk. Muiscursor moet dan alleen op de link worden gelegd, maar niet aangeklikt), zo ja, dan is het een nep-site.
7. Waarschuwt men dat er valse pogingen zijn geweest om uw account te compromitteren? Zo ja, ga er dan vanuit dat de site/mail vals is.
8. Waarschuwt men dat een account wordt suspended? Zo ja, ga er dan van uit dat dit vals is.
9. Verkeerd taalgebruik, spel- en taalfouten aanwezig? Zo ja, dan is de site/mail vals.
10. Dubbelklik op het SSL certificaat pictogram. Is de certificaatinstantie betrouwbaar? Staat het juist domein in het certificaat ook in de adresbalk?
Zo niet, ga er dan maar gerust vanuit dat de site vals is. Is er na dubbelklikken op het SSL-certificaat geen certificaat informatie? Dan er vanuit gaan dat de site vals/onbetrouwbaar is.
17-07-2007, 20:13 door Anoniem
Ik had er 9 uit 10, maar ook niet gekeken naar de taalfouten.
Eigenlijk hetzelfde verhaal dus.
(2x gekeken naar URL)
17-07-2007, 20:22 door Skizmo
6 of 10. . tja. . .gan ze zeuren dat je moet letten op een
schrijffout. ..best wel lame .. . zoiets van 'oplichters
kunnen geen engels enzo'

best wel blaat . .
17-07-2007, 20:30 door Wootles
Ik had er maar 5 van de 10 goed. Had namelijk niet echt
gelet op de spelling en grammatica van de sites maar meer op
de url, en de 'dubieusheidsgraad' van mailtjes en vragen die
er gesteld werden.

Ik vind het trouwens inderdaad onzin dat je een phishing
site kunt herkennen aan slechte spelling/grammatica. Durf te
wedden dat de echt serieuze phisher daar tegenwoordig heus
wel op let.
17-07-2007, 20:37 door Anoniem
Door Wootles
Ik had er maar 5 van de 10 goed. Had namelijk niet echt
gelet op de spelling en grammatica van de sites maar meer op
de url, en de 'dubieusheidsgraad' van mailtjes en vragen die
er gesteld werden.

Ik vind het trouwens inderdaad onzin dat je een phishing
site kunt herkennen aan slechte spelling/grammatica. Durf te
wedden dat de echt serieuze phisher daar tegenwoordig heus
wel op let.

Sterker nog. Ik had helemaal niet op taal en spelfouten
gelet (mijn Engels is nou ook niet echt briljant te noemen).

Voor Nederlanders wordt het doorzien van valse mailtjes erg makkelijk als er van Babel Fish gebruik gemaakt is. In zo'n geval is de detectie voor jou en voor mij 100%.
17-07-2007, 21:53 door Anoniem
Net als alle voorgaande quizjes leert deze ook de verkeerde dingen.

De juiste aanpak is:
1. Klik nooit op een link in email (of web site) om naar een bank site te
gaan.
2. Controleer het domein in de URL, en daarna het https slotje.

Deze quiz begint al een stap te ver: op de phishing web site. Of het laat
alleen maar een plaatje zien van de site, zonder URL.

Foutloos schrijven is trouwens geen kenmerk van een bank.

Voor security mensen wel leuk om te doen, de beperkingen kennende.
Mijn score was 9 uit 10. Vraag 10 was fout volgens McAfee.
18-07-2007, 08:35 door Anoniem
9 van de 10. Maar zo nieuw is dit toch niet? Deze quiz is al
vaker "langsgeweest"
18-07-2007, 08:47 door mbroek2004
Ik had er niet zo veel goed :'( Veel websites waren ook
specifiek voor de Amerikaanse markt en deze ken ik dus niet
zo goed.

Over het stuk taalgebruik; het feit dat er taalfouten op een
website staan zegt niet zo héél veel over de authenticiteit.
Er staan, net zoals in de dagbladen, vaak genoeg taalfouten
op websites. Ik heb daarom ook niet de focus gelegd op
taalfouten.

Het stuk SSL spoofing vond ik wél erg boeiend. Ik weet daar
nog niet zoveel van, heeft iemand misschien een URL waar dit
concept uitgelegd wordt? Mijn dank is groot.
18-07-2007, 08:54 door Stagiaire
8/10 maar nu weet je dat er 1 vals is met 100% zekerheid,
wie valt die kleine details op als je maar sporadisch op
zo'n site komt?
18-07-2007, 10:28 door Anoniem
Door Peter V.
In 24 uur tijd twee verschillende testen gedaan met 70%
goed, maar wat bewijst dat? Vroeger kon je blind varen op
het SSL-certificaat, maar tegenwoordig moet je daar ook al
voor gaan uitkijken...

Mijn werkmethode tot nu toe:

1. Is de domeinnaam wel het echte domein? (te controleren
via de echte sites, banksites in je favorietenlijst of
Google-lijst), zo niet, er dan vanuit gaan dat de site vals is.
2. Is er een https-verbinding (voor inloggen) van zeer
vertrouwelijk gegevens (financiële gegevens, persoonlijke
gegevens), zo niet dan is de site meestal vals.
3. Vraagt men om een Creditcard nummer, zo ja dan is deze
site vals.
4. Vraagt men om een PIN-code (voor een ATM=Automated Teller
Machine). Zo ja, dan is de site zeker vals.
5. Vraagt men om Mother's mainden name? Zo ja, dan is de
site vals. (men vraag immers nooit andermans gegevens in te
vullen, alleen de eigen gegevens.)
6. Is de afgebeelde URL waar men op moet klikken (voor inlog
e.d.) een geobfusceerde link? (browser is zo in te stellen
dat de domeinnaam te zien is in de statusbalk. Muiscursor
moet dan alleen op de link worden gelegd, maar niet
aangeklikt), zo ja, dan is het een nep-site.
7. Waarschuwt men dat er valse pogingen zijn geweest om uw
account te compromitteren? Zo ja, ga er dan vanuit dat de
site/mail vals is.
8. Waarschuwt men dat een account wordt suspended? Zo
ja, ga er dan van uit dat dit vals is.
9. Verkeerd taalgebruik, spel- en taalfouten aanwezig? Zo
ja, dan is de site/mail vals.
10. Dubbelklik op het SSL certificaat pictogram. Is de
certificaatinstantie betrouwbaar? Staat het juist domein in
het certificaat ook in de adresbalk?
Zo niet, ga er dan maar gerust vanuit dat de site vals is.
Is er na dubbelklikken op het SSL-certificaat geen
certificaat informatie? Dan er vanuit gaan dat de site
vals/onbetrouwbaar is.
Mother's maiden name wordt meestal gebruikt als geheime
vraag, als je je password niet meer weet. Vaak kan je het
ook kiezen, welke geheime vraag je wil, dus daar ben ik het
niet mee eens. Creditcard gegevens kan om gevraagd worden
(bij paypal bijv.) maar inderdaad kijk GOED naar het adres.
als het niet ".paypal.com" of ".aol.com" is oid dan is het
hoogstwaarschijnlijk nep. bijv. ".paypalsignup.com" zal
bijvoorbeeld fout zijn..

Door Stagiaire
8/10 maar nu weet je dat er 1 vals is met 100% zekerheid,
wie valt die kleine details op als je maar sporadisch op
zo'n site komt?
Inderdaad, dat is JUIST het punt. Niemand let op die kleine
details, en daarom trappen er ZO VEEL mensen in.

Ik had trouwens 8/10 goed (vraag 5 over Amazon en de laatste
over SSL had ik fout)
18-07-2007, 11:18 door SirDice
SSL had ik ook fout.. Ik had beter moeten lezen :(

Een SSL certificaat opzich zegt inderdaad niets namelijk. Ik kan zo 20 certificaten genereren. Het gaat om een geldig certificaat.
18-07-2007, 21:19 door Anoniem
10/10 en precies daarom vind ik dat mensen die in phising trappen het
verdienen. Daarnaast zag je niet bij alle afbeeldingen URL, en dat is
sowieso vaak al makkelijk zat.

Phising slachtoffers hebben het altijd aan zichzelf te danken.
18-07-2007, 22:59 door Anoniem
9 van 10 goed. Valt niet tegen, vaak herken je de sites
makkelijk aan de gebruikte URLs.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.