Nieuws

Microsoft: Schade door phishing valt reuze mee

zaterdag 10 januari 2009, 11:04 door Redactie, 15 reacties

Algemeen wordt aangenomen dat phishers eenvoudig grote sommen geld binnenhengelen, uit onderzoek van Microsoft blijkt dat de werkelijkheid er heel anders uitziet. Microsoft onderzoekers Cormac Herley en Dinei Florencio ontdekten dat het grote aantal phishingberichten die dagelijks verschijnen juist teken is dat deze vorm van cybercriminaliteit amper iets oplevert. Dat komt mede doordat er veel phishers dezelfde doelgroep bestoken, waardoor er minder overblijft. De onderzoekers halen daarbij de "Tragedy of Commons" aan. Die stelt dat de hoeveelheid geld daalt door de acties van de phishers. Een groep phishers deelt dezelfde bron, die zich beperkt herstelt. Phishers zorgen zodoende voor overexploitatie en degradatie van hun eigen inkomstenbron.

54,1 miljoen slachtoffers
Cijfers van onderzoeksbureaus die stellen dat phishingaanvallen jaarlijks voor vele miljoenen schade zorgen, zijn dan ook geheel uit de lucht gegrepen. Maar als phishing niets oplevert, waarom verschijnen de e-mails dan nog steeds? Volgens de onderzoekers is dit te verklaren door de nieuwe aanwas van phishers. Bestaande internetoplichters zien dat de praktijk niets oplevert en kiezen daarom voor een andere bezigheid. Beginnende phishers denken echter nog steeds gemakkelijk een fortuin bij elkaar te kunnen hengelen. Sterker nog, ervaren phishers maken juist misbruik van beginnende phishers door hen allerlei diensten aan te bieden. Dat levert meer geld op dan het versturen van de phishingmails, iets wat de onervaren internetoplichters nog niet weten.

De onderzoekers schatten dat elk jaar 0,37% van alle internetgebruikers ter wereld (54,1 miljoen mensen) hun wachtwoord op een phishingsite invoeren. Dat wil nog niet zeggen dat al deze mensen ook hun account of geld verliezen. Sommige phishingservers worden op tijd uit de lucht gehaald, soms komen internetgebruikers er zelf achter wat ze hebben gedaan en soms zien de banken dat het om een frauduleuze poging gaat.

Phishing mythe
Doorsnee phishers verdienen dan ook evenveel als ze iets legitiem met hun tijd zouden doen, aldus de onderzoekers. "Het ontbreken van informatie over grote phishing opbrengsten ondersteunt deze suggestie." Herley en Florencio vragen zich dan ook af waarom de cijfers van een marktvorser als Gartner of de FTC zonder enige kritische blik worden herhaald, terwijl ze voor geen kant kloppen.

Het antwoord zou zijn dat "mythische cijfers" zonder kritiek rondgaan, waarbij de omvang van het getal belangrijker dan de nauwkeurigheid is. Deze foute informatie zorgt er wel voor dat phishers het blijven proberen en zich tot deze vorm van cybercrime aangetrokken voelen, zonder dat er enige basis voor is. Dat neemt niet weg dat phishing geen probleem is, aangezien het wel het vertrouwen in internet en e-mail als communicatievorm aantast.

Virusaanval legt overheid Bulgarije en Nieuw-Zeeland plat

Zwarte patchdinsdag voor Oracle beheerders

Reacties (15)

10-01-2009, 11:25 door [Account Verwijderd]

[Verwijderd]

10-01-2009, 12:30 door Anoniem

Kunnen we dan maar beter het phishers filter uitschakelen. Iedeen zit ook graag te wachten dat phishers filter je internet vertraagd. In Internet Explorer 6.0 hadden we geen phishers filter! Deze troep vetraagd heb internet alleen maar zou je bescherm voor website die proberen informatie krijg of jou cookies en privacy.

10-01-2009, 13:23 door Anoniem

Alleen domme criminelen phishen,
slimme criminelen gaan voor Microsoft werken.

10-01-2009, 14:16 door Eerde

Ben het grotendeels wel met de stelling eens. Echter de uitzonderingen maken het beeld toch ietsiepietsie genuanceerder...
eBah (ver)kopers gaan zo op in hun spel dat ze meteen een phisingmail invullen als het op eBah lijkt, ze een nieuw bod of andere ongein moeten invullen en bingo !
Het eental gekraakte eBah accounts is dan ook disproportioneel groot.

Maar goed zie het als een Internetbelasting voor sukkels, nix mis mee en het helpt landen als Nigeria & Roemenie ook mee te gaan in de vaart der volkeren en dat scheelt weer een hoop ontwikkelingsgeld.

De antis virusspamphisingverkoperts varen er wel bij en de overheid heeft weer een leuk 'scare' item want zoals bekent zijn het de terroristen die KP verspreiden en ook al die vervelende phishing dinggesen...... toch ?
Balkie huurt rap ene Kok in om met een muis door het luchtledige te zwaaien, kost 240.000,= Euro p/jr maar dan heb je ook niets.

Eigenlijk doen die lui ons dus een groot plezier :)

10-01-2009, 18:08 door Slamaar

Er staat ergens een komma niet goed. Als 0,37% ca. 55 miljoen muis-klikkende apen representeer, kom ik op ca. 14 miljard internetgebruikers!?!? Of het is 3,7% ... of het is slechts 5,5 miljoen stomme kabeljauw koppen die jaarlijks uit de zee gephist worden.

Graag even corrigeren!

10-01-2009, 18:21 door [Account Verwijderd]

[Verwijderd]

10-01-2009, 18:43 door Bill Torvalds

kijk maar naar de staatsloterij die nog steeds een enorm succes heeft terwijl het statistisch is bewezen dat de kans dat je doodgereden wordt tijdens het ophalen van je staatslot 400 x groter is dan het winnen van de hoofdprijs )

- Niet als je automatisch meedoet.
- Als je doodgereden word merk je het toch niet, en als je de loterij wint wel
- De hoofdprijs hoef ik niet een paar ton vind ik ook wel voldoende.

10-01-2009, 22:44 door Anoniem

Voor ik een onderzoekresultaat over neem stel ik altijd even een belangrijke vraag. Wat hebben deze zogenaamde onderzoekers Cormac Herley en Dinei Florencio nu precies gedaan om tot hun conclusie te komen? Wat blijkt: ze verschillen in niets met een gokker in een casino. Het enige wat ze namelijk gedaan hebben is een theorie uitgezocht en daar wat willekeurige data tegenaan gegooid om een conclusie te trekken. Ja, dat noemen we inderdaad ook onderzoeken, maar daarmee bewijs je alleen dat je onderzoek een resultaat oplevert. Of dat resultaat verband heeft met de dagelijkse werkelijkheid, dat blijkt deze onderzoekers niet te interesseren. Men heeft op geen enkele wijze moeite gedaan om daartussen een verband te leggen. Hoewel ze best gelijk kunnen hebben is en blijft dat met hun huidige onderzoek slechts gokken. En dat noem ik gevaarlijk, zeker als het gaat om conclusies waarbij onderzoekers beweren dat een situatie wel mee valt. Beveiliging gaat om risico management. Op deze gronden valt er weinig zinvol te managen, behalve dat de onderzoekers onbedoeld bewijzen dat je voorzichtig met beslissinggegevens moet omgaan.

11-01-2009, 08:59 door [Account Verwijderd]

[Verwijderd]

11-01-2009, 13:52 door Bill Torvalds

- Niet als je automatisch meedoet.

Ook de kans dat je een hartinfarct krijgt bij het openen van je post of het kijken naar de uitslag van de Staatsloterij op TV of via het Web is groter (omdat je een hartvervetting hebt hetgeen weer zijn oorzaak vindt in het feit dat je te weinig beweegt en buiten komt ;-)

- Ik beweeg wel voldoende alleen doe ik geen moeite voor een staatslot, en ik kijk nooit naar de uitslag ik ontdek het wel met internetbankieren.

- Ik kan me niet voorstellen dat er statistische gegevens zijn die aantonen dat je eerder iets overkomt dat als je wel een staatslot koopt dan niet.

- Tijdens het einde van een voetbalwedstrijd is er aangetoond dat er meer hartaanvallen zijn dan anders, dus kun je toch beter een kraslot kopen hoe dan ook.

12-01-2009, 09:13 door Anoniem

"Alleen domme criminelen phishen, slimme criminelen gaan voor Microsoft werken."

Alleen domme mensen plaatsen onzin reacties als bovenstaande ?

12-01-2009, 09:21 door Anoniem

Voor een wat meer genuanceerde kijk op fishing http://www.blackhat-forums.com/index.php?showtopic=7879

12-01-2009, 10:55 door Marti van Lin

Microsoft: hier hield wat mij betreft de geloofwaardigheid op :-)

12-01-2009, 12:35 door Anoniem

Tsja makkelijk praten als de ISP's er bovenop zitten.......

20-01-2009, 18:42 door Anoniem

a. het is een analyse gebaseerd op alleen economische modellen en die zijn nog nooit in staat geweest om criminaliteit te analyseren.
b. De onderzoekers vergelijken phishen met vissen in de zee waar de aantallen beperkt zijn. Terwijl de fraudeurs gebruik maken van een perpetuem mobile dat bankieren heet en de aantallen niet beperkt zijn.
c. De schattingen van de onderzoekers zijn makkelijk te dissen door gewoon het aantal aangiftes (dat slechts 10% of minder van het totaal is) te tellen. Één plus één is twee en zo verder maakt de schattingen van deze ECONOMEN belavhelijk.
(ze zijn er bij microsoft al achter dat dit onderzoek niet kan kloppen)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer