23% consumenten trapt in spear-phishingaanvallen
Uit recent onderzoek blijkt dat wereldwijd 23% van de mensen vatbaar is voor gerichte phishingaanvallen. De onderzoekers probeerden 32 verschillende scenario’s op 69.000 mensen uit. “23% lijkt misschien weinig, maar denk aan een bedrijf met 5000 werknemers, dan heb je het over 1200 kwetsbare endpoints”, aldus Rohyt Belani, CEO van het bedrijf dat het onderzoek uitvoerde.
Beveiliger Joshua Perrymon noemt het aantal nog aan de lage kant. “Ik zou zeggen dat 23% van alle mensen in standaard phishingaanvallen trapt. We zien dat zo’n 70% op een gerichte aanval reageert.” Een deel zou ook door de Amerikaanse bedrijfscultuur komen, die op autoriteit is gebaseerd. “Als iemand met autoriteit je vertelt iets te doen, dan doe je dat, zonder er verder over na te denken.”
Vertaling
Het onderzoek laat verder zien dat phishingmails met een bevelende ondertoon 40% meer succes hebben dan "lokkertjes" die de geadresseerde belonen. Van het kantoorpersoneel dat reageert op de hengel-mailtjes, doet zestig procent dit binnen drie uur na ontvangst. Gebruikers klikken bovendien eerder op links in een e-mail dan dat ze gevoelige informatie geven. Volgens de onderzoekers wordt phishing een steeds groter probleem, mede door het gebruik van vertaaltechnologie. Ook zijn de tools om spam en phishingaanvallen te vertalen steeds eenvoudiger te verkrijgen.
Reacties (6)
11-03-2009, 10:57 door
spatieman
hello.
ik gewonnen, heb, 100 miljoen euro.
allen, kan het gelt, niet naar mijn account ombrengen.
als jullie ons kan helpen, dan dwe beloning is royaal.
Etc.
bla.....
leve een beetje spamfilter.
ik gewonnen, heb, 100 miljoen euro.
allen, kan het gelt, niet naar mijn account ombrengen.
als jullie ons kan helpen, dan dwe beloning is royaal.
Etc.
bla.....
leve een beetje spamfilter.
Ehmmm... spatieman... het gaat om spear phishing. Een gerichte phishing aanval. Geen spamfilter die je daar tegen beschermt.
11-03-2009, 15:33 door
Kukel
Maar deze dan? (combinatie spear-phishing/social engeneering)
Geachte heer Spatieman,
Onlangs is uit ons audit onderzoek gebleken dat er pogingen ondernomen zijn om zonder uw toestemming geld over te maken van uw rekening 123456789. Deze pogingen zijn door de veiligheidsmaatregelen die wij in acht nemen niet gelukt.
De afgelopen dagen is er door ons getracht hierover met u telefonisch contact op te nemen. Helaas is dit tot op heden nog niet gelukt. Via dit schrijven willen wij u er op attent maken dat er dergelijke pogingen zijn ondernomen en om wij verzoeken u ondanks het feit dat de pogingen mislukt zijn, uw afschrijvingen goed te controleren. De komende dagen zullen wij nogmaals trachten contact met u op te nemen om er zeker van te zijn dat onze berichtgeving aan u is aangekomen.
Wij willen u er op attenderen dat onze medewerkers tijdens dit gesprek u nooit om uw pincode zullen vragen.
Met vriendelijke groet,
Bank xyz.
Paar dagen later:
Ring, ring, ring:
Spatieman: Goedemiddag, Spatieman,
"Bank XYZ": Goedemiddag mijnheer Spatieman, u spreekt met mevrouw Qwerty van Bank XYZ
"Bank XYZ": Wij hebben u enkele dagen geleden een e-mail bericht gestuurd over pogingen die ondernomen zijn om ongeoorloofd geld af te schrijven van uw rekening. Heeft u dat bericht ontvangen?
Spatieman: Ja, dat heb ik. Hartelijk dank voor jullie proactieve houding en dat jullie dit hebben voorkomen
"Bank XYZ": Graag gedaan mijnheer Spatieman, maar er is één afschrijving waar wij toch over twijfellen
Spatieman: Oh, welke is dat dan?
"Bank XYZ": Voordat ik u daarop antwoord kan geven, mag ik u dan onze standaard controlevragen stellen
Spatieman: oh, maar natuurlijk, dat is wel zo veilig
"Bank XYZ": Wat is uw geboortedatum:
Spatieman: 1-1-1970
<overige controle vragen volgen en spatieman liegt natuurlijk niet>
"Bank XYZ": Het bedrag waar het om ging was €374,95 ten gunste van rekening 987654321 ten name van Electronica Dump ASDF. Deze afschrijving is voorkomen, maar het zou kunnen zijn dat deze toch doorgang had moeten vinden
Spatieman: Nee, dit zegt me helemaal niets, dank voor het tegenhouden.
"Bank XYZ": Nou, dan wens ik u nog een prettige dag verder.
Enkele weken later
"Spatieman": Goedemiddag, u spreekt met Spatieman
Bank XYZ: Goedemiddag, waar kunnen wij u mee van dienst zijn?
"Spatieman": Ik ben mijn bankpas kwijt en zou graag dat jullie mij een nieuwe toesturen en een nieuwe pincode
Bank XYZ: Bent u hem kwijt of is hij gestolen? Wij kunnen eventueel uw huidige pas blokkeren.
"Spatieman": Nee, doe dat laatste nog maar niet, ik ben er bijna zeker van dat hij niet gestolen, en als ik hem dan nog vind de komende dagen kan ik hem nog gebruiken.
Bank XYZ: Prima mijnheer spatieman, mag ik dan ter controle een aantal vragen stellen
<controle vragen worden natuurlijk 'goed' beantwoord door 'spatieman'
Bank XYZ: Goed mijnheer spatieman, binnen enkele dagen ontvangt u van ons uw nieuwe pas en voor de veiligheid een aantal dagen later een nieuwe pincode.
"Spatieman": Dank u vriendelijk
Dagen later vangt de postbode die in het complot zit twee maal een envelop af en de rekening van spatieman wordt "geplunderd"
Ok, enigszins fictief, maar veel realistischer dan de Nigerianen.
phew... lamme arm van het typen
Geachte heer Spatieman,
Onlangs is uit ons audit onderzoek gebleken dat er pogingen ondernomen zijn om zonder uw toestemming geld over te maken van uw rekening 123456789. Deze pogingen zijn door de veiligheidsmaatregelen die wij in acht nemen niet gelukt.
De afgelopen dagen is er door ons getracht hierover met u telefonisch contact op te nemen. Helaas is dit tot op heden nog niet gelukt. Via dit schrijven willen wij u er op attent maken dat er dergelijke pogingen zijn ondernomen en om wij verzoeken u ondanks het feit dat de pogingen mislukt zijn, uw afschrijvingen goed te controleren. De komende dagen zullen wij nogmaals trachten contact met u op te nemen om er zeker van te zijn dat onze berichtgeving aan u is aangekomen.
Wij willen u er op attenderen dat onze medewerkers tijdens dit gesprek u nooit om uw pincode zullen vragen.
Met vriendelijke groet,
Bank xyz.
Paar dagen later:
Ring, ring, ring:
Spatieman: Goedemiddag, Spatieman,
"Bank XYZ": Goedemiddag mijnheer Spatieman, u spreekt met mevrouw Qwerty van Bank XYZ
"Bank XYZ": Wij hebben u enkele dagen geleden een e-mail bericht gestuurd over pogingen die ondernomen zijn om ongeoorloofd geld af te schrijven van uw rekening. Heeft u dat bericht ontvangen?
Spatieman: Ja, dat heb ik. Hartelijk dank voor jullie proactieve houding en dat jullie dit hebben voorkomen
"Bank XYZ": Graag gedaan mijnheer Spatieman, maar er is één afschrijving waar wij toch over twijfellen
Spatieman: Oh, welke is dat dan?
"Bank XYZ": Voordat ik u daarop antwoord kan geven, mag ik u dan onze standaard controlevragen stellen
Spatieman: oh, maar natuurlijk, dat is wel zo veilig
"Bank XYZ": Wat is uw geboortedatum:
Spatieman: 1-1-1970
<overige controle vragen volgen en spatieman liegt natuurlijk niet>
"Bank XYZ": Het bedrag waar het om ging was €374,95 ten gunste van rekening 987654321 ten name van Electronica Dump ASDF. Deze afschrijving is voorkomen, maar het zou kunnen zijn dat deze toch doorgang had moeten vinden
Spatieman: Nee, dit zegt me helemaal niets, dank voor het tegenhouden.
"Bank XYZ": Nou, dan wens ik u nog een prettige dag verder.
Enkele weken later
"Spatieman": Goedemiddag, u spreekt met Spatieman
Bank XYZ: Goedemiddag, waar kunnen wij u mee van dienst zijn?
"Spatieman": Ik ben mijn bankpas kwijt en zou graag dat jullie mij een nieuwe toesturen en een nieuwe pincode
Bank XYZ: Bent u hem kwijt of is hij gestolen? Wij kunnen eventueel uw huidige pas blokkeren.
"Spatieman": Nee, doe dat laatste nog maar niet, ik ben er bijna zeker van dat hij niet gestolen, en als ik hem dan nog vind de komende dagen kan ik hem nog gebruiken.
Bank XYZ: Prima mijnheer spatieman, mag ik dan ter controle een aantal vragen stellen
<controle vragen worden natuurlijk 'goed' beantwoord door 'spatieman'
Bank XYZ: Goed mijnheer spatieman, binnen enkele dagen ontvangt u van ons uw nieuwe pas en voor de veiligheid een aantal dagen later een nieuwe pincode.
"Spatieman": Dank u vriendelijk
Dagen later vangt de postbode die in het complot zit twee maal een envelop af en de rekening van spatieman wordt "geplunderd"
Ok, enigszins fictief, maar veel realistischer dan de Nigerianen.
phew... lamme arm van het typen
11-03-2009, 15:38 door
Kukel
Oh, ter aanvulling het scenario is toch realistischer nu ik me het plots bedenk. Een betaling met mijn creditcard enige jaren geleden aan een muziekwinkel in Brazilie is bij de Postbank opgevallen als 'uitzonderlijk'. Ze hebben me hierover getracht te bellen en daarna kreeg ik een brief van ze. In deze brief stonden de details al, dus wist ik waar het over ging. Maar toen ik ze daarover belde ging het toch deels hetzelfde. Het verschil is dat ze verzochten contact met hen op te nemen op het standaard nummer, dus ze hadden daar wat extra veiligheidsmaatregelen ingebouwd. Al met al een nette actie van deze bank.
11-03-2009, 15:40 door
Kukel
en nu nog een inhoudelijke reactie:
23% in algemene phisihing aanvallen? Geloof het niet (of ik moet de enige zijn die de mensen in zijn omgeving hier enigszins "opvoed"
23% in algemene phisihing aanvallen? Geloof het niet (of ik moet de enige zijn die de mensen in zijn omgeving hier enigszins "opvoed"
Door KukelMaar deze dan? (combinatie spear-phishing/social engeneering)
Geachte heer Spatieman,
Onlangs is uit ons audit onderzoek gebleken dat er pogingen ondernomen zijn om zonder uw toestemming geld over te maken van uw rekening 123456789. Deze pogingen zijn door de veiligheidsmaatregelen die wij in acht nemen niet gelukt.
De afgelopen dagen is er door ons getracht hierover met u telefonisch contact op te nemen. Helaas is dit tot op heden nog niet gelukt. Via dit schrijven willen wij u er op attent maken dat er dergelijke pogingen zijn ondernomen en om wij verzoeken u ondanks het feit dat de pogingen mislukt zijn, uw afschrijvingen goed te controleren. De komende dagen zullen wij nogmaals trachten contact met u op te nemen om er zeker van te zijn dat onze berichtgeving aan u is aangekomen.
Wij willen u er op attenderen dat onze medewerkers tijdens dit gesprek u nooit om uw pincode zullen vragen.
Met vriendelijke groet,
Bank xyz.
Paar dagen later:
Ring, ring, ring:
Spatieman: Goedemiddag, Spatieman,
"Bank XYZ": Goedemiddag mijnheer Spatieman, u spreekt met mevrouw Qwerty van Bank XYZ
"Bank XYZ": Wij hebben u enkele dagen geleden een e-mail bericht gestuurd over pogingen die ondernomen zijn om ongeoorloofd geld af te schrijven van uw rekening. Heeft u dat bericht ontvangen?
Spatieman: Ja, dat heb ik. Hartelijk dank voor jullie proactieve houding en dat jullie dit hebben voorkomen
"Bank XYZ": Graag gedaan mijnheer Spatieman, maar er is één afschrijving waar wij toch over twijfellen
Spatieman: Oh, welke is dat dan?
"Bank XYZ": Voordat ik u daarop antwoord kan geven, mag ik u dan onze standaard controlevragen stellen
Spatieman: oh, maar natuurlijk, dat is wel zo veilig
"Bank XYZ": Wat is uw geboortedatum:
Spatieman: 1-1-1970
<overige controle vragen volgen en spatieman liegt natuurlijk niet>
"Bank XYZ": Het bedrag waar het om ging was €374,95 ten gunste van rekening 987654321 ten name van Electronica Dump ASDF. Deze afschrijving is voorkomen, maar het zou kunnen zijn dat deze toch doorgang had moeten vinden
Spatieman: Nee, dit zegt me helemaal niets, dank voor het tegenhouden.
"Bank XYZ": Nou, dan wens ik u nog een prettige dag verder.
Enkele weken later
"Spatieman": Goedemiddag, u spreekt met Spatieman
Bank XYZ: Goedemiddag, waar kunnen wij u mee van dienst zijn?
"Spatieman": Ik ben mijn bankpas kwijt en zou graag dat jullie mij een nieuwe toesturen en een nieuwe pincode
Bank XYZ: Bent u hem kwijt of is hij gestolen? Wij kunnen eventueel uw huidige pas blokkeren.
"Spatieman": Nee, doe dat laatste nog maar niet, ik ben er bijna zeker van dat hij niet gestolen, en als ik hem dan nog vind de komende dagen kan ik hem nog gebruiken.
Bank XYZ: Prima mijnheer spatieman, mag ik dan ter controle een aantal vragen stellen
<controle vragen worden natuurlijk 'goed' beantwoord door 'spatieman'
Bank XYZ: Goed mijnheer spatieman, binnen enkele dagen ontvangt u van ons uw nieuwe pas en voor de veiligheid een aantal dagen later een nieuwe pincode.
"Spatieman": Dank u vriendelijk
Dagen later vangt de postbode die in het complot zit twee maal een envelop af en de rekening van spatieman wordt "geplunderd"
Ok, enigszins fictief, maar veel realistischer dan de Nigerianen.
phew... lamme arm van het typen
Geachte heer Spatieman,
Onlangs is uit ons audit onderzoek gebleken dat er pogingen ondernomen zijn om zonder uw toestemming geld over te maken van uw rekening 123456789. Deze pogingen zijn door de veiligheidsmaatregelen die wij in acht nemen niet gelukt.
De afgelopen dagen is er door ons getracht hierover met u telefonisch contact op te nemen. Helaas is dit tot op heden nog niet gelukt. Via dit schrijven willen wij u er op attent maken dat er dergelijke pogingen zijn ondernomen en om wij verzoeken u ondanks het feit dat de pogingen mislukt zijn, uw afschrijvingen goed te controleren. De komende dagen zullen wij nogmaals trachten contact met u op te nemen om er zeker van te zijn dat onze berichtgeving aan u is aangekomen.
Wij willen u er op attenderen dat onze medewerkers tijdens dit gesprek u nooit om uw pincode zullen vragen.
Met vriendelijke groet,
Bank xyz.
Paar dagen later:
Ring, ring, ring:
Spatieman: Goedemiddag, Spatieman,
"Bank XYZ": Goedemiddag mijnheer Spatieman, u spreekt met mevrouw Qwerty van Bank XYZ
"Bank XYZ": Wij hebben u enkele dagen geleden een e-mail bericht gestuurd over pogingen die ondernomen zijn om ongeoorloofd geld af te schrijven van uw rekening. Heeft u dat bericht ontvangen?
Spatieman: Ja, dat heb ik. Hartelijk dank voor jullie proactieve houding en dat jullie dit hebben voorkomen
"Bank XYZ": Graag gedaan mijnheer Spatieman, maar er is één afschrijving waar wij toch over twijfellen
Spatieman: Oh, welke is dat dan?
"Bank XYZ": Voordat ik u daarop antwoord kan geven, mag ik u dan onze standaard controlevragen stellen
Spatieman: oh, maar natuurlijk, dat is wel zo veilig
"Bank XYZ": Wat is uw geboortedatum:
Spatieman: 1-1-1970
<overige controle vragen volgen en spatieman liegt natuurlijk niet>
"Bank XYZ": Het bedrag waar het om ging was €374,95 ten gunste van rekening 987654321 ten name van Electronica Dump ASDF. Deze afschrijving is voorkomen, maar het zou kunnen zijn dat deze toch doorgang had moeten vinden
Spatieman: Nee, dit zegt me helemaal niets, dank voor het tegenhouden.
"Bank XYZ": Nou, dan wens ik u nog een prettige dag verder.
Enkele weken later
"Spatieman": Goedemiddag, u spreekt met Spatieman
Bank XYZ: Goedemiddag, waar kunnen wij u mee van dienst zijn?
"Spatieman": Ik ben mijn bankpas kwijt en zou graag dat jullie mij een nieuwe toesturen en een nieuwe pincode
Bank XYZ: Bent u hem kwijt of is hij gestolen? Wij kunnen eventueel uw huidige pas blokkeren.
"Spatieman": Nee, doe dat laatste nog maar niet, ik ben er bijna zeker van dat hij niet gestolen, en als ik hem dan nog vind de komende dagen kan ik hem nog gebruiken.
Bank XYZ: Prima mijnheer spatieman, mag ik dan ter controle een aantal vragen stellen
<controle vragen worden natuurlijk 'goed' beantwoord door 'spatieman'
Bank XYZ: Goed mijnheer spatieman, binnen enkele dagen ontvangt u van ons uw nieuwe pas en voor de veiligheid een aantal dagen later een nieuwe pincode.
"Spatieman": Dank u vriendelijk
Dagen later vangt de postbode die in het complot zit twee maal een envelop af en de rekening van spatieman wordt "geplunderd"
Ok, enigszins fictief, maar veel realistischer dan de Nigerianen.
phew... lamme arm van het typen
Hoezo fictief,
ik ken iemand waarbij dit is gebeurt, alleen was de postbode niet in het plot, maar hebben ze de brievenbussen gekraakt van het flat waar het slachtoffer in woonde.
Ook hadden ze niet een tweede pas aangevraagd, maar telefonisch bankieren laten activeren en de brief met de aktivatie code e.d. onderschept.
Vervolgens het slachtoffer aan het eind van de maand erachter dat er precies van overzicht tot overzicht elke dag het max bedrag is overgemaakt van haar spaarrekening naar een onbekende rekening. (ze had er nogal wat opstaan)
Later bij de bank meld deze dat zij het allemaal bijzonder onprettig vinden, en als je hier en hier een krabbel zet, dan maken wij alles in orde. Gelukkig was deze kennis niet dom en heeft ze eerst de papieren mee naar huis genomen en een advocaat (haar man) er naar laten kijken. Als ze getekend had, dan had ze haar geld nooit terug gekregen omdat de bank probeerde het slachtoffer verantwoordelijk te maken voor de gehele geschiedenis.
Toen eenmaal alle geld terug was heeft ze meteen een rekening bij een andere bank geopent en haar oude rekeningen e.d. opgezegt.
Met nieuwe bank heeft ze speciale afspraken mee gemaakt dat bij elke wijziging, activering, aanvraag e.d. er iemand met het legitimatiebewijs naar het hoofdkantoor moet komen.
Natuurlijk heef ze aangifte gedaan om vervolgens een half jaar later te horen dat de rekening waar het naartoe gegaan is op naam staat van iemand die niet bestaat en niet te traceren is, daar is inmiddels alle geld al weer van af gehaald middels buitenlandse pin-automaten e.d.
Kortom streep erdoor, einde zaak.
Als je zo ziet hoe het met de criminaliteit in nl gaat en hoe de instanties e.d. hierop reageren is maar goed dat de normale burger niet alles weet, anders zou je je geld weer in een oude sok gaan stoppen en achteraf in een binker gaan wonen. zonder enige vorm van electronica, afhankelijkheid e.d.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
