171 Limburgse ambtenaren trapten in test-phishingmail
Tijdens een onderzoek naar de informatieveiligheid in de provincie Limburg zijn 171 Limburgse ambtenaren in test-phishingmail getrapt, zo heeft de Zuidelijke Rekenkamer in een rapport laten weten (pdf). De rekenkamer komt tot de conclusie dat de provincie in de afgelopen vier jaar vooruitgang heeft geboekt in de wijze waarop de informatiebeveiliging in opzet en praktijk is ingericht. In de uitvoering blijft het tempo van de implementatie van beveiligingsmaatregelen achter bij de voornemens.
Daardoor is de provincie kwetsbaar voor aanvallen, zo blijkt uit onder andere een penetratietest die door de rekenkamer is uitgevoerd. Tijdens deze test is zowel digitaal als fysiek ongeautoriseerde toegang verkregen tot (vertrouwelijke) informatie waarover de provincie beschikt. Een aantal zaken had hierbij eerder opgepakt kunnen en moeten worden, zo stelt de rekenkamer. De provincie liet namelijk in 2015 zelf een onderzoek uitvoeren waarin soortgelijke bevindingen naar boven kwamen.
Phishingtest
Voor het testen van het veiligheidsbewustzijn van de provinciemedewerkers is als eerste een phishingaanval uitgevoerd op alle e-mailadressen die op @prvlimburg.nl eindigen. Dit waren 1.398 e-mailadressen. De aanval zorgde ervoor dat 171 ontvangers van de e- mail hun gebruikersnaam en wachtwoord invulden op een, voor dit onderzoek geprepareerde website. Dit komt neer op 12 procent van alle ambtenaren. De provincie detecteerde de phishingaanval en blokkeerde vervolgens vanaf het provincienetwerk toegang tot de website.
Daarnaast werden er er twee spearphishingaanvallen uitgevoerd, waarbij geselecteerde e-mailadressen een met malware geïnfecteerde bijlage kregen toegestuurd. De eerste spearphishingaanval via e-mail mislukte omdat de mailservers de documenten met macro's, die als bijlage waren meegestuurd, blokkeerde. De aanval met een zogenaamd "Wob-verzoek" via een vragenformulier op de provinciewebsite slaagde wel. Hierdoor werd toegang verkregen tot de systemen en accounts van twee medewerkers die gevoelige informatie bevatten.
Usb-sticks
Naast de aanvallen via e-mail vond er ook een inlooptest met een "mystery guest" plaats. Die wist ongeautoriseerde toegang tot werkplekken, systemen en gevoelige gegevens te krijgen. Ook is er toegang tot systemen en accounts verkregen via met malware geprepareerde usb-sticks die door de mystery guest waren achtergelaten.
Maatregelen
Naar aanleiding van het rapport heeft de provincie verschillende maatregelen aangekondigd en acties uitgevoerd. Het gaat dan om de installatie van beveiligingsupdates en het toepassen van netwerksegmentatie. Ook is besloten om het wachtwoordbeleid aan te passen. Sinds begin van dit jaar dienen wachtwoorden te bestaan uit minimaal tien karakters met verschil in tekens en hoofdlettergebruik. Wachtwoorden moeten daarnaast om het halfjaar worden gewijzigd. Verder zal het bewustwordingsprogramma worden geactualiseerd en is de provincie van plan een nieuwe bewustwordingscampagne te starten.
En hoeveel van die 1398 mailadressen hadden toen de mail al gelezen? 171?
Neemt niet weg, dat dit percentage hard naar beneden moet.
Ook zijn er ITers die iets aan je pc moeten doen en rustig telefonisch bellen voor je wachtwoord als je in een meeting zat, ik gaf dat dan nooit maar dan werd vaak gezegd dan ben je als laatste aan de beurt, prima zei ik dan het is maar werk wat ik doe.
Al die veiligheidsregels zijn mooi, maar ze worden door vele lagen op verschillende momenten gewoon overtreden.
Ik voel zelf meer voor toegangspasje dat gekoppeld moet worden aan je pc, weg van je plek dan ook geen toegang.
Als je een "goede" phishing mail maakt, dan is een score van 12% juist heel laag. Het is schokkend hoeveel mensen er ook na uitgebreide campagnes en trainingen nog steeds veel te makkelijk op phishing mails klikken.
En mijn eigen ervaring gaat niet over ambtenaren of laag opgeleiden. Nee, juist allemaal mensen met academische graad.
Ook zijn er ITers die iets aan je pc moeten doen en rustig telefonisch bellen voor je wachtwoord als je in een meeting zat, ik gaf dat dan nooit maar dan werd vaak gezegd dan ben je als laatste aan de beurt, prima zei ik dan het is maar werk wat ik doe.
Al die veiligheidsregels zijn mooi, maar ze worden door vele lagen op verschillende momenten gewoon overtreden.
Ik voel zelf meer voor toegangspasje dat gekoppeld moet worden aan je pc, weg van je plek dan ook geen toegang.
Afdwingen van regelmatig wijzigen van het wachtwoord veroorzaakt dat mensen vaak bar slechte wachtwoorden kiezen.
Tijdens een mock spear phishing test ? Rare manier van handelen. Zo zijn de uitkomsten, m.b.t. de vraag hoeveel personeelsleden in de aanval stonken, ook niet meer betrouwbaar. Doordat voor velen, door de blokkade de ''phishing'' pagina niet langer bereikbaar was.
En daarom voeg je ook 2FA toe, met een one-time token. Zoals ieder groot bedrijf al lang en breed heeft. Zo heeft het een stuk minder impact, indien een gebruiker gegevens in heeft gevuld op een phishing website.
Niet als je een goed control framework hebt, wat zorgt dat sterke wachtwoorden worden afgedwongen. Gebruikers dienen geen zwakke wachtwoorden te kunnen kiezen.
Je kunt zowel afdwingen dat mensen een sterk wachtwoord moeten hebben, als ook dat ze het wachtwoord periodiek dienen te wijzigen. Het is geen of/of, maar en/en.
Verder moeten architecten en beheerders die wijzen naar gebruikers gewoon een andere baan zoeken. Anno 2018 kan het echt niet meer dat gebruikers zwakke wachtwoorden *kunnen* kiezen. Ook zou door 2FA en dergelijke phishing heel erg weinig impact moeten hebben, m.b.t. credentials op bedrijfs systemen.
Login/password zonder 2-factor authenticatie is al lang achterhaald, en veel te kwetsbaar voor een zakelijke omgeving.
Als je een "goede" phishing mail maakt, dan is een score van 12% juist heel laag. Het is schokkend hoeveel mensen er ook na uitgebreide campagnes en trainingen nog steeds veel te makkelijk op phishing mails klikken.
En mijn eigen ervaring gaat niet over ambtenaren of laag opgeleiden. Nee, juist allemaal mensen met academische graad.
Idem. Zelfs onder een populatie van ITers scoor je dergelijke percentages.
Helpdesk zou niet eens toegang moeten hebben tot je nieuwe password (non-repudation; alleen de gebruiker moet kennis hebben van het password). Indien een helpdesker toegang heeft tot jouw password, en dit aan je kan verstrekken, dan is er sprake van een slecht security beleid.
Afdwingen van een sterk wachtwoord is, net als de periodieke wijziging, onderdeel van wachtwoord beleid.
Indien je bij jullie Januari2018! *kan* kiezen als password, dan kan je het best de verantwoordelijke voor het wachtwoordbeleid vragen om een andere baan te zoeken. Standaard control in wachtwoord beleid, password complexity.
Niet als je halverwege de test de toegang blokkeert op je firewall.
Dan moet je zorgen voor een beter wachtwoord beleid, waardoor je niet geconfronteerd wordt met dergelijke problematiek.
Ik heb hier ook wachtwoorden die 10 of 14 tekens moeten zijn en sommige moet ik iedere 30 dagen deze die veranderen.
Daar gaat er gewoon een 201806 en 201707 achter. Bij sommige mag ik ze ook niet opslaan in remote desktop applicatie, dus slaat het helft van mijn collega's het maar op in een txt file op hun desktop.
Eigenlijk is er maar 1 goede methode. OTP of token generators.
Afdwingen van een sterk wachtwoord is, net als de periodieke wijziging, onderdeel van wachtwoord beleid.
Indien je bij jullie Januari2018! *kan* kiezen als password, dan kan je het best de verantwoordelijke voor het wachtwoordbeleid vragen om een andere baan te zoeken. Standaard control in wachtwoord beleid, password complexity.
Daarnaast bepaald Directie het beleid, en kan je alleen als ICTer advies geven.
met jouw advies zal de WW dus flink stijgen door de vele ontslagen die er zullen vallen.
Je advies valt een beetje onder, de beste stuurlui staan aan wal
Niet als je halverwege de test de toegang blokkeert op je firewall.[/quote]Tja... Daar heb je volledig gelijk in. Ik was ooit ook eens bij eind gebruikers aanwezig toen een phishing Email binnen kwam. Was een test van Informatiebeleid, en zij zorgde er direct voor dat de firewall er voor werdt dicht gezet. Daar ging hun test.... Communicatie is hierin van cruciaal belang. Het was "geheim", zelfs zo dat de interne ICT er niets vanaf wist, en dus meteen zorgde dat op basis van 1 goede melding (door een onsite medewerker) de test geheel mislukte.
Neemt niet weg, dat dit percentage hard naar beneden moet.
Hoezo is dit vergelijkbaar met het gemiddelde? Je weet hier niet hoeveel slechtoffers er ingetrapt zijn, want de provincie heeft de website op een bepaald moment geblokkeerd en de teller zat waarschijnlijk op die website. Je weet alleen dat de ondergrens 12% is, maar het had ook 100% kunnen zijn als 88% de mail bekeek na het blokkeren van de site.
Ik verkneukel mij al bij het zien van de resultaten...
Hooguit kun je, als tevens alle headers worden getoond en aan een flink aantal voorwaarden wordt voldaan, met enige zekerheid vaststellen dat een e-mail vanaf een server geautoriseerd door een bepaald domein is verzonden. Maar op de zaak hebben we wel eens een behoorlijk overtiuigende phishingmail van een transportbedrijf ontvangen (waar wij eerder mee hadden gemaild) nadat 1 of meer e-mail accounts van hen waren gehacked.
Aan een "kale" e-mail (zoals op smartphones wordt getoond) kun je onmogelijk zien of de afzender is wie zij zegt dat zij is. Het is dus helemaal niet gek dat mensen in phishingmails trappen.
Temeer daar het op internet barst van de goedbedoelde maar stupide pagina's die beschrijven hoe je phishingmails zou kunnen herkennen, en mensen dus worden gebrainwashed met het waanidee dat zij phishingmails kunnen herkennen.
Alsof het niet om een phishingmail kan gaan als er geen taalfouten in staan, jij maar 1 "Hans Jansen" kent en hij de afzender is volgens jouw mail programma, en er geen link in de mail staat waar je vandaag nog op moet klikken. En alsof het zeker om een phishingmail moet gaan als de afzender van een andere mail ineens "Jansen, J." heet, er 1 of meer taalfouten in de mail staan en je gevraagd wordt om vandaag nog op een link in de mail te klikken.
Als zelfs getrainde spamfilters soms legitieme mail voor spam aanzien of juist spam en phishingmails doorlaten, wat kun je dan van drukke (of verveelde/ongeïnteresseerde) werknemers verwachten?
Ambtenaren zijn geen andere diersoort, het zijn doodgewone mensen met een bepaald type werkgever. De mensen die ik ken die voor overheden werken zijn meestal doortastende, resultaatgerichte mensen waar commerciële bedrijven blij mee zouden zijn. In het bedrijfsleven heb ik meer dan genoeg mensen meegemaakt die regels en procedures een doel op zich vinden en die vaak met "ambtenaar" aangeduid worden.
Denken in stereoptypen, zoals jij duidelijk doet, is een recept voor het totaal verkeerd inschatten van situaties, en op basis van verkeerde inschattingen neem je verkeerde beslissingen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
