image

171 Limburgse ambtenaren trapten in test-phishingmail

vrijdag 13 juli 2018, 10:30 door Redactie, 21 reacties

Tijdens een onderzoek naar de informatieveiligheid in de provincie Limburg zijn 171 Limburgse ambtenaren in test-phishingmail getrapt, zo heeft de Zuidelijke Rekenkamer in een rapport laten weten (pdf). De rekenkamer komt tot de conclusie dat de provincie in de afgelopen vier jaar vooruitgang heeft geboekt in de wijze waarop de informatiebeveiliging in opzet en praktijk is ingericht. In de uitvoering blijft het tempo van de implementatie van beveiligingsmaatregelen achter bij de voornemens.

Daardoor is de provincie kwetsbaar voor aanvallen, zo blijkt uit onder andere een penetratietest die door de rekenkamer is uitgevoerd. Tijdens deze test is zowel digitaal als fysiek ongeautoriseerde toegang verkregen tot (vertrouwelijke) informatie waarover de provincie beschikt. Een aantal zaken had hierbij eerder opgepakt kunnen en moeten worden, zo stelt de rekenkamer. De provincie liet namelijk in 2015 zelf een onderzoek uitvoeren waarin soortgelijke bevindingen naar boven kwamen.

Phishingtest

Voor het testen van het veiligheidsbewustzijn van de provinciemedewerkers is als eerste een phishingaanval uitgevoerd op alle e-mailadressen die op @prvlimburg.nl eindigen. Dit waren 1.398 e-mailadressen. De aanval zorgde ervoor dat 171 ontvangers van de e- mail hun gebruikersnaam en wachtwoord invulden op een, voor dit onderzoek geprepareerde website. Dit komt neer op 12 procent van alle ambtenaren. De provincie detecteerde de phishingaanval en blokkeerde vervolgens vanaf het provincienetwerk toegang tot de website.

Daarnaast werden er er twee spearphishingaanvallen uitgevoerd, waarbij geselecteerde e-mailadressen een met malware geïnfecteerde bijlage kregen toegestuurd. De eerste spearphishingaanval via e-mail mislukte omdat de mailservers de documenten met macro's, die als bijlage waren meegestuurd, blokkeerde. De aanval met een zogenaamd "Wob-verzoek" via een vragenformulier op de provinciewebsite slaagde wel. Hierdoor werd toegang verkregen tot de systemen en accounts van twee medewerkers die gevoelige informatie bevatten.

Usb-sticks

Naast de aanvallen via e-mail vond er ook een inlooptest met een "mystery guest" plaats. Die wist ongeautoriseerde toegang tot werkplekken, systemen en gevoelige gegevens te krijgen. Ook is er toegang tot systemen en accounts verkregen via met malware geprepareerde usb-sticks die door de mystery guest waren achtergelaten.

Maatregelen

Naar aanleiding van het rapport heeft de provincie verschillende maatregelen aangekondigd en acties uitgevoerd. Het gaat dan om de installatie van beveiligingsupdates en het toepassen van netwerksegmentatie. Ook is besloten om het wachtwoordbeleid aan te passen. Sinds begin van dit jaar dienen wachtwoorden te bestaan uit minimaal tien karakters met verschil in tekens en hoofdlettergebruik. Wachtwoorden moeten daarnaast om het halfjaar worden gewijzigd. Verder zal het bewustwordingsprogramma worden geactualiseerd en is de provincie van plan een nieuwe bewustwordingscampagne te starten.

Reacties (21)
13-07-2018, 11:54 door Anoniem
> De provincie detecteerde de phishingaanval en blokkeerde vervolgens vanaf het provincienetwerk toegang tot de website.

En hoeveel van die 1398 mailadressen hadden toen de mail al gelezen? 171?
13-07-2018, 11:57 door Anoniem
Was wel te verwachten: IT en ambtenaren!!! En dan een nieuwe bewustwordingscampagne
13-07-2018, 11:59 door Anoniem
Het valt nog mee, als je het met het gemiddelde vergelijkt. Want volgens de laatste uitslagen is het gemiddeld 14% die klikt op phishing mail.

Neemt niet weg, dat dit percentage hard naar beneden moet.
13-07-2018, 12:25 door Anoniem
Wachtwoordbeleid zal niet werken denk ik, wij moesten maandelijks wijzigen, veel van mijn collega´s gebruikten dan bv Januari2018! enz.
Ook zijn er ITers die iets aan je pc moeten doen en rustig telefonisch bellen voor je wachtwoord als je in een meeting zat, ik gaf dat dan nooit maar dan werd vaak gezegd dan ben je als laatste aan de beurt, prima zei ik dan het is maar werk wat ik doe.
Al die veiligheidsregels zijn mooi, maar ze worden door vele lagen op verschillende momenten gewoon overtreden.
Ik voel zelf meer voor toegangspasje dat gekoppeld moet worden aan je pc, weg van je plek dan ook geen toegang.
13-07-2018, 12:39 door Anoniem
Ik denk dat de mensen die hierboven gereageerd hebben nog nooit in een bedrijf zo'n test hebben gedaan.

Als je een "goede" phishing mail maakt, dan is een score van 12% juist heel laag. Het is schokkend hoeveel mensen er ook na uitgebreide campagnes en trainingen nog steeds veel te makkelijk op phishing mails klikken.

En mijn eigen ervaring gaat niet over ambtenaren of laag opgeleiden. Nee, juist allemaal mensen met academische graad.
13-07-2018, 12:41 door Anoniem
Door Anoniem: Wachtwoordbeleid zal niet werken denk ik, wij moesten maandelijks wijzigen, veel van mijn collega´s gebruikten dan bv Januari2018! enz.
Ook zijn er ITers die iets aan je pc moeten doen en rustig telefonisch bellen voor je wachtwoord als je in een meeting zat, ik gaf dat dan nooit maar dan werd vaak gezegd dan ben je als laatste aan de beurt, prima zei ik dan het is maar werk wat ik doe.
Al die veiligheidsregels zijn mooi, maar ze worden door vele lagen op verschillende momenten gewoon overtreden.
Ik voel zelf meer voor toegangspasje dat gekoppeld moet worden aan je pc, weg van je plek dan ook geen toegang.
Je moet gewoon zeggen: "wachtwoorden worden niet via de telefoon doorgegeven." Want hoe weet jij immers of het niet een hacker is die je belt? Dit is al vaker in de geschiedenis voorgekomen.
13-07-2018, 12:45 door buttonius
Sinds begin van dit jaar dienen wachtwoorden te bestaan uit minimaal tien karakters met verschil in tekens en hoofdlettergebruik. Wachtwoorden moeten daarnaast om het halfjaar worden gewijzigd.
Afdwingen van een moeilijk wachtwoord gaat geen verschil maken zolang die ambtenaren bereid zijn het in te tikken op een phishing site.
Afdwingen van regelmatig wijzigen van het wachtwoord veroorzaakt dat mensen vaak bar slechte wachtwoorden kiezen.
13-07-2018, 13:02 door Anoniem
Het opdringen van een bepaald wachtwoordbeleid leidt er vaak toe dat gebruikers voorspelbare logica gaan gebruiken. Er wordt gevarieerd met uitroeptekens, apestaarten en hekjes gecombineerd met volgnummers etc... Ik raad zelf vaak aan om een wachtzin te gebruiken, maarja da's slechts mijn € 050...
13-07-2018, 15:12 door Anoniem
De provincie detecteerde de phishingaanval en blokkeerde vervolgens vanaf het provincienetwerk toegang tot de website.

Tijdens een mock spear phishing test ? Rare manier van handelen. Zo zijn de uitkomsten, m.b.t. de vraag hoeveel personeelsleden in de aanval stonken, ook niet meer betrouwbaar. Doordat voor velen, door de blokkade de ''phishing'' pagina niet langer bereikbaar was.
13-07-2018, 15:17 door Anoniem
Afdwingen van een moeilijk wachtwoord gaat geen verschil maken zolang die ambtenaren bereid zijn het in te tikken op een phishing site.

En daarom voeg je ook 2FA toe, met een one-time token. Zoals ieder groot bedrijf al lang en breed heeft. Zo heeft het een stuk minder impact, indien een gebruiker gegevens in heeft gevuld op een phishing website.

Afdwingen van regelmatig wijzigen van het wachtwoord veroorzaakt dat mensen vaak bar slechte wachtwoorden kiezen.

Niet als je een goed control framework hebt, wat zorgt dat sterke wachtwoorden worden afgedwongen. Gebruikers dienen geen zwakke wachtwoorden te kunnen kiezen.

Je kunt zowel afdwingen dat mensen een sterk wachtwoord moeten hebben, als ook dat ze het wachtwoord periodiek dienen te wijzigen. Het is geen of/of, maar en/en.

Verder moeten architecten en beheerders die wijzen naar gebruikers gewoon een andere baan zoeken. Anno 2018 kan het echt niet meer dat gebruikers zwakke wachtwoorden *kunnen* kiezen. Ook zou door 2FA en dergelijke phishing heel erg weinig impact moeten hebben, m.b.t. credentials op bedrijfs systemen.

Login/password zonder 2-factor authenticatie is al lang achterhaald, en veel te kwetsbaar voor een zakelijke omgeving.
13-07-2018, 15:20 door Anoniem
Door Anoniem: Ik denk dat de mensen die hierboven gereageerd hebben nog nooit in een bedrijf zo'n test hebben gedaan.

Als je een "goede" phishing mail maakt, dan is een score van 12% juist heel laag. Het is schokkend hoeveel mensen er ook na uitgebreide campagnes en trainingen nog steeds veel te makkelijk op phishing mails klikken.

En mijn eigen ervaring gaat niet over ambtenaren of laag opgeleiden. Nee, juist allemaal mensen met academische graad.

Idem. Zelfs onder een populatie van ITers scoor je dergelijke percentages.
13-07-2018, 15:22 door Anoniem
Je moet gewoon zeggen: "wachtwoorden worden niet via de telefoon doorgegeven." Want hoe weet jij immers of het niet een hacker is die je belt? Dit is al vaker in de geschiedenis voorgekomen.

Helpdesk zou niet eens toegang moeten hebben tot je nieuwe password (non-repudation; alleen de gebruiker moet kennis hebben van het password). Indien een helpdesker toegang heeft tot jouw password, en dit aan je kan verstrekken, dan is er sprake van een slecht security beleid.

Wachtwoordbeleid zal niet werken denk ik, wij moesten maandelijks wijzigen, veel van mijn collega´s gebruikten dan bv Januari2018! enz.

Afdwingen van een sterk wachtwoord is, net als de periodieke wijziging, onderdeel van wachtwoord beleid.

Indien je bij jullie Januari2018! *kan* kiezen als password, dan kan je het best de verantwoordelijke voor het wachtwoordbeleid vragen om een andere baan te zoeken. Standaard control in wachtwoord beleid, password complexity.

Als je een "goede" phishing mail maakt, dan is een score van 12% juist heel laag

Niet als je halverwege de test de toegang blokkeert op je firewall.
13-07-2018, 15:23 door Anoniem
Het opdringen van een bepaald wachtwoordbeleid leidt er vaak toe dat gebruikers voorspelbare logica gaan gebruiken. Er wordt gevarieerd met uitroeptekens, apestaarten en hekjes gecombineerd met volgnummers etc... Ik raad zelf vaak aan om een wachtzin te gebruiken, maarja da's slechts mijn € 050...

Dan moet je zorgen voor een beter wachtwoord beleid, waardoor je niet geconfronteerd wordt met dergelijke problematiek.
13-07-2018, 16:24 door Tha Cleaner
Door Anoniem: Het opdringen van een bepaald wachtwoordbeleid leidt er vaak toe dat gebruikers voorspelbare logica gaan gebruiken. Er wordt gevarieerd met uitroeptekens, apestaarten en hekjes gecombineerd met volgnummers etc... Ik raad zelf vaak aan om een wachtzin te gebruiken, maarja da's slechts mijn € 050...
Een wachtwoord zin, bied niet heel erg veel extra veiling. Als je dit daarna iedere 30 dagen moet veranderen, gaat er gewoon een 01,02,03 achter.
Ik heb hier ook wachtwoorden die 10 of 14 tekens moeten zijn en sommige moet ik iedere 30 dagen deze die veranderen.
Daar gaat er gewoon een 201806 en 201707 achter. Bij sommige mag ik ze ook niet opslaan in remote desktop applicatie, dus slaat het helft van mijn collega's het maar op in een txt file op hun desktop.

Eigenlijk is er maar 1 goede methode. OTP of token generators.

Door Anoniem:
Wachtwoordbeleid zal niet werken denk ik, wij moesten maandelijks wijzigen, veel van mijn collega´s gebruikten dan bv Januari2018! enz.

Afdwingen van een sterk wachtwoord is, net als de periodieke wijziging, onderdeel van wachtwoord beleid.

Indien je bij jullie Januari2018! *kan* kiezen als password, dan kan je het best de verantwoordelijke voor het wachtwoordbeleid vragen om een andere baan te zoeken. Standaard control in wachtwoord beleid, password complexity.
Dit valt gewoon onder de standaard Sterk wachtwoord. Wil je dit tegenhouden, dan moet je toch echt naar specifieke software toe die dit kan analyseren en kan tegenhouden.

Daarnaast bepaald Directie het beleid, en kan je alleen als ICTer advies geven.
met jouw advies zal de WW dus flink stijgen door de vele ontslagen die er zullen vallen.

Je advies valt een beetje onder, de beste stuurlui staan aan wal

Als je een "goede" phishing mail maakt, dan is een score van 12% juist heel laag

Niet als je halverwege de test de toegang blokkeert op je firewall.[/quote]Tja... Daar heb je volledig gelijk in. Ik was ooit ook eens bij eind gebruikers aanwezig toen een phishing Email binnen kwam. Was een test van Informatiebeleid, en zij zorgde er direct voor dat de firewall er voor werdt dicht gezet. Daar ging hun test.... Communicatie is hierin van cruciaal belang. Het was "geheim", zelfs zo dat de interne ICT er niets vanaf wist, en dus meteen zorgde dat op basis van 1 goede melding (door een onsite medewerker) de test geheel mislukte.
13-07-2018, 18:22 door Briolet
Door Anoniem: Het valt nog mee, als je het met het gemiddelde vergelijkt. Want volgens de laatste uitslagen is het gemiddeld 14% die klikt op phishing mail.

Neemt niet weg, dat dit percentage hard naar beneden moet.

Hoezo is dit vergelijkbaar met het gemiddelde? Je weet hier niet hoeveel slechtoffers er ingetrapt zijn, want de provincie heeft de website op een bepaald moment geblokkeerd en de teller zat waarschijnlijk op die website. Je weet alleen dat de ondergrens 12% is, maar het had ook 100% kunnen zijn als 88% de mail bekeek na het blokkeren van de site.
13-07-2018, 18:39 door SPer
Door Anoniem: Was wel te verwachten: IT en ambtenaren!!! En dan een nieuwe bewustwordingscampagne
Geloof mij, ik wordt regelmatig geconfronteerd met de gevolgen van een bewustwoordings campagne en het zijn echt niet alleeen ambtenaren die er in trappen .
13-07-2018, 20:21 door Anoniem
Ik stel voor dat de redactie een poll maakt om te zien hoeveel mensen hier op dit forum een mail in het poll-bericht terecht of ten onrechte als phishingmail bestempelen. Dan eens kijken hoeveel van deze "specialisten" hier erin trappen!

Ik verkneukel mij al bij het zien van de resultaten...
14-07-2018, 00:40 door Bitwiper
Door Anoniem: Ik stel voor dat de redactie een poll maakt om te zien hoeveel mensen hier op dit forum een mail in het poll-bericht terecht of ten onrechte als phishingmail bestempelen.
Dat kan niet.

Hooguit kun je, als tevens alle headers worden getoond en aan een flink aantal voorwaarden wordt voldaan, met enige zekerheid vaststellen dat een e-mail vanaf een server geautoriseerd door een bepaald domein is verzonden. Maar op de zaak hebben we wel eens een behoorlijk overtiuigende phishingmail van een transportbedrijf ontvangen (waar wij eerder mee hadden gemaild) nadat 1 of meer e-mail accounts van hen waren gehacked.

Aan een "kale" e-mail (zoals op smartphones wordt getoond) kun je onmogelijk zien of de afzender is wie zij zegt dat zij is. Het is dus helemaal niet gek dat mensen in phishingmails trappen.

Temeer daar het op internet barst van de goedbedoelde maar stupide pagina's die beschrijven hoe je phishingmails zou kunnen herkennen, en mensen dus worden gebrainwashed met het waanidee dat zij phishingmails kunnen herkennen.

Alsof het niet om een phishingmail kan gaan als er geen taalfouten in staan, jij maar 1 "Hans Jansen" kent en hij de afzender is volgens jouw mail programma, en er geen link in de mail staat waar je vandaag nog op moet klikken. En alsof het zeker om een phishingmail moet gaan als de afzender van een andere mail ineens "Jansen, J." heet, er 1 of meer taalfouten in de mail staan en je gevraagd wordt om vandaag nog op een link in de mail te klikken.

Als zelfs getrainde spamfilters soms legitieme mail voor spam aanzien of juist spam en phishingmails doorlaten, wat kun je dan van drukke (of verveelde/ongeïnteresseerde) werknemers verwachten?
14-07-2018, 07:14 door Anoniem
Kort samengevat: het is zo lek als een mandje. Waarom ben ik niet verbaasd?
14-07-2018, 08:28 door Anoniem
Door Anoniem: Tijdens een mock spear phishing test ? Rare manier van handelen. Zo zijn de uitkomsten, m.b.t. de vraag hoeveel personeelsleden in de aanval stonken, ook niet meer betrouwbaar. Doordat voor velen, door de blokkade de ''phishing'' pagina niet langer bereikbaar was.
Het zegt weer wel iets over hoe weerbaar de organisatie als geheel is. Verschillende manieren van testen brengen verschillende dingen aan het licht. Uit het rapport blijkt duidelijk dat ze voor deze test bewust het verrassingseffect hoog wilden houden en daarom zo min mogelijk mensen erbij hebben betrokken.
14-07-2018, 09:35 door Anoniem
Door Anoniem: Was wel te verwachten: IT en ambtenaren!!! En dan een nieuwe bewustwordingscampagne
Kijk eens hoe dingen echt werken in plaats van domme opmerkingen van de daken te schreeuwen, daar maak je alleen maar een slechte indruk mee.

Ambtenaren zijn geen andere diersoort, het zijn doodgewone mensen met een bepaald type werkgever. De mensen die ik ken die voor overheden werken zijn meestal doortastende, resultaatgerichte mensen waar commerciële bedrijven blij mee zouden zijn. In het bedrijfsleven heb ik meer dan genoeg mensen meegemaakt die regels en procedures een doel op zich vinden en die vaak met "ambtenaar" aangeduid worden.

Denken in stereoptypen, zoals jij duidelijk doet, is een recept voor het totaal verkeerd inschatten van situaties, en op basis van verkeerde inschattingen neem je verkeerde beslissingen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.