Computerbeveiliging - Hoe je bad guys buiten de deur houdt

E-mail klikvee?

25-10-2018, 03:43 door Bitwiper, 17 reacties
Laatst bijgewerkt: 25-10-2018, 03:58
Naar aanleiding van bijdragers op security.nl (o.a. in https://www.security.nl/posting/583793/Microsoft%3A+20+procent+gebruikers+klikt+meteen+op+malafide+link) die stellen dat "gebruikers overal op klikken in e-mails", het volgende.

Kinderen klikken waarschijnlijk zonder nadenken op links in mails of openen bijlagen, maar ik ben in mijn (lange) loopbaan, bij veel organisaties, nog nooit medewerkers tegengekomen die "zomaar" overal op klikken. Ze klikken op links of openen bijlagen na te zijn misleid.

Het is voor niet-specialisten simpelweg ONMOGELIJK om een "goede" nepmail van een echte mail te onderscheiden.

Want ALLEEN als de ontvanger het SMTP adres achter From: ziet (of zichtbaar gemaakt heeft), zeker weet dat het afzenderdomein legitiem is (niet gefopt is door een lijkt-op domeinnaam) en de ontvanger ofwel:
- de headers bekijkt, snapt hoe die in elkaar zitten, het zendende IP-adres weet te vinden, en in staat is om vast te stellen dat het om een legitieme mailserver gaat voor het domein in het SMTP afzenderadres achter From;
- zeker weet dat zowel de afzendende als de ontvangende mailserver tenminste SPF en DMARC afdwingen en spammers die protocollen niet hebben weten te omzeilen of misbruiken;
dan weet de afzender redelijk zeker dat het afzenderdomein klopt.

DAARNAAST moet de ontvanger zeker weten:
- Dat de user-identity in het SMTP adres daadwerkelijk toebehoort aan de (in mail clients altijd getoonde) naam van de afzender (wat natuurlijk niet opgaat voor "Ziggo" of SMTP afzenders zoals noreply@);
- Dat het bij de naam van de afzender daadwerkelijk gaat om de persoon waar de ontvanger van denkt dat het om gaat. Daarmee bedoel ik dat het dus niet om een persoon gaat met toevallig dezelfde naam (er zijn meerdere Jan Jansen's met een gmail account) maar ook dat de eigenaar van "dat account" niet aan anderen toestemming heeft gegeven om namens dat account te mailen, zoals o.a. Ziggo doet met verschillende bulkmailers, maar ook bobo's die hun managementassistentes toegang geven;
- Dat het betreffende account niet gehacked is, niet door een foute beheerder (tijdelijk) is "overgenomen", niet is verlopen en door een bedrieger in gebruik is genomen (dat geldt trouwens ook voor het afzenderdomein), of een device met (wellicht wachtwoordloze) toegang tot het e-mail account van de afzender niet in verkeerde handen is gevallen (denk bijv. aan een gestolen of om een ergens vergeten en door een onaardig iemand gevonden smartphone);
- Dat die afzender zelf zodanig te vertrouwen valt dat je daar geen mail met kwaadaardige link(s) van hoeft te verwachten (iets dat je bij een sollicitant of potentieel nieuwe klant natuurlijk nooit kunt weten).

Ik zie mijzelf niet als een gewone gebruiker en zie af en toe mails voorbijkomen waarvan ik niet simpelweg kan zien of die mail echt is of nep. En waarbij ik dan bijlagen zelf analyseer en/of met VirusTotal aan de slag ga en/of met dichtgetimmerde browser op URLs klik en kijk waar ik uitkom, of bel - om nep van echt te kunnen onderscheiden.
Voorbeeld: zie https://www.security.nl/posting/583793/#posting583845

Voorlichting geven gaat je in een steeds kleiner deel van de gevallen helpen. Want hoe meer gebruikers slecht gemaakte nepmails herkennen, hoe beter de nepmails worden. Een race die je nooit gaat winnen dus.

Wij techneuten hebben het gedrocht gemaakt dat we e-mail noemen. Inderdaad kun je met techniek niet vaststellen of een afzender te vertrouwen is. Maar er bestaan wel technieken om, welliswaar niet met 100% zekerheid, vast te stellen of de afzender is wie zij zegt dat zij is en/of je eerder met diezelfde identiteit hebt gemaild. Allemaal technieken die -tot nu toe- zo brak aan het concept e-mail zijn toegevoegd, dat er regelmatig ernstige fouten in worden gevonden en die zo gebruiksonvriendelijk zijn dat bijna niemand ze inzet.

Je bent een BOFH als je doorsnee gebruikers verwijt dat ze (in e-mails, het onderwerp van deze thread) overal op klikken.
Reacties (17)
25-10-2018, 07:43 door Tha Cleaner
Ben ik niet met je eens.

Heb ook wel eens mee gemaakt dat men bij mij kwam vragen om mij te helpen met een T-Mobile factuur. Factuur wou niet openen. Toen ik vroeg waarom men deze opende omdat ze bij Vodafone zitten. Antwoord was, ik vond het al wat vreemd, maar het was een factuur..... En ze zijn de financiële administratie...

Zo kan ik er nog wel een paar noemen.

Daarom is atp best een hele goede extra beveiliging
25-10-2018, 07:48 door Anoniem
Door Tha Cleaner: Ben ik niet met je eens.

Heb ook wel eens mee gemaakt dat men bij mij kwam vragen om mij te helpen met een T-Mobile factuur. Factuur wou niet openen. Toen ik vroeg waarom men deze opende omdat ze bij Vodafone zitten. Antwoord was, ik vond het al wat vreemd, maar het was een factuur..... En ze zijn de financiële administratie...

Zo kan ik er nog wel een paar noemen.

Daarom is atp best een hele goede extra beveiliging

Precies..... hier ook. In de snelheid van de dagelijkse werkzaamheden, slecht lezen en slecht luisteren.
25-10-2018, 09:11 door Anoniem
Ben ik niet met je eens.

Heb ook wel eens mee gemaakt dat men bij mij kwam vragen om mij te helpen met een T-Mobile factuur. Factuur wou niet openen. Toen ik vroeg waarom men deze opende omdat ze bij Vodafone zitten. Antwoord was, ik vond het al wat vreemd, maar het was een factuur..... En ze zijn de financiële administratie...

Komt precies neer op wat de TS stelt - ''Ze klikken op links of openen bijlagen na te zijn misleid.''. Goed voorbeeld van misleiding. Grappig hoe mensen het niet met elkaar eens zijn - om vervolgens elkaars standpunt te bevestigen.
25-10-2018, 09:46 door Anoniem
Het gelinkte artikel heeft een kop die stelt dat 20% van de gebruikers meteen op een malafide link klikt, maar de eerste zin van dat artikel zegt al wat anders:
Twintig procent van de Office 365-gebruikers die een e-mail met malafide link ontvangt opent deze link binnen de eerste 5 minuten
Daar kan het voorbeeld van Tha Cleaner 07:43 ook makkelijk onder vallen.

Ik krijg de indruk dat sommigen meteen de inhoud van de kop als centrale boodschap van een nieuwsbericht overnemen terwijl je binnen de eerste vijf minuten (en nog veel sneller) makkelijk kan vaststellen dat het bericht zelf genuanceerder en informatiever is. Als je het bericht geïnterpreteerd hebt zoals de kop het omschreef, sta er dan eens bij stil dat je in wezen hetzelfde is overkomen als iemand die een valse e-mail voor echt aanzag: je hebt niet goed opgelet en daardoor iets verkeerd beoordeeld.
25-10-2018, 12:55 door Anoniem
Een probleem dat al meer dan 40 jaar onder ons is, spam & scam.

Zolang er maar iemand op klikt, blijft het doorgaan.

Junk-mail flikker ik weg, na de afzender gecheckt te hebben.
Alles wat er door het spamfilter komt en ik niet herken als legitieme afzender (ook van mijn bank bijvoorbeeld,
die verklaard nooit iets kan sturen) jaag ik naar de eeuwige digitale vergetelheid.

Er is nog eens een tijd geweest dat men spammers en scammers met een braatolizer-actie de gordijnen in kon krijgen,
maar dat is verleden tijd. Kan natuurlijk niet, want eigen richting zoeken, maar eigenlijk zouden Ddos-ers moeten mogen oefenen op bekende spam-bronnen. Ja ook spammers tot op zekere hoogte worden bij wet beschermd.

Kun je spammers en forum-spammers eigenlijk met de wet in de hand sinkholen?

Ergo - het verkeerd klikken probleem zal nog wel lang onder ons blijven.
25-10-2018, 13:37 door Anoniem
Je moet geen onnodige angst verspreiden over het klikken van een weblink. Klikken op een weblink is niet het probleem, dat is onschadelijk in 99,999% van de gevallen.

Wat wel gevaarlijk is, is het openen van gedownloade executables, het geven van je user ID en wachtwoord en je PC niet voorzien van de laatste updates. Dat laatste gebeurt automatisch sinds Windows 7, de kans dat je een via een exploit besmet raakt is nihil. Zero days voor desktopbesturingssystemen zijn kostbaar en worden zelden grootschalig gebruikt voor alledaagse internetcriminaliteit.

De enige uitzondering (de andere 0,001%) zijn organisaties of personen die het doelwit zijn van (buiten/binnenlandse) inlichtingendiensten, politie en geavanceerde computercriminaliteit, bijvoorbeeld digitale bankrovers.
25-10-2018, 14:59 door Anoniem
Gewone email in zijn huidige vorm is een onding (security en privacy threat), en het is ook veel te makkelijk om te mailen,
zodat je er ook nog eens extra werk van hebt. Ook het zorgvuldig antwoorden formuleren en typen kost mij extra tijd.
Privé gebruik ik email daarom zo weinig mogelijk.

Iemand me echt nodig? Ga lekker bellen/inspreken. (of een korte efficiente SMS)
En ik heb een brievenbus. Iets lastiger, duurder en langzamer, maar daardoor krijg ik er juist niet teveel flauwekul in.

Maar ik snap wel dat email in zakelijke omgevingen vaak onontbeerlijk is geworden, hoewel niet overal.
Er is wel eens een bedrijf geweest dat email er heeft uitgeknikkerd en vervolgens steeg de efficiency met tientallen procenten.

Wat mij betreft is het wachten is op een betere emailstandaard die liefst wereldwijd wordt geaccepteerd.. (secure mail)
Daar bestaan al wel verschillende versies van, maar er zal een keuze moeten worden gemaakt welke de beste is,
eventueel nog met de nodige aanpassingen. Niet dat al het andere weg moet, maar laat er een goede standaard zijn.
Een andere mogelijkheid is landelijk een veel veiliger universeel Mailbox-systeem te ontwikkelen waarvan privacy en security veel beter gegarandeed zijn.
25-10-2018, 16:10 door Anoniem
De enige uitzondering (de andere 0,001%) zijn organisaties of personen die het doelwit zijn van (buiten/binnenlandse) inlichtingendiensten, politie en geavanceerde computercriminaliteit, bijvoorbeeld digitale bankrovers.

Of je komt terecht op een website, met een exploit kit of ransomware. Geef geen advies, als je niet weet waarover je het hebt. Gebeurt namelijk dagelijks, en de laatste patches helpen lang niet altijd.
25-10-2018, 16:50 door Anoniem
Door Anoniem:
De enige uitzondering (de andere 0,001%) zijn organisaties of personen die het doelwit zijn van (buiten/binnenlandse) inlichtingendiensten, politie en geavanceerde computercriminaliteit, bijvoorbeeld digitale bankrovers.

Of je komt terecht op een website, met een exploit kit of ransomware. Geef geen advies, als je niet weet waarover je het hebt. Gebeurt namelijk dagelijks, en de laatste patches helpen lang niet altijd.

Eerst lezen voordat je reageert. En plaats, de komma's, op de juiste plek, in een zin.

Je hebt ook een beetje last van het Dunning–Kruger effect.
25-10-2018, 17:04 door Bitwiper
Door Anoniem:
De enige uitzondering (de andere 0,001%) zijn organisaties of personen die het doelwit zijn van (buiten/binnenlandse) inlichtingendiensten, politie en geavanceerde computercriminaliteit, bijvoorbeeld digitale bankrovers.

Of je komt terecht op een website, met een exploit kit of ransomware. Geef geen advies, als je niet weet waarover je het hebt. Gebeurt namelijk dagelijks, en de laatste patches helpen lang niet altijd.
Inderdaad. Of de gebruiker krijgt een pop-up met de melding dat Flash Player, Adobe Reader of wat dan ook verouderd is of niet is geïnstalleerd maar wel nodig is om de site te bekijken (onzin natuurlijk) en er "dus" software of een software-update moet worden geïnstalleerd.

Vooral als de site als twee druppels lijkt op een bekende website, en helemaal als er een slotje getoond wordt, zijn de meeste mensen eenvoudig te misleiden
25-10-2018, 20:09 door Anoniem
"Het is voor niet-specialisten simpelweg ONMOGELIJK om een "goede" nepmail van een echte mail te onderscheiden."
Dank je wel dat je mij een specialist vindt. Ben het alleen niet. (heb je hem of moet ik hem uitleggen?)
25-10-2018, 20:53 door Anoniem
vaker opgemerkt hier :

Op het moment dat je je medemens als Vee gaat betitelen en bekijken
ben je in idee al niet ver meer verwijderd van het vervoer van mensen als vee,
ze onmenselijk, als beesten te behandelen.


Deze mensen waren in ieder geval slachtoffer van klikkers en werden behandeld als vee.
https://nl.wikipedia.org/wiki/Bestand:Bundesarchiv_Bild_183-N0827-318,_KZ_Auschwitz,_Ankunft_ungarischer_Juden.jpg

Heb respect voor anderen en benoem ze niet als vee.
Omdat het niet respectvol is en dus ook nogal historisch beladen.

Kap er dus mee!
25-10-2018, 21:06 door Anoniem
Slowing down a bit

Thunderbrird config edit for safety reasons

From true to false
network.protocol-handler.external-default;false

Warnings true
network.protocol-handler.warn-external-default;true

https://www.ghacks.net/2013/01/20/fix-for-thunderbird-not-opening-links/

Restricting user actions - Thunderbird
http://kb.mozillazine.org/Restricting_user_actions_-_Thunderbird
25-10-2018, 22:04 door Bitwiper - Bijgewerkt: 25-10-2018, 22:16
Door Anoniem:
Door Bitwiper: Het is voor niet-specialisten simpelweg ONMOGELIJK om een "goede" nepmail van een echte mail te onderscheiden.
Dank je wel dat je mij een specialist vindt. Ben het alleen niet. (heb je hem of moet ik hem uitleggen?)
Nee hoor.

Het zou best kunnen dat jij een specialist bent zonder het te weten, en dus niet als een Dunning-Kruger type (zie bijv. [1] en [2]) een relatief groot risico vormt voor jouw (werk- of andere-) omgeving. Vergelijkbaar denk ik: aangezien de meeste automobilisten vinden dat zij zelf beter rijden dan de gemiddelde automobilist, moet de schoen wel ergens wringen. Ervan uitgaande dat je een rijbewijs hebt, wat vind jij van jouw rijkunsten?

En in welk kwadrant zit jij?
Onbewust onbekwaam| Bewust onbekwaam
------------------+-----------------
Onbewust bekwaam .| Bewust bekwaam

Op internet zijn verschillende onderzoeksbeschrijvingen te vinden waaruit steeds blijkt dat, op het gebied van het herkennen van phishing mails en mogelijk van malware voorziene e-mail bijlagen, de meeste gebruikers hun vaardigheden overschatten. En dat phishers geraffineerder worden bij een relatief afnemend aantal gebruikers dat hen doorziet, blijkt uit bijv. [3].

[1] https://www.forbes.com/sites/markmurphy/2017/01/24/the-dunning-kruger-effect-shows-why-some-people-think-theyre-great-even-when-their-work-is-terrible/
[2] https://en.wikipedia.org/wiki/Dunning%E2%80%93Kruger_effect
[3] https://www.security.nl/posting/583687/Fraude+met+internetbankieren+verdubbeld+door+phishing
28-10-2018, 20:51 door Anoniem
Door Bitwiper:

in welk kwadrant zit jij?
Onbewust onbekwaam| Bewust onbekwaam
------------------+-----------------
Onbewust bekwaam .| Bewust bekwaam

Bewust onbekwaam : bewust (ik), onbekwaam (thunderbird)
Zie, 25-10-2018, 21:06

Of

Onbewust bekwaam : Onbewust ('ik'), bekwaam (iOs / Mac / Linux -device)
Zie, 25-10-2018, 21:06

Op internet zijn verschillende onderzoeksbeschrijvingen te vinden waaruit steeds blijkt dat, op het gebied van het herkennen van phishing mails en mogelijk van malware voorziene e-mail bijlagen, de meeste gebruikers hun vaardigheden overschatten.
Waarbij je dus (als al eerder gehint) vergeet dat dat soms op terechte aannames is gebaseerd, windows malware werkt niet onder linux of onder macos, of androit, of iOs en alle andere variabelen die je daarbij nog kan verzinnen.
Bij niet windows of android gebruik zit je statistisch gezien al verrekte veilig en dat mag je best meenemen in je basis houding. Sterker nog het is nogal eens het uitgangspunt om van andorit of windows af te stappen, helemaal geen gekke keus als techniek gewoon te moeilijk voor je is.

Fraude met internetbankieren is sterk afgenomen en dat zou weer kunnen doordat veel mensen niet met de browser maar met een app bankieren, het risico is dan beperkt tot het downloaden van de verkeerde app, maar dat schijnt mee te vallen.
Bankapps zijn vermoedelijk wel weer xtreem slecht voor je privacy, maar dat interesseert zelfs dunning kruger lovers niet.
29-10-2018, 14:23 door Bitwiper
Door Anoniem:
Door Bitwiper: Op internet zijn verschillende onderzoeksbeschrijvingen te vinden waaruit steeds blijkt dat, op het gebied van het herkennen van phishing mails en mogelijk van malware voorziene e-mail bijlagen, de meeste gebruikers hun vaardigheden overschatten.
Waarbij je dus (als al eerder gehint) vergeet dat dat soms op terechte aannames is gebaseerd, windows malware werkt niet onder linux of onder macos, of androit, of iOs en alle andere variabelen die je daarbij nog kan verzinnen.
Hmm...

Je hebt gelijk dat de kans dat een malware-bevattende, en/of na-ladende, bijlage bij een e-mail die zonder voorkennis over jou naar jouw e-mail adres is gestuurd (geen "spear phishing" dus) werkt onder een ander OS dan Windows, nog steeds relatief klein is.

Echter:
1) Fijn voor jou dat jij de luxe hebt om een besturingssysteem te kiezen, maar werknemers hebben die keuze zelden (svp geen MS versus whatever discussie, begin je eigen draad als je zo'n -m.i. zinloze- discussie wilt);

2) Hoewel ik in mijn bovenste bijdrage ook malware-bijlagen benoem, zijn dat dergelijke mails formeel geen phishing mails - want daarbij gaat het om het ontfutselen van vertrouwelijke gegevens (meestal logon credentials). Daarmee zijn phishing mails meestal platform-onafhankelijk;

3) Terug naar mails met malwarebijlagen (ik heb ze immers benoemd): het is helemaal niet moeilijk om malware te maken die op meerdere platformen werkt (kijk maar eens naar het recente lek in GhostScript; uit https://www.bleepingcomputer.com/news/security/no-patch-available-yet-for-new-major-vulnerability-in-ghostscript-interpreter/: "For example, you'll find Ghostscript inside ImageMagick, Evince, GIMP, and all PDF editing or viewing software" - en als ik me niet vergis kun je PostScript opnemen in PDF files). De meerwaarde voor de cybercriminelen is echter kennelijk nog te klein voor de moeite - maar door de vervanging van veel thuis PC's door tablets en "slimme" TV's zou ik me niet rijk rekenen;

4) Last but not least gaat deze draad over het niet kunnen onderscheiden van echte- van nepmails, en dat is exact waar je in jouw (neem ik aan) bijdrage van 25-10-2018, 20:09 naar refereerde. Als er na een handeling van de gebruiker een vangnet bestaat dat die gebruiker beschermt, dan is dat mooi, maar strikt genomen is het onderwerp wat het is (en niet wat de uiteindelijke mertbare schade is -indien daar überhaupt sprake van is- want die is van veel factoren afhankelijk).

Door Anoniem: Fraude met internetbankieren is sterk afgenomen en dat zou weer kunnen doordat veel mensen niet met de browser maar met een app bankieren [...]
Als je het artikel, waar ik naar verwees, had gelezen, had je gezien dat daar staat:
Wisten criminelen in de tweede helft van 2017 nog 679.000 euro via fraude met internetbankieren te stelen, in de eerste helft van 2018 is dit gestegen naar 1,56 miljoen euro. 85 procent hiervan is het gevolg van phishing naar toegangscodes voor internetbankieren.
29-10-2018, 15:15 door Anoniem
Eerst lezen voordat je reageert. En plaats, de komma's, op de juiste plek, in een zin. Je hebt ook een beetje last van het Dunning–Kruger effect.

Als je inhoudelijks niets meer te melden helpt, dan maar persoonlijk worden. Volstrekt inhoudsloos.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.