Nee hoor, als je gewoon gebruik maakt van degelijk inlogmiddelen zoals security keys of smartcards kun je helemaal geen slachtoffer worden van phishing. Dit is daarnaast ook geen probleem van gebruikers, maar van de bedrijven die geen sterke authenticatie middelen ondersteunen.

In plaats van mooie praatjes houden zou de minister er eens voor moeten zorgen dan wij als burgers op een veilige manier kunnen inloggen bij Digid. En daarna besluiten dat als bedrijven geen maatregelen tegen phishing nemen, dat niet als 'passende en adequate beveiliging' gezien mag worden. Eens kijken hoe snel het probleem dan opgelost zou zijn...

Ideetje: gewoon stoppen met die digi-dwang vanuit de Roverheid en banken?

Ik snap niet echt je punt.

Natuurlijk moet binnen het bedrijf alles zo secure mogelijk zijn, maar de zwakke schakel is en blijft de werknemers.
Ik vind het een goed idee om toelichting te brengen aan mensen die hier nog nooit over gehoord hebben.

Als je werknemers niet weten hoe ze veilig met mails links etc kunnen omgaan dan is het bedrijf ook snel tegen de grond, kijk maar eens naar de laatste paar nieuwsberichten.

Het is niet wat we willen zien maar ik vind dat we ergens moeten beginnen met mensen informeren, en dit is een goed begin.

Daarom zijn er onder bankrekeninghouders ook geen phishing-slachtoffers.

Oh, wacht...
https://nos.nl/artikel/2277755-schade-banken-door-phishing-neemt-explosief-toe.html

Nee, het kan alleen sukkels overkomen die niet op hun hoede zijn, de risico's niet kennen en geen verstand hebben van hoe het werkt. (en dat zijn er nogal wat).

Of hoeft bijvoorbeeld niemand zich als inbreker meer te schamen als er heel veel mensen inbreken?......
Misschien moet de overheid behalve de nogal stupide term "scheefwonen" eindelijk eens de intelligente term "scheefredeneren" introduceren?

Pressbrainsharder

Met smarcard doel ik een cryptografische handtekening op de (TLS) verbinding met de website van de bank. Dat is iets meer dan alleen een chipje op je bankpas. Dat er mensen slachtoffer worden van phishing bij banken is dus niet zo bijzonder, de banken bieden namelijk geen veilige inlogmethodes aan. Sterker nog, als ik de nieuwe Strong Customer Authentication (SCA) sectie van de PSD2 lees lijkt het erop dat de hele sector er zoveel mogelijk aan doet om vast te houden aan oude en onveilige inlogmethoden (specifiek de transactie verificatie codes e.d.)

Mijn punt is dat die zwakke schakel bij phishing (gebruikers die op een neppe website inloggen) helemaal geen zwakke schakel hoeft te zijn. In het algemeen ben ik het zeker met je eens dat bewustwording nodig is, ook om een heel aantal andere dreigingen tegen te gaan als CEO fraude e.d., maar in dit geval is het zeker mogelijk om je systeem zo in te richten dat er geen phishing kan plaatsvinden. Ik blijf het frappant vinden dat iedereen opeens doet alsof dit een probleem is dat de gebruikers zouden moeten oplossen (en de overheid ze zou moeten helpen met dit soort bewustwordingscampagnes). Dat is gewoon onjuist, bedrijven zouden veilige inlogmethoden moeten aanbieden, dan zou het hele probleem van phishing niet bestaan.

Om het nog even in de woorden van Google te beschrijven van vorige week:
"In fact, zero users that exclusively use security keys fell victim to targeted phishing during our investigation." https://security.googleblog.com/2019/05/new-research-how-effective-is-basic.html

Opvallend, dat de specialisten hier meteen vol in de aanval gaan op de techniek, terwijl de zwakste schakel toch de , al dan niet onwetende of domme, gebruiker is.

Er is op technisch gebied heel wat te bedenken om de zwakkere in de samenleving en digibeten beter te beschermen.
Bijvoorbeeld een controle mechanisme als je op een ander device inlogt bij je bank. Of transacties naar nieuwe bankrekeningen met 24 uur uitstellen en hier een SMS voor sturen. Grote bedragen uitstellen en extra laten accorderen. Desnoods door een tweede persoon hetgeen handig is voor verwarde ouderen en mentaal zwakkere personen.

Juist voor privérekeningen is er heel wat te bedenken, zodat je als je de telefoon neer hebt gelegd of het mailtje verstuurd hebt het e.e.a. nog terug kan draaien. Dit voorkomt al veel leed.

Wat ben je goed!

Zou je als hoogbegaafde niet-sukkel de test misschien willen doen waarvan ik helemaal onderaan deze post de URL hebt geplaatst en daarna eerlijk met ons de uitslag delen?
Wij, sukkels, wachten eerbiedig af want we zullen ongetwijfeld veel kunnen leren van je kundige geniale argusogen op het gebied van herkenning van phishing.

https://phishingquiz.withgoogle.com/

Pijnlijk. Eén fout vind ik oké dat ik die niet zag, maar die andere had niet mogen gebeuren.

bij vraag 1 had ik al een probleem, maar gezien ik net pas wakker ben en nog geen koffie op heb ,oeps...

Alleen bij vraag 4 voor de dropbox had ik mijn twijfels, gezien mijn naam bekend is, zou ik verwachten met meneer ...
aangesproken te worden.

en bij vraag 8 had ik mijn twijfels, en drukte op phisie.

6 van de 8 goed, niet verkeerd, maar toch ik in een echte situatie nu een probleem hebben gehad.

Je kunt niet verwachten dat iedere werknemer alle 'red flags' herkent. Als IT'er moet je er toch minimaal 9 v.d.10 herkennen.

Mijn ervaring is dat de collega-werknemer geen tijd neemt om de email goed te lezen, waarom ? Ze willen alles zo snel mogelijk af hebben. Tijdsdruk...

Een deel is technologisch af te vangen, maar het trainen van personeel is waar de grootste winst (op het moment) valt te halen. Je moet ze een beetje opvoeden om niet overal zomaar op te klikken.

Minister: slachtoffers van phishing hoeven zich niet te schamen
Deze reacties: Jawel

Zal het probleem van phishing echt verhelpen. Maarja, alles is voor jou natuurlijk schuld van overheid & banken. Jij wil zeker alles op papier, niet digitaal, en je hebt daarbij vast en zeker geen bezwaar tegen extra kosten, omdat dat duurder is, en minder efficient.

Dus jouw conclusie is dat het slachtoffer zich niet hoeft te schamen. Het is namelijk de schuld van de organisatie en niet van de individuele gebruiker die er in is getrapt.

En ook bedrijven hoeven zich niet te schamen. Criminelen hebben ook al technieken ontwikkeld om misbruik te maken van 2FA.


En een aanvaller heeft alleen maar die ene overblijvende nodig om binnen te komen.

Ik ken het verhaal van iemand die binnen de organisatie zelf phishingtesten uitvoert. En toch blijkt hij in zijn eigen test te kunnen trappen. Op vrijdag de test klaargemaakt. Druk, stressvol weekend. En maandagochtend komt hij op het werk en wil snel wat dingen oplossen. En dan is een verkeerde klik zo gemaakt.

Of een voorbeeld dat ik zelf geef als iemand weer technische oplossingen, zoals een virusscanner, voorstelt. Ik ben een keer in mei besmet geraakt. De virusscanner vond de malware pas in september. Gelukkig had ik ook een goede firewall, zodat de malware niets had kunnen doen. Maar het toont aan dat technische oplossingen misschien in een aantal gevallen helpen, maar het probleem niet oplossen.

Peter

In plaats van mooie praatjes houden zou de minister er eens voor moeten zorgen dan wij als burgers op een veilige manier kunnen inloggen bij Digid. En daarna besluiten dat als bedrijven geen maatregelen tegen phishing nemen, dat niet als 'passende en adequate beveiliging' gezien mag worden. Eens kijken hoe snel het probleem dan opgelost zou zijn...[/quote]

Veilig internetten begint bij jezelf en dat is ook zo voor DigiD.

Dit soort domme opmerking horen niet op dit forum

Je had het niet alleen over smartcards, je schreef "security keys of smartcards".

Onzin, hoe " veilig" je het ook maakt, als de gebruiker zijn gegevens blijft afgeven, helpt de beste inlog ook niet.

Alles gewoon markeren als verdacht,.
dan kan er nooit wat fout gaan.

Als je ergens op drukt, dan verwacht je binnen enkele minuten een mail te krijgen dat je iets moet doen.
Als je onverwacht ergens een mailtje van krijgt dan kan je het vaak al meteen weggooien.

Aangezien we de tijdlijn niet precies weten van deze voorbeelden is dat meteen al wat lastiger in te schatten (nummer 8 b.v)
Verder alles goed hier.

Ach, onze grappenmaker doet weer eens een uitspraak. In tegenstelling tot zijn bewering vind ik dat mensen zich wel degelijk mogen schamen wanneer ze in phishing trappen. Ik geef regelmatig cyberweerbaarheidstrainingen en daarin laat ik o.a. diverse vormen van phishing zien maar ook de gevolgen ervan. Tijdens de training herkent vrijwel iedereen de phish en geeft aan daar niet in te trappen. Mooi resultaat denk je, tot ik de volgende dag één van de mailtjes aan de groep stuur, die ze er eerder haarfijn tussenuit pikten. Dan krijg ik geheid een respons van ruim een kwart die er toch in trapt. Dan mogen de mensen zich echt wel gaan schamen hoor.
Als we kijken naar alle aandacht die cybercriminaliteit de afgelopen jaren heeft gehad maar dat er nog steeds veel teveel mensen nog steeds in trappen betekend dat er iets bij het volk niet helemaal goed zit tussen de oren. Meestal telt een gewaarschuwd mens voor 2 maar het lijkt wel alsof ze zich allemaal in de afgrond blijven storten ofschoon er allemaal rode vlaggen wapperen.
Neem nu de Instagram en Whatsapp fraude, of je even iemand geld kan sturen. Regel 1 is even bellen met degene i.p.v. dom gewoon geld over maken. Al iemand wel online is maar geen telefoon beantwoord weet je eigenlijk al genoeg.
Gezond boerenverstand lijkt bij veel mensen tegenwoordig geheel afwezig te zijn.
Misschien klinkt bovenstaande wel niet politiek correct maar ik ben van mening dat iedereen wel degelijk een eigen verantwoordelijkheid heeft om zich te informeren maar ook om zichzelf tegen cybercriminaliteit te beschermen.
Maar wat mij niet aanstaat is, als mensen dan toch slachtoffer worden, dat de Politie er vervolgens niets mee doet. Daar zou onze grappenmaker zich ook eens druk over moeten maken. Slachtoffers van identiteitsfraude staan volledig in de kou en worden dubbel gepakt omdat de Politie het werk niet doet.

Veilig internetten begint bij jezelf en dat is ook zo voor DigiD.[/quote]Welke maatregelen zou een bedrijf tegen phishing zou moeten nemen. Hoe vaak geeft een bank niet aan, dat ze NOOIT om bepaalde gegevens vragen en bepaalde gebruikers vullen ze gewoon in.

Wat vind jij een veilige manier? Een authenticatie app? Die is er.


Dat kan de minister niet besluiten. Dat is bij wet neergelegd bij de AP.


Juis, dus installeer die DigiD app.

Peter

Een inlogmethode op basis van een open standaard die bescherming biedt tegen een top 10 risico: phishing.

Handhaving is inderdaad bij het AP gelegd, maar deze verwijst geregeld door naar andere partijen zoals het NCSC om te bepalen wat wel en niet als veilig gezien kan worden. (Zie bijvoorbeeld de nieuwsberichten laatst over de nieuwe TLS handleiding).

Overheids spyware die je door de stort gedrukt wordt. Laat ze eerst die broncode maar eens publiceren zodat we zelf kunnen zien wat er achter de schermen allemaal gebeurt en hoeveel gegevens over je toestel er verzameld wordt.

(Zelf heb ik de app vroeger ook nog wel gebruikt en kan het nog steeds aanraden als je iets van bescherming wil. Toch moet er ergens iemand iets van zeggen dat de hele mobile centric visie van de overheid is doorgeslagen)

Juist iets wat de DigiD app vrij goed doorvoert. Hij is vrij goed tegen phishing mogelijkheden.

Opbasis waarvan doe jij je spyware conclusie? Fingerspitzengefühl?

Toch moet er ergens iemand iets van zeggen dat de hele mobile centric visie van de overheid eindelijk steeds meer visie opleverd. Ze gaan vooruit, bieden nieuwe en verbeterde functionaliteit.

Ofwel ze zijn op de goede weg. Dat wil niet zeggen dat ze op hun eind bestemming zijn.

Enkele maanden geleden kon ik via een Evilginx proxy, custom domain en de Digid app (niveau substantieel, afgedwongen) gewoon inloggen. Dat geeft aan dat er geen enkele bescherming tegen phishing aanwezig is in de Digid app, anders had dat niet kunnen werken. Overigens is het 'niet kopieerbaar' vereiste niet verplicht gesteld voor alle bestaande inlogmethoden, dat is het alleen bij Digid Hoog wat nog niet bestaat. Er is dus ook geen enkele noodzaak vanuit de standaard om rekening te houden met phishing in de app zoals die nu gebruikt wordt.

Ik ben een zwaar tegenstander van het idee dat alle burgers in Nederland maar een Apple of Google smartphone moeten aanschaffen en dan tal aan overheids apps moet installeren om zo digitaal zaken te kunnen doen. Dat is wat de mobile centric visie van de overheid behelst.

Allemaal leuk en aardig die apps, zolang het maar extra en optioneel is. Het zou beter zijn als de overheid alles op basis van open standaarden zou gaan aanbieden. Iets als een normale website die je via HTTP(S) ophaalt bijvoorbeeld, dat werkt al jaren prima. Dan neem ik mijn eigen webbrowser wel mee.