Phishing, is dat niet iets wat Google doet, als ik Chrome gebruik en via Google een zoekopdracht doe.
Je slaat zomaar van alles en nog wat aan de reclame haak.

Hier kan ik de onderzoeker niet volgen. Waarom zou die combinatie gevaarlijk zijn. Als je minder te misleiden bent, is dat toch juist gunstig en niet gevaarlijk? Ik zou eerder zeggen dat dit elkaar compenseert.

Gelukkig weten we inmiddels in Nederland wel beter. Haal binnen, klik open, bel de Nigeriaanse bank, was het toch?

158 proefpersonen is niet echt representatief te noemen. Google heeft vast wel meer gebruikers….
@redactie: aub iets kritischer zijn met herpubliceren, ook in komkommertijd.

Ik zou maar eerst eens via Google opzoeken, wat phishing is, je komt nu een beetje dom over!

Chrome is spyware, google is datacenter, reclame zijn de ads en phishing is iets anders wat niets te maken heeft met google/chrome/andere browsers. phishing komen van hackers die geld willen stelen via een nepwebsite die gecloned is van een real website waardoor gebruikers inloggen op de nepwebsite met dezelfde ingeloggegevens van de echte website. Ook bankgegevens en persoonlijke pincodes enzovoort kunnen overgemaakt worden via plain text naar de hacker als je op een phishing website zit waar je de form invult en vervolgens verzend.

Het gaat niet over "minder te misleiden" maar over minder gevoeligheid voor misleiding,
(waardoor misleiding dus minder goed wordt gedetecteerd)

Maar er leek met deze tekstformulering inderdaad te worden "gephisht" naar een response zoals jij die gaf!
(het scheelde niet veel of ik had net zo'n reactie gegeven als jij, maar routinematig 1x extra nadenken voorkwam dit)

Voel je je nu oud Briolet? ;))

Dit intrepreteert u onjuist:
Je hebt minder snel door dat je misleid wordt.

Blijkbaar. Als het anders bedoeld is, gaat dat tegen mijn intuïtie in. Ik zou verwachten dat je wijzer wordt met toenemende leeftijd. Je herkent veel meer soorten phishing door ervaring en bent dus minder te misleiden. Ik had dus verwacht dat een 20er just beter te misleiden was als een 40er.

Maar zoals @herbert28 al opmerkt is een steekproef van 158 veel te klein is om zulke conclusies te trekken.

Heel toevallig werd ik hier vorige week weer op gewezen dat een steekproe van 100 te klein is. Ik moest een partij van ca 200 artikelen controleren op defecten. In de eerste 100 vond ik er 1 en in de 2e 100 zaten er 6.
Als ik alleen de 1e honderd getest had, had ik kunnen denken dat er maar 1% defect was, terwijl het in werkelijkheid 3,5% was.

Een 40'er is nog niet zo heel oud. Tel er nog eens dertig jaar bij op. Behalve dat dingen lichamelijk duidelijk minder aan het worden zijn op die leeftijd gebeurt dat ook op cognitief niveau. Dat ouderen dan ook vaak iets te goed van vertrouwen worden is bekend. Denk aan al het nieuws over oplichters die zich op ouderen richten. Dat is niet alleen onbekendheid met techniek waar ze niet mee zijn opgegroeid, het is ook een verminderd vermogen om list en bedrog in het algemeen te doorzien.

Het web staat vol met steekproefcalculators. Deze bijvoorbeeld:
https://onderzoekscoaching.nl/cms/calculator
Vul een populatiegrootte van 200 in en onderin een respons van 100. Dan zie je dat je bij 95% betrouwbaarheid een nauwkeurigheid van 6,93% hebt (je weet voor 95% zeker dat de werkelijke uitkomst tussen de gemeten uitkomst ±6,93% valt). Als je die nauwkeurigheid veel beter wilt hebben, zeg 1%, dan heb je bij diezelfde 95% betrouwbaarheid een steekproef van 196 van de 200 nodig. Wil je 99% betrouwbaarheid dan moet je 198 van de 200 trekken.

Wat je zag is geen diskwalificatie van steekproeven als hulpmiddel, wat jij zag past keurig binnen de berekende marges (1% + 6,93% > 3.5%). Als je steekproeven doet doe je er goed aan om dit soort tooltjes te gebruiken om de mogelijkheden en beperkingen van je steekproef te kunnen overzien.

Bij een steekproef van 158 uit een enorme populatie weet je voor 95% zeker dat de werkelijkheid tussen de gemeten uitkomst ±7,8% valt, rekent de calculator uit. Bij een uitkomst van rond de helft van de ondervraagden is dat goed genoeg om te kunnen concluderen dat grofweg de helft niet weet wat phishing is.

Het bewijs van: er bestaan leugens, grote leugens, enorm grote leugens en ten slotte bestaan er statistieken.

Een "steekproef" van 100 is perfect in geval er sprake is van in totaal 100 artikelen. (alleen heet het dan geen steekproef meer)

Voor een echte steekproef geldt dat het soms kan gebeuren dat de steekproef er behoorlijk naast zit.
Een grotere steekproefomvang vermindert wel de kans dat dit gebeurt.

Dat is alleen bij de conclusie uit de titel. Maar bij de conclusie dat ouderen gevoeliger zijn is de steekproef kleiner omdat je dan twee steekproeven uit 79 personen hebt. (De jongen en de ouderen).

Ik weet niet hoe groot het verschil in uitkomst tussen die 2 groepen was, maar het verschil zal dan groter dan 10% moeten zijn om te concluderen dat er echt verschil is.

Tijdens mijn studie moeste we dat alles zelf uitrekenen. Maar als je er daarna niets meer mee doet, zakt die parate kennis snel weg.

De onderzoekster gaat ervan uit dat het klikken van een link een faal is, terwijl dat helemaal niet zo hoeft te zijn. Bij mensen met een outlook.com account gaat dat "klikken" vanzelf omdat de link wordt bezocht door Microsoft. En er zijn mensen die (terecht) willen bepalen waar de onzin in de email over gaat. Het klikken van een link is geen doodzonde, anders dan veel nep-securityspecialisten willen doen laten geloven. Je kunt met voldoende maatregelen veilig op een link klikken.

Daarom zijn die tooltjes handig ;-).

Dan heb je dit punt niet begrepen:
Beredeneerd op dingen reageren kost veel tijd en energie, en is in veel dagelijkse situaties te traag. Als je een weg oversteekt en er komt opeens een auto veel te hard aanstormen dan heb je geen tijd om na te denken naar welke kant je het beste uit kan wijken, je moet gewoon wegwezen. Als je tijdens het fietsen nadenkt over je evenwicht ben je niet snel genoeg om jezelf goed in evenwicht te houden.

Ik heb hier meer dan eens boeiende programma's over op tv gezien, vol experimenten die illustreren dat die twee denksystemen bestaan, én dat als je ergens bewust over nadenkt er weinig ruimte voor wat anders is. Als je bijvoorbeeld aan iemand die naast je loopt vraagt hoveel 5*8 is zal die moeiteloos 40 antwoorden, dat zit in je automatische systeem als je op de basisschool je tafels goed hebt geleerd. Als je echter vraagt hoeveel 7*13-43 is zal de ander moeten nadenken en typisch de pas inhouden of zelfs stoppen met lopen omdat zelfs dat niet goed met diep nadenken te combineren is. En mensen die langs een in scene gezette vechtpartij komen terwijl ze met een opdracht bezig zijn die hun hersens goed bezig houdt zien opvallend vaak die vechtpartij straal over het hoofd.

Daniele Oliveira stelt dat voor veel mensen het openen van een link in een e-mail een automatisme is en niet volgens het bedachtzame systeem loopt. Dat hoeft, zoals jij stelt, inderdaad niet zo te zijn, er zijn mensen die heel bewust letten waarop ze klikken en heel bewust maatregelen tegen eventuele risico's hebben opgezet.

Maar ik zou verder willen gaan; ook die mensen zijn niet immuun voor risico's. Heb je wel eens meegemaakt dat je druk met een moeilijk onderwerp bezig bent dat al je aandacht vergt en een manager vraagt je tussendoor snel iets anders af te handelen? Hoe goed deed je dat eigenlijk? In dat soort situaties is het bedachtzame systeem van je brein al overbezet en wordt van alles door je automatische systeem afgehandeld waar je anders veel zorgvuldiger mee zou omgaan. Voor mij is dat niet iets hypothetisch, ik heb meer dan eens bij mezelf en bij anderen kunnen constateren dat in dat soort omstandigheden dingen gedachteloos worden uitgevoerd die wel degelijk met aandacht gedaan moeten worden. Inclusief blunders als Cc gebruiken in plaats van Bcc bij een e-mail aan een groep mensen, terwijl ik toch echt donders goed weet dat dat niet de bedoeling is.

Hier kan je er meer over lezen: https://en.wikipedia.org/wiki/Dual_process_theory

Ik weet dat de meeste onderzoekers hier rekening mee houden. Als extreem veel "kliks" van een machine van Microsoft afkomstig is, dan weet je dat het waarschijnlijk niet de mens zelf is die klikt.


Het klikken van een link wordt wel afgeraden. In de meeste gevallen kom je op een phishing site uit. Als je die wegklikt, is er nog niets aan de hand. Maar er zijn ook gevallen bekend dat het niet om inlogaccounts te doen is, maar om de machine te besmetten. En ja, daar helpen voldoende maatregelen tegen. Alleen weet jij niet vantevoren wat voldoende maatregelen zijn.

Welke maatregelen zijn bijvoorbeeld voldoende als de website je een 0day toestuurt?
Ja, de kans is zeer klein. Maar de impact is toch wel groot. Er is dus nog altijd een zeker risico.

Daarom melden wij hier phising mails via https://safebrowsing.google.com/ en raden we iedereen af dat via IE of Edge te doen. Daarvoor moet je (of is dat niet meer?) eerst de site bezoeken, voordat je een melding bij Microsoft kunt doen.

Peter

Twijfelachtige vertaling van de redactie.

In de bron staat

“Research shows that sensitivity to deception decreases as you age, and you become more trusting,” Oliveira says. “What a dangerous combination.”

Gezien dat de onderzoeker de combinatie gevaarlijk noemt, is 'sensitivity' duidelijk niet te lezen als "vatbaarheid voor" die afneemt, maar 'herkenning van' .

@10:15 door Anoniem

Je hebt het zelf niet begrepen. De opmerking gaat over de techniek van vaststellen van het trappen van wat phishing is. Daarin faalt de onderzoekster waarschijnlijk.


Gezien de technische kwaliteit (twijfelachtige statistiek en daarop gebaseerde vergaande conclusies) betwijfel ik dat ten zeerste. Het is overigens niet 1 IP, maar vele IP's in het geval van Microsoft. Google doet hetzelfde. Diverse andere mail scanners doen het ook.


Het "niet-klikken!" op zichzelf is slecht advies en dat zorgt voor false postives, bedrijfsverliezen en tijdverlies aan nodeloos verdachte mails. Het is ondoordacht en te simplistisch.

Het klikken van een link is niet onveilig als je maatregelen neemt en het is ook geen teken van het trappen in phishing. Je trapt pas in een phishing link als je je gegevens verstrekt. Phishing is immers het vissen naar gegevens zoals inlogcodes of bankgegevens.

Een malware aanval is geen phishing. Er is verschil, ook al wordt daar ook vaak van social engineering gebruik gemaakt. De kans op een zero day is miniem voor een doorsnee organisatie. En als het aan de orde is, dan neem je ook daar afdoende maatregelen voor zoals het isoleren van de Internet omgeving. De browser draai je bijvoorbeeld op een *nix computer waar het van nature als redelijk beschermd is en geen van de werkstations heeft zodoende een Internetverbinding nodig. Ze kunnen de browser gebruiken in een remote sessie.

Als eindgebruiker klik je natuurlijk niet op een verdachte link als je een mail krijgt die totaal onverwacht is. Dat is dus context- en rolafhankelijk. Niet zo dom als "klik niet op links in emails". Informeer dus je gebruikers over wat phishing is en laat ze hun verstand gebruiken. Met techniek kun je al veel risico's wegnemen. Het een sluit het ander niet uit, het is een meerlaags beveiliging die de primaire functie van de communicatie in stand houdt.

Ik vermoedde al zoiets, maar nu is het zeker. Thanks.

Koppelen we de "double-dutch-bus" er nu maar eens af dan zouden we bijv. kunnen komen tot de volgende vertaling:

Onderzoek toont aan dat je vatbaarder bent voor misleiding als je al oud bent.
(het werkwoord "(to) age" betekent namelijk niet "ouder worden" maar "oud/bejaard worden")

Ik zou gelet op het onderwerp er volledigheidshalve aan toe willen voegen:
"En ook als men jong en onervaren(!!!) is, is men vatbaarder voor misleiding".

"Onderzoek laat zien dat de gevoeligheid voor misleiding afneemt naarmate je ouder wordt, en je wordt vaker goed van vertrouwen, wat een gevaarlijke combinatie is"

In de VS dus trump supporters, etc. ;-)