Definitie van phishing (waar ik grotendeels achter sta) volgens https://en.wikipedia.org/wiki/Phishing:
Met andere woorden, het onder valse voorwendselen "hengelen" naar vertrouwelijke gegevens, d.w.z. een persoon verleiden om deze aan een andere entiteit te geven dan bedoeld en/of verondersteld. Dit kan ook telefonisch en per papieren post.

Discutabel is het als iemand aan de deur (niet elektronisch dus) zich als iemand anders voordoet en jou vertrouwelijke gegevens ontfutselt ("ik ben pakketbezorger: tot wanneer zijn de buren op vakantie?"); wat mij betreft valt ook dit onder phishing.

Aan de andere kant: strikt genomen valt een e-mail met een kwaadaardige bijlage, of met een link naar een kwaadaardig bestand, of een valse mededeling dat naar een ander bankrekeningnummer moet worden overgemaakt (of zelfs een bombrief), niet onder phishing - maar het zit natuurlijk wel in dezelfde hoek, namelijk misleiding en/of misbruik maken van -misplaatst- vertrouwen.

Ik denk dat bestrijding van phishing en andere vormen van misleiding altijd begint met awareness:
1) Nog veel te veel mensen denken dat zij zelf heus geen doelwit zijn (fout), laat staan dat ze beseffen dat zij anderen schade kunnen berokkenen (dat is zo gepiept).

2) Daarnaast: hoewel voor een deel technische maatregelen mogelijk zijn om gebruikers te (helpen) beschermen, is het in veel gevallen noodzakelijk dat een gebruiker inziet dat dergelijke maatregelen bestaan, je kunnen helpen, dat je ze zelf kunt inzetten (of laten inzetten) en hoe dat je dat doet (of laat doen). Maar tegelijkertijd beseffen dat criminelen er alles aan zullen doen om die maatregelen automatisch te omzeilen, of jou ervan te overtuigen dat jij maatregelen moet omzeilen - met name als die maatregelen door een derde zijn genomen, geïnstalleerd en geconfigureerd (voorbeeld: "om dit document te bekijken moet u bovenaan op toestaan klikken" - of "het wachtwoord om de bijlage te kunnen openen is 1234"). Dit is niet iets dat alleen "systeembeheer maar moet regelen": ieders medewerking is vereist.

Zie ook mijn bijdrage in https://www.security.nl/posting/645035/Grapperhaus%3A+bestrijding+van+phishing+begint+met+awareness#posting645043.

Zo discutabel vind ik het niet. Als een interviewer maar blijft doorvragen, noem je het ook 'vissen naar informatie'. In de Nederlandse taal is dit gebruik van de term "vissen" ouder dan de term phishing. (Datzelfde geldt voor de Engelse term 'Fishing dat ook om informatie kan gaan).

De schrijfwijze met "ph" is ooit voor de digitale versie van fishing bedacht, maar ik zie ook het verschil niet met andere manieren van vissen.

Mijn eerste gedachte was, ja, security begint tussen de oren.

Mijn 2e gedachte was echter, hoe bescherm ik mijn userbase? Dan blijkt al snel dat veel moderne OSen gewoon geen adequaate beveiliging hier tegen hebben ingebouwd.

Denk dan aan:
- Slechte cloud based oplossingen voor mail w.b. spam/malware filtering (voorbeeld: phishpoint)
- Geen bescherming tegen malvertising, zie onlangs het Google relaas en trackers en hoe trackers door de browser worden afgehandeld en veel te veel mogelijkheden hebben.
- cookie throw backs en ongeoorloofd cookie misbruik (OS)

Deze enkele voorbeelden al alleen kan je met awareness (met het kennisniveau van een gemiddelde eindgebruiker) echt niet oplossen of verminderen.

Dus ik heb gekozen voor optie 2.

Laten we eerst zorgen voor een veiliger OS en veiliger SAAS systemen in de cloud.

Mijn 2 centen.

Met andere woorden, laat een ander het maar oplossen, dan hoef ik zelf niets te doen!

Bestrijden van open deuren intrappen begint ook met awareness.

Misschien neem ik "begint met" letterlijker dan de meesten het opvatten, maar zoals ik het interpreteer is het antwoord toch duidelijk: nee. Awareness is razend belangrijk, maar je stelt niet alle andere maatregelen uit tot dat gerealiseerd is. Je werkt er ook aan, niet eerst.

Awareness is niet the holy grail, wat sommigen schijnen te denken. Via de moderne techniek kun je een hele hoop ongewenst gedrag voorkomen. Misbruik van toegangsrechten voorkom je niet door awareness maar gewoon door een goede boekhouding te hanteren bij het uit geven rechten, least privaleged bij voorkeur. Schijnt tegenwoordig ongewenst te zijn dat medewerkers niet alles mogen terwijl het vroeger niet meer dan normaal was dat je alleen toegang kreeg tot hetgeen strikt noodzakelijk was om je werk mee te doen. Ik ben nog steeds verbaasd hoe het kan zijn dat het activeren van een phishing link kan leiden tot een infectie in een compleet bedrijf. Waarom kunnen medewerkers zelf software activeren buiten de software die door de organisatie geleverd wordt? Denk daar eens over na en beperk deze mogelijkheden nu eens een keer. Rechten beperken tot het noodzakelijk overeenkomstig met de functie, whitelisten van applicaties, beperken gebruik hogere (admin) rechten, compartimentering van je netwerk in streng gescheiden zone's zijn zaken die weinig grote investering kosten maar die een hoog veiligheidsrendement opleveren. Dat weten we al sinds de jaren 90 maar nu anno 2020 is het nog steeds geen algemeen goed.

Dat is social engineering. 101 voor spionnen.


Als we zo gaan redeneren is oplichting ook phishing. Maar dat is het niet.


Het begint (letterlijk) met technische maatregelen in een goed vormgegeven bedrijf. Awareness is belangrijk en dat komt meestal nadat de technische maatregelen er al zijn. Daarom is mijn antwoord op de vraag: oneens.

De vraagsteller had het beter moeten formuleren als er bedoeld was te vragen welke bestrijdingsmaatregel belangrijker is.