image

Onderzoek: veertig procent Nederlanders verwacht niet in phishing te trappen

dinsdag 19 december 2023, 15:46 door Redactie, 11 reacties

Veertig procent van de Nederlanders denkt dat de kans zeer klein is dat ze ooit via een phishingbericht zullen worden opgelicht. Dat stelt onderzoeksbureau Kantar Public dat voor de Rijksoverheid onderzoek deed onder meer dan duizend Nederlanders (pdf). Het onderzoek richtte zich op phishinglinks. Dan blijkt dat ongeveer één op de tien Nederlanders weleens op een link in een phishingbericht heeft geklikt.

Bij vijf procent van de Nederlanders zorgde het openen van de malafide link voor een besmette computer of smartphone. Vier procent werd slachtoffer van bankfraude, waarbij criminelen toegang tot de bankrekening kregen. Een zelfde percentage vulde inloggegevens op de gelinkte phishingsite in. De voornaamste redenen om op links in phishingberichten te klikken is dat de berichten er geloofwaardig uit zien of omdat het bericht op dat moment van toepassing leek. Zo klikten drie op de tien misleide Nederlanders op een link omdat ze een pakket verwachtte.

De Nederlanders die aan het onderzoek deelnamen vinden phishing via WhatsApp het makkelijkst en phishing via sms het moeilijkst te herkennen. Vier op de tien Nederlanders schat de kans zeer klein dat ze ooit het slachtoffer van phishing worden. Op de vraag "Ik acht de kans zeer klein dat ik in de toekomst ooit opgelicht wordt via een online nepbericht" antwoordt veertig procent 'mee eens', terwijl 24 procent het hier niet mee eens is. De overige 36 procent is 'neutraal'. Wel maakt bijna vijftig procent zich zorgen over de hoeveelheid phishingberichten die ze ontvangen.

Reacties (11)
19-12-2023, 16:23 door Anoniem
Aiaiai! Het kan snel gebeuren inderdaad, zeker met veel zelfvertrouwen... Het zou mij ook kunnen overkomen, en ik ben me enigzins bewust van de truucs die men gebruikt.
Bijvoorbeeld kan een klik op een neplink van een webshop zoals bol.com kan al leiden tot phishing, en al helemaal als deze vlak na een aankoop in de mail terechtkomt...
Ook is het belangrijk geen search engines bij banken en andere transacties te gebruiken om deze websites te vinden.
Vul zelf de URL handmatig in, in bijvoorbeeld KeepassDX, en klik voortaan op deze URL binnenin het versleutelde Keepass-bestand om naar de desbetreffende website te gaan in plaats van gebruik te maken van zoekwebsites. (Die op hun beurt gemanipuleerd kunnen worden)
https://f-droid.org/packages/com.kunzisoft.keepass.libre/
Vergeet niet het magikeyboard van KeepassDX te gebruiken aangezien copy/pasten een stuk onveiliger is (het paswoord word bij copy/pasten in het clipboard geplaatst) dan de invoer via een keyboard dictionary. (Gebruikt geen clipboard)
19-12-2023, 16:38 door Erik van Straten
Hoe weet je of https://postnl.post/ van dezelfde eigenaar is als https://postnl.nl/? Iemand?

P.S. beide sites hebben een Let's Encrypt certificaat.
19-12-2023, 17:30 door Anoniem
Door Anoniem: Aiaiai! Het kan snel gebeuren inderdaad, zeker met veel zelfvertrouwen... Het zou mij ook kunnen overkomen, en ik ben me enigzins bewust van de truucs die men gebruikt.
Bijvoorbeeld kan een klik op een neplink van een webshop zoals bol.com kan al leiden tot phishing, en al helemaal als deze vlak na een aankoop in de mail terechtkomt...
Ook is het belangrijk geen search engines bij banken en andere transacties te gebruiken om deze websites te vinden.
Vul zelf de URL handmatig in, in bijvoorbeeld KeepassDX, en klik voortaan op deze URL binnenin het versleutelde Keepass-bestand om naar de desbetreffende website te gaan in plaats van gebruik te maken van zoekwebsites. (Die op hun beurt gemanipuleerd kunnen worden)
https://f-droid.org/packages/com.kunzisoft.keepass.libre/
Vergeet niet het magikeyboard van KeepassDX te gebruiken aangezien copy/pasten een stuk onveiliger is (het paswoord word bij copy/pasten in het clipboard geplaatst) dan de invoer via een keyboard dictionary. (Gebruikt geen clipboard)

En vergeet de 2FA methodes en Yubikeys niet! (-;
19-12-2023, 22:47 door Anoniem
Door Erik van Straten: Hoe weet je of https://postnl.post/ van dezelfde eigenaar is als https://postnl.nl/? Iemand?

P.S. beide sites hebben een Let's Encrypt certificaat.

Geen idee.
20-12-2023, 04:46 door Anoniem
Ik zou willen dat dit waar is, als Cyber security analist zie ik echt enorm veel mensen die op een phishing link klikken.
Het ergste is nog dat de meeste e-mails echt zo slecht zijn dat ik me afvraag hoe het kan. Laaste trend is dat er veel e-mail adressen gemaakt worden via icloud.
20-12-2023, 09:03 door Anoniem
Door Erik van Straten: Hoe weet je of https://postnl.post/ van dezelfde eigenaar is als https://postnl.nl/? Iemand?

P.S. beide sites hebben een Let's Encrypt certificaat.

Een normale gebruiker kan dit niet achterhalen en zal afgaan op het 'slotje' in de browser en dat zegt niet veel. Dus ja, je haalt (een deel van) het probleem aan...
20-12-2023, 09:30 door Anoniem
Door Erik van Straten: Hoe weet je of https://postnl.post/ van dezelfde eigenaar is als https://postnl.nl/? Iemand?

P.S. beide sites hebben een Let's Encrypt certificaat.

Fantastisch. Ongeacht wat de rest van de security community er van vond, ik vond EV certificates toch altijd wel een zeker nut hebben - niet perfect, maar toch een paar stappen moeilijker dan DVs. Tegenwoordig doet een certificate echt niks anders meer dan "verzekeren" (kuch) dat de verbinding versleuteld is. Je kunt eigenlijk gewoon weer self-signed inzetten en de hash in je DNS hoesten. Eh, wacht, zelfs dat hebben we al.
20-12-2023, 09:48 door Anoniem
39% van de Nederlanders zijn naïef door te denken niet in phishing te trappen!
60% is reeël dat de mogelijkheid er wel is
1% zijn de phisers zelf of de mensen die er al eens in getrapt zijn en daardoor extra voorzichtig zijn.
20-12-2023, 10:38 door Anoniem
Door Erik van Straten: Hoe weet je of https://postnl.post/ van dezelfde eigenaar is als https://postnl.nl/? Iemand?

P.S. beide sites hebben een Let's Encrypt certificaat.

Voor postnl.post kun je gelukkig veel info vinden (https://www.whois.com/whois/postnl.post), dus die zal wel echt zijn. Die van postnl.nl is duidelijk niet te vertrouwen. Wel goed nagemaakt overigens :-)
20-12-2023, 13:16 door Erik van Straten - Bijgewerkt: 20-12-2023, 13:18
Door Anoniem:
Door Erik van Straten: Hoe weet je of https://postnl.post/ van dezelfde eigenaar is als https://postnl.nl/? Iemand?

P.S. beide sites hebben een Let's Encrypt certificaat.

Fantastisch. Ongeacht wat de rest van de security community er van vond, ik vond EV certificates toch altijd wel een zeker nut hebben - niet perfect, maar toch een paar stappen moeilijker dan DVs.
[...]
Dank voor alle reacties! EV was niet perfect, maar van grootschalig misbruik was geen sprake. Bij alle argumentaties waarom EV "waardeloos" zou zijn, wordt verwezen naar één incident m.b.t. "Stripe, Inc" - beschreven door onderzoeker Ian Carrol (zie bijv. [1]). Helaas zegt EV ook niets over de betrouwbaarheid van de eigenaar van een website, noch iets over de wijze waarop gegevens beveiligd worden en wie (en hoeveel mensen) daar allemaal bij kunnen; wel vergroten ze de pakkans van cybercriminelen.

[1] https://arstechnica.com/information-technology/2017/12/nope-this-isnt-the-https-validated-stripe-website-you-think-it-is/

Keerzijde: zeer veel "post" phishing
In een blog van augustus ([2]) over de wereldwijde "pakket kon niet worden afgeleverd" phishing campagne van de, naar verluidt Chinese, "Chenlun aka Sinkinto01" cybercriminelen, wordt postnl.post als de officiële PostNL site aangemerkt. Later schreef ook Brian Krebs [3] over die kennelijk "succesvolle" scammers, recentelijk gevolgd door DomainTools ([4]). Nu steeds meer Nederlandse Maestro bankpassen door debit/creditcards worden vervangen, verwacht ik een toename van dit soort scams in Nederland.

[2] https://g0njxa.medium.com/chenlun-a-worldwide-phishing-carding-campaigns-provider-a45c4fed6d1b

[3] https://krebsonsecurity.com/2023/10/phishers-spoof-usps-12-other-natl-postal-services/

[4] https://www.domaintools.com/resources/blog/merry-phishmas-beware-us-postal-service-phishing-during-the-holidays/

Die Chenlun groep heeft zeker al honderden en mogelijk tienduizenden domeinnamen geregistreerd en daar DV certificaten voor verkregen (weet ik uit eigen onderzoek). Ik vermoed dat zij steeds nieuwe (semi-willekeurige) domeinnamen registreren zodra bestaande domeinnamen op blocklists, zoals Google Safe Browsing, terechtkomen - terwijl, naast Let's Encrypt, ook Google en andere DV-certificaatverstrekkers, willens en wetens, schier eindeloos gratis certificaten blijven uitgeven voor websites van die phishers. Google + andere DNS-providers, en goedkope hosters (zoals Fastly, zie ook [5]), lobbyen niet voor niets voor DV-certs (en steunen tevens Mozilla, EFF en Let's Encrypt financieel) - waarmee zij ook cybercrime faciliteren.

[5] https://tweakers.net/plan/4086/#r_19435098

Terug naar postnl.post
Als je de certificaten uitgegeven voor postnl.post bekijkt zie je daar ook postnl.nl en subdomeinnamen eindigend op .postnl.nl in staan. Tenzij er bij die certificaatuitgifte iets heel erg mis gaat, ga ik er vanuit dat het om dezelfde eigenaar gaat.

Het beperkt zich echter niet tot postnl.post:

https://post.nl/ werkt niet, maar http://post.nl/ stuurt jouw browser door naar https://postnl.nl/ (tenzij een AitM je naar een andere site stuurt. Dat kan niet als je https only in jouw browser hebt ingesteld, maar dan kom je weer niet zomaar uit op https://postnl.nl/).

https://nl.post/ werkt niet (resolvt niet, address not found), maar https://stamps.nl.post/ werkt wél (nl.post is dus, op dit moment, ook van PostNL - je moet het maar weten).

• Ook de domeinnaam in https://postnlpunt.nl/ resolvt niet, maar de domeinnaam in https://bestellen.stg.postnlpunt.nl/ wel - die mijn browser doorstuurt naar https://mijnpostnl--uat.sandbox.my.site.com/mijnpostnlpunt/s/login/?language=nl_NL (flink ingekort, werkt wel) - een pagina waarop je moet inloggen, die ik op geen enkele wijze van een phishingpagina kan onderscheiden (site.com is niet van PostNL).

Op dit moment zijn, zo te zien (in certificaten), de volgende domeinnamen ook van PostNL:

• crossborderreturns.com
• spring-gds.com
• springtracking.com
• adreskenmerken.eu
• cldsvc.net
• floraathome.nl
• postnlpakketten.nl
• internationalparceltracking.com
• mijnpostnl.nl
• postnl.be
• mijnpostnl.be
• monpostnl.be
• mypostnl.be
• postnl.com
• loginpostnl.net

Lastig is dat niet alle websites met genoemde domeinnamen jouw browser doorsturen naar [*.]postnl.nl (zodat bezoekers uitluitend postnl.nl of eindigend op .postnl.nl hoeven te onthouden). En zodra PostNL de registratie van zo'n domeinnaam niet verlengt is deze bemachtigen natuurlijk de kers op de taart voor cybercriminelen.

Bron: https://crt.sh/, o.a. https://crt.sh/?q=postnl.post en bijvoorbeeld https://crt.sh/?id=11395054293 (met in die laatste een lijst met alternatieve domeinnamen, waaronder ook (eindigend op .) postnl.nl).
20-12-2023, 15:33 door _R0N_
Door Erik van Straten: Hoe weet je of https://postnl.post/ van dezelfde eigenaar is als https://postnl.nl/? Iemand?

P.S. beide sites hebben een Let's Encrypt certificaat.

Zijn 2 verschillende registrars, zou voor mij een aanwijzing zijn dat ze niet in hetzelfde beheer zijn.
Maar ja NL bedrijven he, verschillende afdelingen verschillende inkopers bij verschillende leveranciers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.