Bij een oud werkgever heb ik ooit de resultaten van phishing tests gezien.

1e phishing honeypot mail: ongeveer 50% klikte de link aan, en van die 50% vulde 10% (5% van het totaal) inloggegevens in.

Vervolgens volgde awareness training.

2e phishing honeypot mail anderhalve maand later: Slechts 20% klikte nog maar daarvan vulde alsnog 10% inloggegevens in (2% van het totaal).

3e phishing honeypot mail 3 maanden daarna: Terug bij 50/10.

Waarmee ik wil zeggen: in de praktijk lost meer training het probleem simpelweg niet op. Je moet er van uit gaan dat je gebruikers gecompromiteerd gaan worden. Dan ligt je focus op je systemen hardenen om te zorgen dat een gecompromiteerde gebruiker:

1) Zo snel mogelijk gedetecteerd wordt

2) Zo min mogelijk schade aan kan richten

Gebruikers zullen altijd je zwaktse schakel zijn, proberen die te versterken levert vaak minder resultaat op voor dezelfde resources dan, om maar wat te noemen, principle of least privilege toe te passen, auditting en anomaly detection op orde te krijgen, je netwerksegmentering op orde krijgen.

Klik...datalek...

Hier zie je mooi de kloof tussen de bezoekers van security.nl en de medewerker achter zijn/haar bureau....
"de link te kopiëren en door te trekken via de site van VirusTotal".
NATUURLIJK gaat iemand dat niet doen!
Het beste wat je kunt bereiken is mensen zodanig te trainen dat ze gewoon niet klikken op links in mails, of in je mailsysteem de links zodanig aanpassen dat er niet op geklikt kan worden.
Dat doet Microsoft alleen maar als ze zelf de mail al als "matig verdacht" gezien hebben. Dan komt ie in een aparte folder waar links niet werken. (als de mail echt verdacht is komt ie in quarantaine en ziet de gebruiker em niet)

Normale mensen kunnen niet aan een link zien of deze malafide is, zoals deze https://s.id/1HGqM (*).

Dat is, helaas, een meestal waardeloze suggestie. Bijvoorbeeld https://www.virustotal.com/gui/domain/www.edgeupgrade.com/summary is 0/94. Maar check ook even https://www.virustotal.com/gui/ip-address/46.183.25.82/relations. Meer info en mijn bron in https://infosec.exchange/@ErikvanStraten/113242439658703940.

En bij doelgerichte aanvallen is dit helemaal zinloos, want daar wordt ongetwijfeld een nieuwe domeinnaam (of een "witgewassen", eerder voor foute doeleinden ingezette, domeinnaam) geregistreerd.

Makers van virusscanners kunnen onmogelijk alle websites met nieuw op naam gezette domeinnamen onderzoeken op kwaadaardigheid, temeer daar die kwaadaardigheid uitgesteld kan worden, of die kwaadaardigheid slechts optreedt indien aan specifieke criteria wordt voldaan (zoals het IP-adres van de bezoeker en/of een volledige URL).

Bovendien worden databases van virusscanners veel te groot als je alle, ooit foute, domeinnamen in die database laat staan (naast dat dit waarschijnlijk valspositieven zal opleveren; dit is precies waar domeinnaam parkeer-/witwasdiensten gebruik van maken). Hier nog een domeinnaam die ik gisteren tegenkwam, gehost door Google:
mx2.mx2.mx2.mx2.mta-sts.mx2.mx1.mx1.mta-sts.mx2.mx1.mx1.sharedgenie[.]com.

Ook zie ik steeds vaker dat criminelen gebruikmaken van mogelijkheden zoals Cloudflare ze biedt. Als ik bijvoorbeeld
https://ing-direct-app[.]com/
open, zie ik:
Dié website wordt ondertussen (na 4 maanden) wel door 11/94 scanners herkend: https://www.virustotal.com/gui/domain/ing-direct-app.com/summary. Maar de oorzaak dáárvan kan zijn dat er veel klachten van internetters over zijn binnengekomen, en/of doordat Cloudflare deze naar hun scamputje (188.114.96.0/22) heeft verplaatst:
https://www.virustotal.com/gui/ip-address/188.114.96.0.

Ook zie ik steeds vaker dat je, op kwaadaardige sites, captcha's moet invullen - of dat je jouw telefoonnummer moet opgeven en een via SMS naar jou verzonden code moet invullen om verder te komen.

Hoe wil je dat makers van virusscanners onderzoeken en vaststellen dat er sprake is van een kwaadaardige website?

Sterker, bijna 1 maand nadat ik deze toevallig ontdekte, is er 1 (onbekende) van 94 scanners die er kwaad in ziet: https://www.virustotal.com/gui/url/30591c319cbf2a497971fd45d3c3f7e8d022f8b3cb5dceccd18482b0983f0efc. Echter, https://www.virustotal.com/gui/domain/www.xn--ldl-vma.be/summary zegt nog steeds 0/94. (Achtergrond: https://infosec.exchange/@ErikvanStraten/113110017627459641).

Ook als het gebeurt dat, in een deel van de gevallen, je geholpen kunt worden door online diensten die roepen dat een website foute boel is: er bestaat geen betrouwbare methode om vast te stellen of iets op internet kwaadaardig is.

(*) Interessant, zojuist zie ik dat je moet bevestigen - da's nieuw (en https://s.id/1HGqM?a=confirm_true lijkt niet te werken zonder bevestiging).

En WAAROM moet die medewerker op die link clicken??

Doet me denken aan die misere bij de toenmalige Belgacom waarbij bedrijscomputers ONNODIG aan het internet hingen en gebruikt werden om porno te surfen.

Allemaal klungels die zo systemen opzetten of laten werken, net zoals bij BYOD

Je zou toch verwachten dat de politie een hele goed junk-filter bezit,
die alle ongewenste spam en phishing al er van te voren uithaalt.

Maar ja, het werkt niet zoals het zou horen.

Gevolg van het Internet-verdienmodel, waar alle eindgebruikers uiteindelijk slachtoffers van zijn of worden.

luntrus

Men moet medewerkers 'screenen'.
Met alles dat er nu binnen zit, kun je wachten op problemen.

Niet omdat men niet ter goeder trouw zou zijn.
Maar omdat men vaak niet weet wat men moet doen
of liever gezegd beter kan laten.

Misschien is 't een idee om niet elke vrijwilliger toegang te geven tot alle data?

Ik heb een keer gewerkt met wat mensen van het ministerie van binnenlandse zaken. Ik zal niet toelichten wat voor werk dat was. Maar de mensen met wie ik samenwerkte konden mij niet vertellen wat voor werk zij deden. Ik had wel hun namen maar dat bleken niet hun echte namen te zijn, daar kwam ik achter toen eentje zich per ongeluk vergiste en een van de mensen met een andere naam aansprak.

Ze konden wel vertellen dat zij vrij strikt werken volgens "Need to know." Met andere woorden: als jij voor de taak die moet worden uitgevoerd niet nodig hebt om te weten hoe ik echt heet of wat ik doe dan weet je het ook niet. Dan krijg je dus ook de situatie dat managers niet weten hoe de medewerkers in hun team echt heten of waar ze wonen.

Informatie afschermen kan dus allemaal wel maar dat maakt samenwerken soms ook ingewikkeld heb ik gemerkt.

Het zijn net rappers, hackers, reaguurders, artiesten of....In ieder geval allemaal pseudoniemen. Ik heb het ook gek meegemaakt: dezelfde persoon onder een andere naam in andere organisatie werkzaam. Of: persoon gelijkend op iemand opeens aantreffen in een functie waar ik normaal gesproken met een ander te maken heb. Twin Peaks.

Gebaseerd op 1 geval, waarbij de oorzaak wellicht helemaal niet ligt in te weinig training. Conclusies na een steekproef van n=1 zijn volstrekt onbetrouwbaar.

Oh ja, schuif het maar weer af op een vrijwilliger.

De politiehack is uitgevoerd door een ander land, dat schrijven nu ook alle kranten
over de "visitekaartjeshack".

@03-10-2024, 18:51 door Anoniem

Op een link klikken is geen probleem in 99,99% van de gevallen. Gegevens invullen wel, als dat echte gegevens zijn. Dus die cijfers zeggen hebben niet de betekenis die het lijkt.

Ik heb de gewoonte om rommelgegevens in te vullen, en dat ga ik echt niet laten vallen omdat iemand die geld verdient met phishingtests denkt dat klikken ueberslecht is.

De beste oplossing is natuurlijk dat je de browser in een apart OS draait, separaat van alles. Dat zou al 20 jaar standaard moeten zijn. De "security" van links herschrijven is waardeloos en vooral gunstig voor NSA en andere dataverzamelaars (Symantec, Microsoft) en slecht voor privacy.

Dat komt omdat het grootste gedeelte van de huidige phishing trainingen en denkwijze over de aanpak hiervan puur lucht zijn. Het wordt verkocht voor veel geld en er is niet eens bewijs dat deze trainingen correct werken of zelfs correct zijn.

Google heeft er een tijd geleden over geschreven:
https://security.googleblog.com/2024/05/on-fire-drills-and-phishing-tests.html

Wat blijkt bij onderzoek? Phishing testen worden volledig verkeerd uitgevoerd, personeel is kwaad en teleurgesteld in de organisatie en na training bleken sommigen nog steeds te klikken..

Het is ook absurd om op mensen te gaan vertrouwen.. ChatGPT schrijft een betere mail dan 99% van de mensen en ondertussen moeten mensen een beveiligingslaag zijn... Ik vind deze denkwijze zo enorm dom...

Anyway, die vrijwilliger kon er natuurlijk helemaal niets aan doen.. Politie had de bende weer niet in orde...
Niets niets te melden, lijkt mij.