Als cybersecurity professional blijf ik toch last houden van plaatsvervangende schaamte bij het lezen van dit soort berichten.

@11:36 door Anoniem: Je bent niet de enige. Kunnen ze echt niets beters verzinnen? Onderwerp van de mail bepaald je success rate ...

Het openen van een link hoort geen enkel probleem te zijn: https://security.nl/posting/881655.

Berichten via e-mail, SMS, chatapps en papieren post zijn simpelweg onbetrouwbaar. Het is kansloos en dus krankzinnig om mensen te proberen te leren phishing-berichten te herkennen.

Deze aanpak is op zich creatief, maar mist precies datgene wat het effectief zou maken: onderscheid tussen echt risico en puberale nieuwsgierigheid. Een kind dat op een link klikt voor “free cheats” is niet per se op weg naar cybercrime — het is meestal gewoon op zoek naar een voordeel in een spelletje. Door dat te framen als iets dat meteen gevolgd moet worden door een video met politie, justitie en zware waarschuwingen, dreigt de geloofwaardigheid te verdampen.

Willen we jongeren echt bewust maken, dan moeten we hun leefwereld serieus nemen. Laat zien waarom cheats vaak malware zijn, hoe je herkent dat iets niet klopt, en wat het verschil is tussen een onschuldig risico en een echte bedreiging. Bewustzijn werkt beter als het vertrekt vanuit begrip, niet vanuit afschrikking.

Vreemde phishingcampagne. Persoonlijk zou ik het veel waardevoller hebben gevonden om te weten hoeveel leerlingen het hebben gemeld, maar dat lees ik nergens terug in het bericht. Dat mensen klikken, gebeurt nu eenmaal, en daarom is het belangrijk om daar je maatregelen omheen te bouwen. Ik vind het veel interessanter om te weten hoeveel leerlingen hebben gemeld dat ze een verdachte e-mail hebben ontvangen.

Ik doe even een aanname (mede vanwege je verwijzing naar je andere post) en ga ervan uit dat je erop doelt dat een website duidelijk(er) moet zijn betreffende de betrouwbaarheid ervan. Mee eens dat dat beter kan.
Echter kan het simpelweg bezoeken van een URL ook al een probleem zijn, zonder verdere interactie dus.

Nee, dat kan niet. In elk geval niet direct. Jouw partner kan vandaag superlief zijn en morgen kunnen jullie uit elkaar willen. Zelfs de meest betrouwbare ICT-auditor kan geen garanties geven voor de toekomst (bovendien is het onrealistisch om elke website verplicht initieel en regelmatig te laten auditten).

Wat ik noodzakelijk acht is dat een bezoeker van een website, op z'n minst, weet (en/en):
• Wie verantwoordelijk is voor een website;
• In welk land die verantwoordelijke gevestigd is;
• Hoe betrouwbaar die informatie is;
• Hoe betrouwbaar de vaststeller van bovenstaande info is.

Op basis van die info kunnen bezoekers een inschatting maken van de betrouwbaarheid, in de eerste plaats hoe groot hun kans op succes als zij naar de rechter stappen na te zijn belazerd. En, desgewenst, hebben mensen hiermee meer handvatten om te zoeken naar de reputatie van de verantwoordelijke {1}.

Het is óók noodzakelijk dat browsers deze informatie aan bezoekers onder hun neus wrijven {2} én in begrijpelijke taal uitleggen waarom die info nodig is - simpelweg omdat de meeste mensen uitgaan van van het goede van hun medemens. In élk geval door deze gegevens te tonen indien een surfer een website (lees: een specifieke domeinnaam) voor de éérste keer bezoekt - en indien relevante gegevens wijzigen (waaronder de eigenaar van de domeinnaam en/of de verantwoordelijke voor de website).

Precies daarom schreef ik in https://security.nl/posting/881655 (vette opmaak nu toegevoegd):
Het certificaat wordt tijdens de TLS-handshake overgedragen. Kwetsbaarheden in browsers tijdens die fase komen voor, maar de frequentie daarvan ligt een stuk lager dan van vulnerabilities in de "engine" die HTML, CSS en vooral JavaScript verwerkt (al dan niet afkomstig van websites van derde partijen, die pas benaderd worden zodra content van de primaire website wordt verwerkt).

Veel nepwebsites meten zich regelmatig, soms dagelijks, nieuwe domeinnamen aan; er is een partij die dagelijks "onder" .bond, duizenden nieuwe domeinnamen per dag registreert en daar (non-wildcard) Let's Encrypt certs voor aanvraagt en verkrijgt.

De volgende website is gestopt met het bijhouden van *.bond registraties; de laatste pagina die ik kon vinden is https://newly-registered-domains.abtdomain.com/2024-08-16-bond-newly-registered-domains-part-1/.

Actuele info vind je door de "RELATIONS" tab in https://virustotal.com/gui/ip-address/13.248.197.209 te openen, en desgewenst eindeloos te drukken op ••• in de bovenste sectie (met domeinnamen; het zijn er overigens zeer veel meer dan de 200 die VT suggereert). En op meerdere andere servers registreert deze partij 3 á 5 subdomeinnamen (elk daarvan wordt van een uniek LE certificaat voorzien; ik schat in totaal gemiddeld 30.000 LE certs per dag - voor websites van oplichters).

Mijn oorspronkelijke bron hiervoor was https://www.bleepingcomputer.com/news/security/revolver-rabbit-gang-registers-500-000-domains-for-malware-campaigns/.

Optioneel uitschakelbaar voor betweters, mits zij worden gewezen op de risico's daarvan. Educatie van internetters waarom dit nidig is, lijkt essentieel. Terwijl mensen heus wel snappen dat een Geldmaat op de buitenmuur van een motorclub in een industriegebied niet de meest verstandige plaats is om een bankpas in te stoppen en de pincode in te voeren.

Voor wat precies ?

Het percentage gebruikers dat vatbaar blijkt voor phishing - ondanks de educatie pogingen van cybersecurity professionals ?
Het onvermogen van cybersecurity tooling om alles te voorkomen ?
Het hele concept van een phishing test ?
De opzet van deze specifieke test ?

1 op 12 lijkt als percentage niet gek veel anders dan wat "enterprise gebruikers" opleveren als hun werkgever een phishing/awareness test doet.
Ook soms met een intern 'hot thema' ("Kerstpakket vanaf dit jaar alleen op aanvraag . Meld je hier aan" )

Vaak zijn enterprise testen voor - en later na - een phishing awareness training.

Ik vraag me af of ze dat op Franse scholen ook gedaan hebben, of dat dit de nulmeting is.

Maar het lijkt me helemaal geen gek idee dat een stuk awareness training (al) in het onderwijs gegeven wordt - en zo'n test zi af en toe vind ik niks mis mee.

nieuwsgierig zijn naar een website waar blijkbaar cracked games en cheats te vinden zijn en dan een agent op je dak krijgen die je voorlichting geeft over straffen.
Lekkere benadering.