De meeste mensen hebben er geen idee van hoe eenvoudig het is om een afzender in het getoonde From: veld te vervalsen. Als ze dat zouden weten, en je ze vraagt argwanend te zijn bij het verstrekken van vertrouwelijke gegevens, zouden vermoedelijk veel minder mensen in dit soort vallen trappen.

Ter illustratie: recentelijk is de britse ISP TalkTalk gehacked en hebben veel gebruikers spam ontvangen met als afzender diverse @cisco.com. Als je Googled naar talktalk cisco spam vind je heel veel reacties van boze gebruikers die ervan uitgaan dat deze spams daadwerkelijk door Cisco worden verzonden, en niet begrijpen dat deze niet worden geblokkeerd door TalkTalk. De kop van zo'n spam ziet er bijv. uit als volgt:

Of-topic maar interessant aan deze spams was dat de spammers SPF gebruikten, kennelijk om de spamfilters van TalkTalk te passeren (met succes).

Op veel plaatsen in de forums, waar headers worden getoond, is informatie over de feitelijke verzenders na enkele dagen "geobfusceerd" door moderators, maar bijv. in deze bijdrage is men dat vergeten, uit http://community.talktalk.co.uk/t5/My-Email/Inundated-with-Spam-Emails-from-cisco-com/m-p/1774943#M43694:
Ook uit andere bijdragen valt af te leiden dat de spammers massaal gebruik gemaakt hebben van verschillende mailservers met SPF records en zo kennelijk de spamfilters van TalkTalk wisten te passeren.

De SPF records staan overigens niet meer in DNS, maar een voorbeeld voor een andere server (dapper-bytes.fastalston.net met IP-adres 66.199.190.223) was op 26 oktober: "v=spf1 ip4:66.199.190.216/29 -all".

SPF alleen helpt niet tegen spam - integendeel in dit geval.

Denk dat dat provider afhankelijk is. Een test leerde al eens dat dat grapje inmiddels niet meer overal wordt geaccepteerd. Wat een goede zaak is.

Briljant...


Het kan niet anders dan een vrouw die zo'n reactie geeft. Hoe kan iemand die op basis van emotioneel vertrouwen in onbekende mensen hoogleraar cybersecurity worden?

Hierbij doe ik uiteraard de aanname dat het functieprofiel voor hoogleraar cybersecurity onder meer bestaat uit kwaliteiten als analytisch, deducerend vermogen en een wetenschappelijke basis betreft in plaats van een "truth bias".

Mensen moeten leren om phishing aanvallen te herkennen, dit heeft alles met intelligentie, het verstandelijk vermogen, het menselijk denken te maken. Ja het is een proces, maar een hoogleraar die ontkent dat het leerproces van het herkennen van phishingaanvallen te maken heeft met intelligentie, zou beter presteren in een maandagmiddag praatgroep waar gevoelens worden besproken.

Uiteraard kan het ook zo zijn dat zij de organisatie van de UT in bescherming neemt en verdedigd voor de fout die ze hebben gemaakt ten aanzien van het ontbreken van gedegen cybersecurity awereness training onder het personeel. In dat geval is haar misplaatste standpunt hypocriet, gezien ze het belang van de organisatie hoger heeft staan dan de lering die het algemeen publiek kan trekken uit de bevindingen van de phishingtest.

Hoe dan ook. Het begint met lering, het begint met kennis, dus ja, het heeft alles te maken met intelligentie.

@Anoniem 15:05
Kennis != intelligentie

Heb je werkelijk niet in de gaten dat ze niet bezig was zichzelf te beschrijven maar een verklaring gaf van hoe het komt dat mensen in phishing trappen? Of werd je misschien zo verblind door je eigen seksisme dat je bij het zien van een vrouwennaam meteen dacht dat wat je als een zwakte ziet wel op die persoon van toepassing is? Misschien moet je nog een keer lezen wat er staat en nu goed, aan kwaliteiten als anaytisch en deducerend vermogen heb je niet zo veel als je begint om de data waarop je die vermogens loslaat verkeerd te interpreteren.

Helemaal niet, met verschillende email accounts is het helemaal niet vanzelfsprekend een 'goede zaak' dat een smtp provider het From veld gaat 'valideren'. Gelukkig doen goede providers dit niet.

Ze heeft gelijk heeft en jij niet, in normaal sociaal verkeer zou de mate van wantrouwen die nodig is voor veilig cyberverkeer niet eens geaccepteerd worden.

Weer heb je ongelijk, het is met de gegeven middelen (tools zowel als handleidingen) voor communicatie per e-mail vrijwel niet mogelijk om phishing van legitieme mail te onderscheiden. Slechts weinig mensen kunnen de rfc822 headers lezen en de tools hanteren om een verzender enigszins te identificeren. Consequent toegepaste controle via alternatieve communicatiemiddelen zou het middel e-mail al gauw onhanteerbaar maken.


Je hebt absoluut niet begrepen waar het over ging, je reactie getuigt eerder van een gender bias dan van een (mislukte) rationele overweging - om het maar even eufemistisch uit te drukken.

Jawel, en een goede doet het goed zodat je geen last hebt van het probleem dat jij suggereert.

Hoogleraar cybersecurity Marianne Junger: Gekker (en dommer) kan het bijna niet.

En die lui bij de UT zijn een stel onnozelen. Ze mogen veel van wiskunde weten maar verder gaat hun benul blijkbaar niet; net als bij Marianne

Als deze hoogleraar dat werkelijk heeft gezegd bewijst ze wat mij betreft vooral dat hoog opgeleid zijn en zonder enige cyber security achtergrond daarin hoogleraar worden niets zegt over intelligentie maar vooral over hoe je sociale vaardigheden inzet om in het pluche te blijven zitten zonder de achterban die massaal in de simpelste phishingmails trapt te veel tegen het zere been te stoten. Stel je toch eens voor dat je de hoogopgeleide vriendjes erop zou wijzen dat het toch echt aan hun gebrek aan rationeel denken ligt dat cybercriminelen massaal hun slag kunnen slaan. Nee, dan liever het op truth bias gooien. Ze kunnen er niets aan doen als ze een fout maken, daar zijn ze te slim voor, het moet echt aan iets anders liggen. En iedereen bleef maar wat graag in het sprookje van de hoogopgeleiden als slimme mensen geloven.

Truth bias: willen geloven wat iemand je aanpraat totdat het je op basis van gezond verstand ongelovelijk over komt.
Veel mensen willen graag in sprookjes geloven en gaan pas nadenken als een gevaar ze bekend voor komt. Een tweede bijkomstigheid is dat mensen niet graag willen toegeven dat hun intelligentie tekort schiet en komen dan met smoesen aan dat wat ze deden buiten de eigen macht lag. Wanneer was die laatste anti phishing awareness campagne ook alweer geweest op de universiteit? Het is om je kapot te schamen hoe dit elkaar de hand boven het hoofd houd dat ze in de meest simpele phishing mails blijven trappen.

Ik begrijp niet wat je bedoelt met "verschillende email accounts" (heb jij meerdere e-mail accounts of bedoel je dat dit een probleem is bij meerdere e-mail providers)? En kun je ook uitleggen wat het probleem precies is?

Ik weet dat SPF een probleem vormt voor forwarding, maar weet nog weinig van validatie van From: en ben dus zeker ook benieuwd naar nadelen daarvan. Graag een reactie!

Briljant.


Misschien voortaan toch eerst maar wat beter lezen voordat je reageert,

Nee dit is een lekkere intelligente reactie. misschien moeten we hier van leren. Phishing is dus blijkbaar een goede manier om mensen gegevens afhandig te maken en natuurlijk val jij nooit voor een phishing mailtje. Tenzij deze goed opgesteld etc blabla. Het is zomakkelijk om zelf niet na te denken en anderen dan voor dom uit te maken.

Hoezo moet het op de vrouw gespeeld worden. 90% van de cyber aanvallen gebeurt door socialengineering om het dus te begrijpen heb je niet een langharige computer whizzkid nodig maar iemand met wat socialskills heeft.


Uit deze blijkt dus dat phishing echt wel werkt als je het goed uitvoert.