Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Test: trap jij in een Phish?

15-07-2018, 11:07 door [Account Verwijderd], 43 reacties
Laatst bijgewerkt: 15-07-2018, 11:09
Op het forum op security.nl reageerden 21 personen naar aanleiding van een phishingmail-test bij de provincie Limburg.
https://www.security.nl/posting/569684/171+Limburgse+ambtenaren+trapten+in+test-phishingmail

Vraag is: doen de reageerders het beter dan de ambtenaren van de provincie Limburg?

Ik moet er wel even bijzeggen dat deze phishing-test (hieronder) als moeilijk kan worden ervaren en het zou dus kunnen zijn dat de resultaten schokkend over zullen komen (die waren voor mij dus ook schokkend (5/7) goed aangemerkt: kon dus wel beter!).

Maar de lezers van security.nl krijgen natuurlijk een veel beter resultaat! Of toch niet?

Doe de test via deze link:
https://www.sonicwall.com/en-us/phishing-iq-test

En post even (zonder naam graag) de resultaten.
Trap jij in een phish?
Reacties (43)
15-07-2018, 12:42 door Anoniem
Ik heb de test niet afgemaakt. Sommige dingen waren evident verdacht, zoals het bekende "bevestig je identiteit via deze link" of "je bankrekening vervalt als je niet snel reageert", maar er zaten bedrijven en diensten tussen waar ik zo onbekend mee ben (zelfs nooit van gehoord had) dat ik geen idee heb of wat daar gepresenteerd werd afwijkt van wat je van ze kan verwachten.

Een beeld van wat je wel en niet kan verwachten is natuurlijk een van de dingen waar je op reageert in de praktijk. Als iets duidelijk afwijkt van wat je gewend bent is het verdacht. Mijn probleem met deze test is dat alles zo sterkt afwijkt van wat ik gewend ben dat ik een sterke neiging had om alles als verdacht aan te merken, wat ik daar zag ontvang ik simpelweg niet.

Omgekeerd is de truc bij phising natuurlijk dat ze proberen te lijken op wat je gewend bent, de kunst is om die reactie niet om te draaien en alles te vertrouwen wat er bekend uitziet. Maar om dat vermogen bij mezelf te testen is deze test niet geschikt.
15-07-2018, 13:06 door Anoniem
Door Fidelis: Op het forum op security.nl reageerden 21 personen naar aanleiding van een phishingmail-test bij de provincie Limburg.
https://www.security.nl/posting/569684/171+Limburgse+ambtenaren+trapten+in+test-phishingmail

Vraag is: doen de reageerders het beter dan de ambtenaren van de provincie Limburg?

Ik moet er wel even bijzeggen dat deze phishing-test (hieronder) als moeilijk kan worden ervaren en het zou dus kunnen zijn dat de resultaten schokkend over zullen komen (die waren voor mij dus ook schokkend (5/7) goed aangemerkt: kon dus wel beter!).

Maar de lezers van security.nl krijgen natuurlijk een veel beter resultaat! Of toch niet?

Doe de test via deze link:
https://www.sonicwall.com/en-us/phishing-iq-test

En post even (zonder naam graag) de resultaten.
Trap jij in een phish?


Ook 5/7 .
(twee vals-positief - dwz, ik dacht phish en het zou echt zijn)
Ik snap niet meteen hoe je de chrome river mail kunt valideren in deze test. )


Dit type test is feitelijk iets moeilijker dan 'realistisch' . Normaal is mijn allereerste filter "daar heb ik niks besteld/aangevraagd" en hoef ik niet verder te kijken.

Als de phish afkomstig is van iets wat wel bestaat weet ik hoe valide mail eruit ziet . En voor zo ver de actie die de mail vraagt plausibel is, kan ik die (ook) ondernemen zonder op de URL te hoeven klikken. [want ik _heb_ een login bij amazon, of paypal, of whatever] .

Bij email die zich als 'intern' voordoet - of wellicht echt vanuit een intern systeem gestuurd is heb je ook het voordeel dat je meer kunt valideren of het klopt, en of eventuele logins op een intern systeem moeten. Of desnoods de IT service desk bellen /chatten.

Dat maakt een test met alleen screenshots lastiger.
15-07-2018, 13:21 door Anoniem
hoe weet ik dat deze link niet naar een phishing site leidt?
15-07-2018, 14:11 door Anoniem
Ik heb nog niet zo lang geleden uit nieuwsgierigheid een dergelijke test bij de consumentenbond gedaan. Ik faalde want... ik had van 4 zéér twijfelachtige 'mailtjes' beoordeeld dat ze niet betrouwbaar waren. Nee zei de maker van de test: die maitljes zijn wél betrouwbaar want het emailadres is echt (het was niet te zien of het adres gespoofd was).

Mijn principe: geen enkele mail is betrouwbaar tenzij ik zeker weet waar ie vandaan komt (en dat ik een dergelijke mail kon verwachten). En dan nog klik ik in mails niet op links. Ik ga liever direct naar de site van de betreffende 'relatie' en doe daar wat eventueel moet gebeuren. Die link staat meestal al dan in mijn bladwijzers. Dan weet ik zeker dat ik op de juiste plek zit.
15-07-2018, 14:16 door Anoniem
Sorry,

Maar deze waren te makkelijk. Ik scoorde dan ook 100%.
Ik vraag mij wel eens af of ik te achterdochtig ben of dat andere mensen te naïef.
15-07-2018, 14:36 door Anoniem
"You Got 7 of 7 Correct"

Sommige waren best lastig, en ik heb af en toe even getwijfeld. Toch 100% score, blijkbaar.
15-07-2018, 14:57 door Anoniem
valt mee: 7/7
15-07-2018, 16:20 door Anoniem
6 van de 7 omdat ik chromefile niet ken. Dit moet ik eigenlijk eens aan familie geven en kijken wat daar de uitkomsten van zijn.
15-07-2018, 16:43 door Anoniem
Deze test werkt met screenshots. Het eerste wat ik doe (in mutt, TYVM) is om de full headers op te vragen. Dat kan hier niet.

Dus ik zeg, dit spelletje speel ik niet mee. Ik zorg dat ik bruikbare informatiebronnen heb om mijn beslissingen op te baseren en dat is dit niet.
15-07-2018, 18:16 door Briolet
Dit is natuurlijk een onzin test omdat de meest relevante info voor een beslissing ontbreekt. Je ziet b.v. geen headers van de mail.
15-07-2018, 18:25 door Anoniem
5/7
maarja, het zijn van die veel gemaakte fouten, waar ik in het echte leven wel altijd naar kijk. Ik had namelijk niet op de afbeelding gezien dat de url wordt weergegeven in de dhl mail.

chromefile.com nooit van gehoort trouwens en dacht meteen dat het phishing was. Maarja, dat is omdat ik niet meedoe met de Google stuff, dus ik zou de mail sowieso genegeerd hebben.
15-07-2018, 18:40 door Anoniem
Door Briolet: Dit is natuurlijk een onzin test omdat de meest relevante info voor een beslissing ontbreekt. Je ziet b.v. geen headers van de mail.

Je hebt helemaal gelijk. Geen headers, geen namen, geen email adressen, onderliggende links zijn niet te zien, etc.

Slechte test dus, maar ik heb hem toch maar gedaan hoewel de uitkomst onzin is. Vooraf moet ik wel zeggen dat ik specialist ben op dit gebied. Ik had volgens de uitslag 1 fout. Dat bestrijd ik, want die ene uitslag had als geadresseerde een niet bestaand bedrijf, daarom heb ik die als phishing gecategoriseerd.

Sonicwall vervalst dus een (volgens hun zeggen) echt bericht en vind dat geen phishing. Ik wel. :)

Erger is dat Sonicwall met deze test mailontvangers op dingen laat letten die beperkte voorspellende waarde hebben.
15-07-2018, 18:42 door Anoniem
Door Briolet: Dit is natuurlijk een onzin test omdat de meest relevante info voor een beslissing ontbreekt. Je ziet b.v. geen headers van de mail.

Tante Truus weet niet wat mail headers zijn.
15-07-2018, 19:04 door Anoniem
Gewoon niet te moeilijk doen en allemaal aanklikken als Phishing. Zo ook je eigen email behandelen. Je klikt toch ook niet wild op alle linkjes in de emails in je spam folder?
15-07-2018, 19:17 door Anoniem
Door Briolet: Dit is natuurlijk een onzin test omdat de meest relevante info voor een beslissing ontbreekt. Je ziet b.v. geen headers van de mail.
Voor een technisch iemand zijn deze zeker noodzakelijk, maar een snelle analyse voor een eind gebruiker is dit best een aardige test.
15-07-2018, 22:00 door root
Ik miste vooral de informatie over waarnaar een link in de mail naartoe verwijst.
15-07-2018, 22:04 door Anoniem
Door Anoniem:
Door Briolet: Dit is natuurlijk een onzin test omdat de meest relevante info voor een beslissing ontbreekt. Je ziet b.v. geen headers van de mail.
Tante Truus weet niet wat mail headers zijn.
Dan mist ze essentieele informatie om kaf van koren te kunnen onderscheiden.

En zo moeilijk is het niet, als we het eens uitlegden. Alleen zijn we te bescheten om het te proberen uit te leggen want "het moet intuitief en gebruiksvriendelijk", terwijl dat uiteindelijk dus contraproductief en zelfs gevaarlijk blijkt te zijn.

Met andere woorden, en omdat het in Jip-en-Janneke taal moet, je weerwoord wijst vooral naar poep in je hoofd.
15-07-2018, 22:16 door Anoniem
Door Anoniem:

[...]

Mijn principe: geen enkele mail is betrouwbaar tenzij ik zeker weet waar ie vandaan komt (en dat ik een dergelijke mail kon verwachten). En dan nog klik ik in mails niet op links. Ik ga liever direct naar de site van de betreffende 'relatie' en doe daar wat eventueel moet gebeuren. Die link staat meestal al dan in mijn bladwijzers. Dan weet ik zeker dat ik op de juiste plek zit.

Eens - ik was 13:06 en zei hetzelfde.
En in mijn functie kan ik die mentale filtering ook doen , en ik denk heel veel mensen.

Maar het wordt lastiger als je mail/phishing advies moet geven aan mensen bij HR, aan sales of support , kortom, mensen met een rol waarbij het normaal is dat er ongevraagde mails binnen komen die gelezen moeten worden.
Sollicitaties, sales hoopt op aanvragen , customer-facing support e.d.
15-07-2018, 22:25 door Briolet
Door Anoniem:
Door Briolet: Dit is natuurlijk een onzin test omdat de meest relevante info voor een beslissing ontbreekt. Je ziet b.v. geen headers van de mail.

Tante Truus weet niet wat mail headers zijn.

Klopt, maar voor een goede test moet je iedereen de mogelijkheden geven waarover hij zelf beschikt voor een oordeel. Nu krijg je dus resultaten die er bij een echte mail niet geweest waren.

Een phishing mail willen herkennen op puur de inhoud, is eigenlijk zinloos.
16-07-2018, 01:42 door Anoniem
alleen vraag 1 fout.
16-07-2018, 08:12 door Anoniem
Eigenlijk is het echte leven veel simpeler, want als ik uit die test alle mails van bedrijven waar ik niets mee te maken heb bestempel als phising, dan faal ik in de test, maar in het echte leven gaat dat aardig op. Ik doe niets met FedEx dus alle mail daarover is foute boel. Ik doe wel iets met SNS, dus alle mail daarover bekijk ik kritisch.
16-07-2018, 08:49 door Anoniem
Sorry Fidelis,

ik klik niet op linkjes van mensen/instanties die ik niet ken of niet vertrouw. Je weet nooit of het een phishing linkje is, en voor je het weet ben je gehackt.

Ben ik nu geslaagd voor de test? :-)
16-07-2018, 10:03 door Anoniem
Ik had ze alle 7 goed. En ook ik mis de technische informatie waar je normaal gesproken als eerste naar kijkt.
16-07-2018, 11:42 door Briolet - Bijgewerkt: 16-07-2018, 11:43
Ik heb alle paginas van de test eens doorlopen en dan naar het resultaat gekeken.

Bij de DHL pagina valt me op dat de getoonde afzender @dhl.com is. Dat is een legitieme afzender en omdat DHL zijn dmarc policy op reject heeft staan, kan die alleen van dhl zelf afkomstig zijn. (Ervan uitgaande dat je ISP op dmarc controleert, wat bij mij gebeurd maar nog lang niet bij alle mailproviders). In mijn optiek is de mail legitiem als hij aankomt bij een serieuze mailprovider.

Ook hun reden dat dit phishing is, klopt niet voor deze test. Zij geven aan dat je dat kunt zien omdat de "Click here" link naar een andere website gaat. Maar die link wordt niet in de test getoond, dus dan mag je dat ook niet als reden opgeven bij de test. Ze hadden die test paginas zo moeten aanmaken dat een hovering over de link, ook bij deze test een popup laat zien.

Verder gaan heel veel links vaak naar een andere site, omdat ze het aanklikken willen tracken en dat doen ze via een externe partij. Bij Ziggo gaan b.v. veel links naar 'mailplus.nl'. Ziggo legt zelf ergens op hun website uit dat dit ook een vertrouwd adres is, maar ik vraag me af hoeveel mensen die pagina bij ziggo weten te vinden.
16-07-2018, 13:01 door Anoniem
Met uitzondering van 1 bedrijf dat ik ken, waren al de mails van bedrijven waar ik geen zaken mee doe. Het is dus heel moeilijk om te besluiten of de mail een fake is of niet. Temeer dat voor mij engelstalige mails zowieso verdacht overkomen.

Dit type tests heeft wel een zekere waarde mits die regio gebonden zijn voorbeelden met mailtjes van bv. Coolblue.be, bol.com, Belgische banken en overheidsdiensten enz. Dan pas zou de test een meerwaarde hebben, maar zoals die nu is opgesteld is die voor ons waardeloos.
16-07-2018, 14:27 door Anoniem
Door Anoniem:
Door Anoniem:
Door Briolet: Dit is natuurlijk een onzin test omdat de meest relevante info voor een beslissing ontbreekt. Je ziet b.v. geen headers van de mail.
Tante Truus weet niet wat mail headers zijn.
Dan mist ze essentieele informatie om kaf van koren te kunnen onderscheiden.

En zo moeilijk is het niet, als we het eens uitlegden

Dan moet je eerst met Microsoft in de slag want die maken het in iedere nieuwe software versie lastiger om dit soort
informatie te benaderen. Headers kun je nu alleen nog zien in een pietepeuterig klein (en niet schaalbaar) venstertje.
Ook andere zaken zoals het weglaten van het mail adres in mail "van bekende afzenders" is een van de domme dingen
die men daar doet die phishing herkennen steeds lastiger maken.
16-07-2018, 15:25 door Anoniem
Door Anoniem:
Dan moet je eerst met Microsoft in de slag want die maken het in iedere nieuwe software versie lastiger om dit soort
informatie te benaderen. Headers kun je nu alleen nog zien in een pietepeuterig klein (en niet schaalbaar) venstertje.
Ook andere zaken zoals het weglaten van het mail adres in mail "van bekende afzenders" is een van de domme dingen
die men daar doet die phishing herkennen steeds lastiger maken.
Ik gebruik gewoon de Message Headers Analyser plugin. Doe doet het in Outlook, maar ook in Webmail (outlook.com/Office365). Daar krijg je keurig alles in een fatsoenlijk venster te zien.
16-07-2018, 15:41 door Anoniem
7/7 goed.

Chromefile en DHL waren de moeilijkste. Van DHL weet ik dat het zo niet werkt.
16-07-2018, 15:50 door Anoniem
Zit ook nog een fout in bij de uitleg........waardoor een "legitimate" eigenlijk een "phishing" e-mail is.... slechte test
16-07-2018, 16:16 door Anoniem
Door Anoniem: 6 van de 7 omdat ik chromefile niet ken. Dit moet ik eigenlijk eens aan familie geven en kijken wat daar de uitkomsten van zijn.

Hier precies zo, ik vind die chromefile ook verdacht. Blijkbaar niet terecht, maar ik denk dat die toko eens goed moet kijken hoe ze hun mails sturen zodat er geen misstanden kunnen ontstaan en ze ten onrechte in mijn /dev/null verdwijnen.
16-07-2018, 16:29 door Anoniem
6/7. Taalfouten en email adressen die niet klopten. Niet echt heel spannend.
16-07-2018, 17:46 door Anoniem
Die eerste is wel degelijk phishing. Het domein bestaat niet.
De reden dat ze zeggen dat die wel legitiem is, is van de zotte.
16-07-2018, 18:52 door Briolet
Door Anoniem:
Door Anoniem:
Tante Truus weet niet wat mail headers zijn.
Dan mist ze essentieele informatie om kaf van koren te kunnen onderscheiden.

En zo moeilijk is het niet, als we het eens uitlegden. Alleen zijn we te bescheten om het te proberen uit te leggen want "het moet intuitief en gebruiksvriendelijk", …

Als je een Tante Truus bent, moet je zeker geen mailaccount bij je eigen ISP nemen, want die scoren slecht in mailbescherming. Neem een G-Mail account. Misschien slecht op privacy gebied, maar ze zetten goed in op bescherming van de gebruiker tegen mallware. Via hun webmail kun je aanvullende veiligheids info krijgen als je het pull-down menu bij "aan mij" opent.

Daar staat b.v. wie de mail ondertekend heeft (Dat is de dkim ondertekening) en wie de mail echt verzonden heeft (Dat kan een ander adres zijn dan in de afzender staat).
Al die headers hoef je dan niet te begrijpen als je maar kijkt of de ondertekening door dezelfde site gebeurd is als de afzender. Als het afwijkt kan het nog steeds goed zijn, maar persoonlijk vind ik het een slechte zaak als de afzender de mail niet zelf ondertekent. Persoonlijk vind ik het een matig menu, maar voor 'Tante Truus' in elk geval beter te begrijpen dan headers.

Vroeger liet Ziggo zijn mailings ook door een externe partij ondertekenen, maar gelukkig hebben zij hun proces zo aangepast dat de externe partij ook een eigen private sleutel heeft om namens Ziggo te kunnen ondertekenen. Ik denk zelfs dat Ziggo die private key niet heeft, maar alleen de public key in hun eigen DNS record heeft gezet.
Steeds meer bedrijven die mailings verzorgen, ondertekenen met met de naam van de firma in wiens opdracht ze verzenden. Dit maakt het voor Tante Truus een stuk gemakkelijker.
16-07-2018, 22:44 door Anoniem
Door Anoniem: hoe weet ik dat deze link niet naar een phishing site leidt?

Helemaal dit! Dus antwoord, nee ik trap niet in phishing waarbij links als deze de phishing zelf kunnen zijn.
Allen die op de link geklikt hebben hebben dus gefaalt!

Goede opmerking van deze poster die de correcte vraag stelde.
17-07-2018, 09:48 door Anoniem
Door Briolet: Ik heb alle paginas van de test eens doorlopen en dan naar het resultaat gekeken.

Verder gaan heel veel links vaak naar een andere site, omdat ze het aanklikken willen tracken en dat doen ze via een externe partij. Bij Ziggo gaan b.v. veel links naar 'mailplus.nl'. Ziggo legt zelf ergens op hun website uit dat dit ook een vertrouwd adres is, maar ik vraag me af hoeveel mensen die pagina bij ziggo weten te vinden.

Ik zag zo'n mailtje langs komen waarbij grootsprakerig werd medegedeeld dat ze aan antiphishing deden met nog een ander domein. Gebruik dan in zo'n email dan geen third party domein, sukkels! Iedere goed opgeleide gebruiker zou dat bericht hebben geïnterpreteerd als phishing. Dan kun je nog zoveel keer op je site uitleggen dat het een vertrouwd domein is, dan nog is het ernstig fout. Gebruik gewoon je eigen domein. Dan heb je maar eens een keer geen tracking die tot klantniveau is te herleiden. Dat doel is volkomen ondergeschikt aan veiligheid.
17-07-2018, 09:56 door Anoniem
5/7. Ben het eens met veel van bovenstaande commentaren. Als je de dienst niet kent, geen klant bent, niets recents besteld hebt, weet of denk je al snel dat iets spam is. Hubspot vond ik lastig. Factuur had datum 30/10, terwijl de mail de 29e was binnengekomen. Een mismatch. Ken de dienst verder ook niet, dus dan spam. Maar dat had ik fout. Tja, misschien ben ik wat te voorzichtig. ;-)
17-07-2018, 10:50 door Anoniem
6 out of 7 OK... Only first one (Chromefile) wrong!
17-07-2018, 12:20 door Briolet - Bijgewerkt: 17-07-2018, 12:23
Door Anoniem:
Door Briolet: …Verder gaan heel veel links vaak naar een andere site, omdat ze het aanklikken willen tracken en dat doen ze via een externe partij. Bij Ziggo gaan b.v. veel links naar 'mailplus.nl'. …

…Gebruik gewoon je eigen domein. Dan heb je maar eens een keer geen tracking die tot klantniveau is te herleiden. Dat doel is volkomen ondergeschikt aan veiligheid.

Tracking door een 3th party kan nog steeds. In het voorbeeld van Ziggo en Mailplus, kan Ziggo een subdomein "mailplus.ziggo.nl" aanmaken die naar de trackingsite van mailplus.nl wijst. Dat is dan een subdomein die in controle van mailplus staat waar ze hun ding kunnen doen als vanouds. In elk geval weet je dan dat het via een subdomein gaat waar Ziggo zelf naar toe verwijst. De linkjes zijn dan veel simpeler te vertrouwen.

Nu gaan de linkjes naar "ziggo.mailplus.nl". Voor tante truus ziet dat er misschien ook weer vertrouwd uit omdat de link met "ziggo" begint. (:-
17-07-2018, 15:09 door Anoniem
Geinig testje. De test van de consumentenbond vind ik echter beter, omdat die ook Nederlandse mails gebruikt én, niet geheel onbelangrijk, je kunt daar over linkjes hoveren om te zien wat er daadwerkelijk achter een link zit. Dat is veelal de grootste giveaway in phishing mails.
17-07-2018, 16:14 door Anoniem
5-7

Had Chrome en HubSpot fout.

Waarom?

Chromefile.com had gespoofed kunnen zijn en zou eerder verwachten dat de mail verstuurd zou worden via chromeriver.com.
Bij de HubSpot mail wijken de purchase date en de verzend datum af.
18-07-2018, 01:39 door Anoniem
6 van de 7 goed, maar echt informatie ontbreekt, en alleen screenshots is niet een echte manier om te oordelen.
ik heb een voorbeeld van een phishing mail van mijn bank.
originele email is info@mcb-bank.com
ik kreeg een mail met info@mcb_bank.com
klijn verschil wat jou mischien niet zo snel zal opvallen, maar ik twijfelde, en ben persoonlijk langs mijn bank gegaan, met screenshot op mijn telefoon, en na het ze te laten zien, bleek echt nep te zijn.
18-07-2018, 12:05 door Anoniem
6/7 goed alleen de eerste fout.

Een gezond wantrouwen is tegenwoordig nodig gezien op elke hoek van de straat iemand je probeert te belazeren.

Phishing werkt omdat de meeste mensen te veel vertrouwen hebben in de medemens. Dit is dezelfde reden waarom er nog zoveel reguliere fraude is en waarom propaganda zo goed werkt(ja ook in het westen!).

Veel mensen kunnen gewoonweg het onderscheid niet maken tussen echt en nep als het gaat om e-mails, websites e.d. stop daarbij een gevoel van urgentie of straf en bingo.

Training op scholen omtrent omgaan met de digitale wereld(fraude, privacy, think before you do, etc.) zou erg helpen de volgende generaties voor te bereiden.
18-07-2018, 14:50 door Anoniem
Trap jij in een phish?

Wanneer je *weet* dat je een phishing test aan het doen bent ? De vraag of mensen erin trappen wanneer ze dit *niet* weten is iets boeiender.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.