Heel goed bezig, applaus !

Als men in een bank werkt dient de persoon naar mijn mening eerst door middel van security toetsing getest te worden, als men zakt, dan helaas zoek maar een andere baan. Het gaat tenslotte om iemand anders hun geld dat men zo in gevaar brengt!

Hoe kan het toch, dat mensen niet inzien dat je NOOIT een ApplicationPDF.exe moet openen!
Zijn mensen soms blind of zo? Sinds wanneer heeft een sollicitatieformulier een dubbele extensie met een uitvoerend bestand (exe)??

Administratie staat toch los van het bank systeem mag ik aannemen? Beetje bizar dat als iets geopend wordt het hele systeem besmet kan worden. Lekker veilig en goede training in veiligheid is geen luxe? T

Social media hoort ook helemaal niet thuis op je werk station.
Doe dat maar op je eigen machine op het gasten netwerk of een 4g verbinding.

Prima idee, maar ook met zo'n getuigenschrift op zak: onderschat niet hoe machtig de sluwheid van social enigineering al is en nog gaat worden als ondersteunende aanvalsvector.

Het zit hem vooral in het winnen van vertrouwen. En nu dus ook al tète a tète (Skype)
Stel jezelf eens de vraag: Heb jij een zodanig psychologisch inzicht dat je vraagtekens stelt bij malware professionals die zichzelf getraind hebben in een zo charismatisch als maar mogelijk is persoonlijke benadering van je? Je moet sterk, neen heel sterk in je schoenen staan want het zijn zeer geraffineerde oplichterspraktijken waarin dit tuig zich traint.
Daarnaast is het slagingspercentage waarschijnlijk hoog. Hoger dan je denkt omdat er ook een schaamtegevoel speelt van "hoe kon ik daar toch intrappen"? dus het komt niet in alle gevallen in de publiciteit.

Malware is big business geworden, dagelijks lees je dat o.a. hier. Het zijn zeker geen amateurs cq. kruimeldiefjes meer die zich voor een zakcentje bezighouden met deze smerige praktijken.

De rol van Skype hier was een communicatie middel om de HR medewerker te overtuigen cq 'helpen' om een plugin te installeren om een CV te zien.
Met Skype op z'n telefoon, of puur telefonisch was dat natuurlijk evengoed gelukt .

Verder: je vindt het abnormaal dat een HR medewerker een video sollicitatie gesprek kan doen ?
Die business case wijs jij lekker af , als IT afdeling zijnde ?
(Kijk ook even hoe groot Chili is )

En telewerken/videoconferencen met andere kantoren is ook maar onzin ?

Het is dus m.i. helemaal geen onzin/speelgoed/doe je maar thuis wanneer Skype (aka MS Lync) op een bedrijfswerkplek mogelijk is - en nog minder als dat bij HR is.

Die hoofdletters in de bestandsnaam (PDF) doen het em.
Als je snel moet werken of om andere redenen vermoeid bent zie je het zo over het hoofd.
Of bent zoals de personen die hier regelmatig klagen wanneer er hoofdletters zijn gebruikt.

Wat banksystemen doen is niets anders dan een reusachtige administratie bijhouden, van saldi, overboekingen, effectentransacties, klantgegevens, noem maar op. Het beeld dat administratie los staat van wat dus administratie is volg ik niet.
Voor zover ik zie is niet het hele netwerk van de bank geïnfecteerd geraakt maar het werkstation van degene die de nepvacature opende.

Het was trouwens een IT-professional die erin trapte volgens de berichten. Die heeft vast wel de benodigde trainingen gehad en meer inzicht in hoe dingen op computers eigenlijk werken dan de gemiddelde medewerker. Dan lijkt het er niet op dat gebrek aan training hier het probleem is.

Ik denk eerder dat mensen, ook professionals, helemaal niet zo goed in staat zijn als ze zelf vaak denken om op dingen die ze echt wel weten ook elk moment alert te zijn. De aandacht van deze persoon was bij een vacature, bij een stap in zijn of haar carriére, niet bij de op zich bekende technische details van de computer die erbij gebruikt werd. Aandacht is iets dat je moet richten op iets en je kan simpelweg niet overal tegelijk op richten. Dat weten aanvallers en daar maken ze misbruik van door je aandacht af te leiden, bijvoorbeeld met een interessante nepvacature.

Het is maar heel beperkt mogelijk om je daartegen te wapenen, want je kan je aandacht nou eenmaal niet overal tegelijk op richten, er is maar een beperkt aantal randvoorwaarden dat je tegelijkertijd actief kan bewaken. De pest met dit soort voorvallen is is dat de schade meteen aangericht is als je zo'n document opent. Het helpt niet om het na een vluchtige blik opzij te leggen en er later nog eens beter naar te kijken als je er ruimte voor hebt in je hoofd, dan heeft de besmetting al plaatsgevonden.

Een deel van het probleem is dus dat software té krachtig is geworden in de zin dat handelingen met grote gevolgen te makkelijk uitgevoerd kunnen worden. Bij mechanische dingen weten we het wel. Een professionele snijmachine die behalve dikke stapels papier ook makkelijk ledematen afsnijdt bijvoorbeeld werkt pas als je twee knoppen tegelijk indrukt op veilige afstand van het mes die zo ver uit elkaar liggen dat je je armen moet strekken en daarbij onmogelijk een hand onder het mes kan krijgen. Bij software is er een trend, die nog steeds gaande is, om alles zo makkelijk en laagdrempelig mogelijk te maken en handelingen te minimaliseren. Het gaat mis omdat riskante dingen té makkelijk zijn. De "weet je dit wel zeker - ja/nee"-dialoogjes die als veiligheidsklep voor riskante dingen moeten dienen volstaan daarbij niet, die gaan irriteren en worden al snel ongelezen weggedrukt. Ze irriteren omdat de hele mens-machine-interface op gemak is ontworpen en dit als een oppervlakkige gedachte achteraf is toegevoegd en vooral overkomt als een verstoring van dat gemak.

Riskante handelingen moeten niet zo makkelijk mogelijk zijn maar juist je volle aandacht vragen. Niet de vluchtige aandacht van het irritante ja/nee-dialoogje, je moet er goed voor gaan zitten om het voor elkaar te krijgen. Dat vergt een fundamenteel andere benadering van het maken van user interfaces dan tot nu toe gehanteerd wordt. Hoe die eruit moet zien weet ik niet, maar dat dingen altijd maar zo makkelijk mogelijk maken niet de juiste benadering is vind ik zo langzamerhand overduidelijk.

Tot dit soort dingen bedacht en uitgewerkt zijn en overal zijn doorgedrongen is het dweilen met de kraan open, vrees ik.

Ik ken iemand die 1000 gulden door de wc gespoeld heeft. Na het doorspoelen kwam pas het besef wat hij gedaan had.

Absoluut ook zeker mee eens, tuig is het zeer zeker.. Zo is het helaas wel, je hebt mensen met fatsoen en... Tuig. Je hebt medewerkers die daar wel doorheen kijken maar er zijn er veel te weinig van. Probleem nummer twee zoals u al aangeeft social engineering. Dus de mensen gaan hoe dan ook ooit echt in geval van een open exploit omdat te laat gepacht is of social engineering en extreme werkdruk (denk aan de feestdagen) de fout in. Dit is gewoon niet te voorkomen omdat wij mensen zijn en mensen maken nou eenmaal fouten.

Misschien in de toekomst als de beste AI zichzelf opnieuw gaat schijven we ooit dichter naar de 0,000001% toe gaan of juist ook wel helemaal niet (skynet), wie weet..

Ik lees scurity awareness training
en het niet toepassen van LUA