Europol en bedrijfsleven gaan samen phishing bestrijden
Europol, banken, securitybedrijven en telecomproviders hebben de afgelopen dagen informatie gedeeld over de impact van phishing en hoe deze vorm van criminaliteit samen met opsporingsdiensten kan worden aangepakt. Experts uit de verschillende bedrijfstakken kwamen gisteren en vandaag bij elkaar om inzichten uit te wisselen. Phishing is nog altijd de motor van veel verschillende vormen van cybercrime, aldus Steven Wilson, hoofd van het Europese Cybercrime Centre dat onderdeel van Europol is.
De bijeenkomst leidde tot verschillende conclusies en aanbevelingen. Zo moet de informatie-uitwisseling tussen bedrijven, opsporingsdiensten en de publieke sector worden verbeterd. Tevens moeten basale maatregelen worden getroffen, zoals het blacklisten van domeinen, veilige authenticatie en het blokkeren van veelgebruikte exploits. De experts pleitten ook voor het gebruik van machine learning om phishingmails te detecteren.
Naast technische maatregelen is het ook belangrijk dat gebruikers op een permanente basis worden getraind en onderwezen, in plaats van een eenmalige actie, zo concludeerden de experts. Vandaag maakte Betaalvereniging Nederland nog bekend dat phishing het afgelopen jaar voor een miljoenenschade bij internetbankieren heeft gezorgd en ook in België wisten criminelen via phishing miljoenen euro's te stelen.
Aan de hand van deze conclusies zullen er later dit jaar adviezen en aanbevelingen worden gepubliceerd, waarbij het probleem van phishing en mogelijke oplossingen vanuit een opsporingsperspectief worden besproken. "Phishing is de motor en facilitator van vele cybermisdrijven, en kan grote schade aan Europese burgers en hun organisaties aanrichten. Alleen door met verschillende industrieën en experts samen te werken kunnen we deze dreiging tegengaan en de EU veilig houden", zegt Wilson.
Ik vraag me echt af waarom die nieuwe verplichting zo weinig aandacht heeft gekregen. Die is echt een potentiele verbetering van de privacy en klantrechten.
In de tekst [0] lees ik een hoop technische eisen staan omtrent authenticatie codes en dat er verschillende 'elementen' (kennis, bezit, biometrisch) gebruikt moeten worden, echter mis eisen die phishing onmogelijk zouden maken. Als ik het zo lees valt het standaard scenario met een hardware token + pincode hier prima binnen, terwijl dat zo vatbaar is voor phishing als het maar zijn kan.
Misschien dat ik iets over het hoofd zie, maar als er een eis zou zijn waarbij met rekening moet houden met phishing (los van de algemene fraude percentages), heeft iemand van de lobby liggen slapen. Er is naar mijn weten geen enkele bank (met website, niet alleen de apps) die dat namelijk doet en zou betekenen dat ze allemaal spontaan hun inlog proces moeten omgooien.
[0] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018R0389&from=EN
...
Als de Technische Cyber Hygiene lessen achterwege blijven, dan zal er weinig terug te dringen zijn.
Dweilen met de kraan open helpt hier niet, ook wisselende 70.000 of meer domeinen grote blokkeringsfilters niet of nauwelijks. Moster na de bekende maaltijd.
Als de inspanningen achterwege blijven op client en nog belangrijker aan de server kant,
dan is het jammer van "die druppel op de gloeiende plaat".
Als het niet keihard gaat aangepakt worden, (als het al kan?),
zoals phishing sites direct neerhalen of een three strikes out beleid toepassen,
gaat het nooit over en blijven cybercriminelen hun slag slaan.
Pakkans gering, zeker als je buiten je eigen achtertuin sch**t.
Denk aan alle ellende, die ze veroorzaken met bijvoorbeeld bitcoin afpersings-threat-mails,
maar dan ook gelijk de lamlendige mailsecurity van internet providers aanpakken.
Hebben ze nooit van John the Lionharted, a.k.a. the Password Ripper gehoord?
Cyberpolitie doet geen r**t voor de particulier.
Gebrek aan caspaciteit en relevante kennis,
of moeten de andere kant opkijken (van wie toch?).
Maar de grootste storende factor in dit geheel is de volledige onbenul, bij degene niets weet van Internet,
het toch gebruikt en overal naar klikt dat beweegt. Net als bij die bekende "A... drop".
"Het zou verboden moeten worden".
Hoeveel keren moeten we deze boodschap nog herhalen en nog luistert er geen hond.
Want het gaat ze wel goed zo al "lusten de honden van de onveiligheid geen brood".
luntrus
Meestal staan deze sites binnen enkele dagen op zwarte lijsten.
Waarom gebeurt dit nog niet op grote schaal?
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.