image

Minister: slachtoffers van phishing hoeven zich niet te schamen

zondag 26 mei 2019, 15:52 door Redactie, 26 reacties

Mensen die slachtoffer worden van phishing hoeven zich niet te schamen, zo stelt minister Grapperhaus van Justitie en Veiligheid. De overheid is een nieuwe campagne gestart die mensen oproept om zich beter te beschermen tegen internetcriminaliteit.

Tijdens de Landelijke Veiligheidsdag in Almere gisteren trapte minister Grapperhaus de publiekscampagne 'Eerst checken, dan klikken' af. Volgens het ministerie van Justitie en Veiligheid worden criminelen steeds handiger in het verkrijgen van toegang tot computers, tablets en smartphones, en is het belangrijk dat mensen zelf ook alerter online worden. De nieuwe campagne roept mensen daarom op eerst te checken of een link, bijlage of betaalverzoek in een e-mail, sms of appje te vertrouwen is en pas te klikken als ze daar zeker van zijn.

"We moeten af van het taboe op slachtofferschap van phishing. Het kan iedereen gebeuren, het is niets om je voor te schamen. Iedereen heeft er last van, dus we moeten iets doen. Allemaal. Wees daarom voorzichtig wanneer u op een link, bijlage of betaalverzoek klikt. Voordat u het weet, geeft u internetcriminelen toegang tot uw digitale leven", aldus Grapperhaus.

Naast de Rijksoverheid zetten ook gemeenten, brancheorganisaties en bedrijven zich in om mensen te wijzen op beveiligingsmaatregelen. Meer dan twintig partijen hebben gisteren het convenant 'Preventie cybercriminaliteit' ondertekend. Daarin spreken zij met elkaar af zich in te zetten om mensen te stimuleren preventieve maatregelen te nemen, zoals het gebruik van een virusscanner en verschillende sterke wachtwoorden, het direct installeren van beveiligingsupdates en het regelmatig maken van back-ups. De campagnespot van Eerst checken, dan klikken is vanaf maandag 27 mei te zien op tv, online en sociale media.

Reacties (26)
26-05-2019, 16:07 door [Account Verwijderd]
"Het kan iedereen gebeuren, het is niets om je voor te schamen."
Nee hoor, als je gewoon gebruik maakt van degelijk inlogmiddelen zoals security keys of smartcards kun je helemaal geen slachtoffer worden van phishing. Dit is daarnaast ook geen probleem van gebruikers, maar van de bedrijven die geen sterke authenticatie middelen ondersteunen.

In plaats van mooie praatjes houden zou de minister er eens voor moeten zorgen dan wij als burgers op een veilige manier kunnen inloggen bij Digid. En daarna besluiten dat als bedrijven geen maatregelen tegen phishing nemen, dat niet als 'passende en adequate beveiliging' gezien mag worden. Eens kijken hoe snel het probleem dan opgelost zou zijn...
26-05-2019, 16:11 door Anoniem
Ideetje: gewoon stoppen met die digi-dwang vanuit de Roverheid en banken?
26-05-2019, 16:19 door Anoniem
Door Acrimony:
"Het kan iedereen gebeuren, het is niets om je voor te schamen."
Nee hoor, als je gewoon gebruik maakt van degelijk inlogmiddelen zoals security keys of smartcards kun je helemaal geen slachtoffer worden van phishing. Dit is daarnaast ook geen probleem van gebruikers, maar van de bedrijven die geen sterke authenticatie middelen ondersteunen.

In plaats van mooie praatjes houden zou de minister er eens voor moeten zorgen dan wij als burgers op een veilige manier kunnen inloggen bij Digid. En daarna besluiten dat als bedrijven geen maatregelen tegen phishing nemen, dat niet als 'passende en adequate beveiliging' gezien mag worden. Eens kijken hoe snel het probleem dan opgelost zou zijn...

Ik snap niet echt je punt.

Natuurlijk moet binnen het bedrijf alles zo secure mogelijk zijn, maar de zwakke schakel is en blijft de werknemers.
Ik vind het een goed idee om toelichting te brengen aan mensen die hier nog nooit over gehoord hebben.

Als je werknemers niet weten hoe ze veilig met mails links etc kunnen omgaan dan is het bedrijf ook snel tegen de grond, kijk maar eens naar de laatste paar nieuwsberichten.

Het is niet wat we willen zien maar ik vind dat we ergens moeten beginnen met mensen informeren, en dit is een goed begin.
26-05-2019, 17:20 door Anoniem
Door Acrimony: Nee hoor, als je gewoon gebruik maakt van degelijk inlogmiddelen zoals security keys of smartcards kun je helemaal geen slachtoffer worden van phishing.
Daarom zijn er onder bankrekeninghouders ook geen phishing-slachtoffers.

Oh, wacht...
https://nos.nl/artikel/2277755-schade-banken-door-phishing-neemt-explosief-toe.html
26-05-2019, 18:55 door Anoniem
"We moeten af van het taboe op slachtofferschap van phishing. Het kan iedereen gebeuren."
Nee, het kan alleen sukkels overkomen die niet op hun hoede zijn, de risico's niet kennen en geen verstand hebben van hoe het werkt. (en dat zijn er nogal wat).

Of hoeft bijvoorbeeld niemand zich als inbreker meer te schamen als er heel veel mensen inbreken?......
Misschien moet de overheid behalve de nogal stupide term "scheefwonen" eindelijk eens de intelligente term "scheefredeneren" introduceren?

Pressbrainsharder
26-05-2019, 19:00 door [Account Verwijderd] - Bijgewerkt: 26-05-2019, 19:01
Door Anoniem: Daarom zijn er onder bankrekeninghouders ook geen phishing-slachtoffers.
Met smarcard doel ik een cryptografische handtekening op de (TLS) verbinding met de website van de bank. Dat is iets meer dan alleen een chipje op je bankpas. Dat er mensen slachtoffer worden van phishing bij banken is dus niet zo bijzonder, de banken bieden namelijk geen veilige inlogmethodes aan. Sterker nog, als ik de nieuwe Strong Customer Authentication (SCA) sectie van de PSD2 lees lijkt het erop dat de hele sector er zoveel mogelijk aan doet om vast te houden aan oude en onveilige inlogmethoden (specifiek de transactie verificatie codes e.d.)

Door Anoniem:Natuurlijk moet binnen het bedrijf alles zo secure mogelijk zijn, maar de zwakke schakel is en blijft de werknemers.
Mijn punt is dat die zwakke schakel bij phishing (gebruikers die op een neppe website inloggen) helemaal geen zwakke schakel hoeft te zijn. In het algemeen ben ik het zeker met je eens dat bewustwording nodig is, ook om een heel aantal andere dreigingen tegen te gaan als CEO fraude e.d., maar in dit geval is het zeker mogelijk om je systeem zo in te richten dat er geen phishing kan plaatsvinden. Ik blijf het frappant vinden dat iedereen opeens doet alsof dit een probleem is dat de gebruikers zouden moeten oplossen (en de overheid ze zou moeten helpen met dit soort bewustwordingscampagnes). Dat is gewoon onjuist, bedrijven zouden veilige inlogmethoden moeten aanbieden, dan zou het hele probleem van phishing niet bestaan.

Om het nog even in de woorden van Google te beschrijven van vorige week:
"In fact, zero users that exclusively use security keys fell victim to targeted phishing during our investigation." https://security.googleblog.com/2019/05/new-research-how-effective-is-basic.html
26-05-2019, 20:02 door Anoniem
Opvallend, dat de specialisten hier meteen vol in de aanval gaan op de techniek, terwijl de zwakste schakel toch de , al dan niet onwetende of domme, gebruiker is.
26-05-2019, 22:08 door Ignitem - Bijgewerkt: 26-05-2019, 22:09
Er is op technisch gebied heel wat te bedenken om de zwakkere in de samenleving en digibeten beter te beschermen.
Bijvoorbeeld een controle mechanisme als je op een ander device inlogt bij je bank. Of transacties naar nieuwe bankrekeningen met 24 uur uitstellen en hier een SMS voor sturen. Grote bedragen uitstellen en extra laten accorderen. Desnoods door een tweede persoon hetgeen handig is voor verwarde ouderen en mentaal zwakkere personen.

Juist voor privérekeningen is er heel wat te bedenken, zodat je als je de telefoon neer hebt gelegd of het mailtje verstuurd hebt het e.e.a. nog terug kan draaien. Dit voorkomt al veel leed.
26-05-2019, 22:19 door [Account Verwijderd]
Door Anoniem:
"We moeten af van het taboe op slachtofferschap van phishing. Het kan iedereen gebeuren."
Nee, het kan alleen sukkels overkomen die niet op hun hoede zijn, de risico's niet kennen en geen verstand hebben van hoe het werkt. (en dat zijn er nogal wat).

Pressbrainsharder

Wat ben je goed!

Zou je als hoogbegaafde niet-sukkel de test misschien willen doen waarvan ik helemaal onderaan deze post de URL hebt geplaatst en daarna eerlijk met ons de uitslag delen?
Wij, sukkels, wachten eerbiedig af want we zullen ongetwijfeld veel kunnen leren van je kundige geniale argusogen op het gebied van herkenning van phishing.

https://phishingquiz.withgoogle.com/
27-05-2019, 00:35 door Anoniem
Goed gedaan, Tim Kuik! Je had 6/8 goed.
Pijnlijk. Eén fout vind ik oké dat ik die niet zag, maar die andere had niet mogen gebeuren.
27-05-2019, 07:36 door spatieman
bij vraag 1 had ik al een probleem, maar gezien ik net pas wakker ben en nog geen koffie op heb ,oeps...

Alleen bij vraag 4 voor de dropbox had ik mijn twijfels, gezien mijn naam bekend is, zou ik verwachten met meneer ...
aangesproken te worden.

en bij vraag 8 had ik mijn twijfels, en drukte op phisie.

6 van de 8 goed, niet verkeerd, maar toch ik in een echte situatie nu een probleem hebben gehad.
27-05-2019, 07:59 door Bitje-scheef - Bijgewerkt: 27-05-2019, 08:00
Je kunt niet verwachten dat iedere werknemer alle 'red flags' herkent. Als IT'er moet je er toch minimaal 9 v.d.10 herkennen.

Mijn ervaring is dat de collega-werknemer geen tijd neemt om de email goed te lezen, waarom ? Ze willen alles zo snel mogelijk af hebben. Tijdsdruk...

Een deel is technologisch af te vangen, maar het trainen van personeel is waar de grootste winst (op het moment) valt te halen. Je moet ze een beetje opvoeden om niet overal zomaar op te klikken.
27-05-2019, 08:36 door Anoniem
Minister: slachtoffers van phishing hoeven zich niet te schamen
Deze reacties: Jawel
27-05-2019, 09:30 door Anoniem
Ideetje: gewoon stoppen met die digi-dwang vanuit de Roverheid en banken?

Zal het probleem van phishing echt verhelpen. Maarja, alles is voor jou natuurlijk schuld van overheid & banken. Jij wil zeker alles op papier, niet digitaal, en je hebt daarbij vast en zeker geen bezwaar tegen extra kosten, omdat dat duurder is, en minder efficient.
27-05-2019, 09:33 door Anoniem
Door Acrimony:
"Het kan iedereen gebeuren, het is niets om je voor te schamen."
Nee hoor, als je gewoon gebruik maakt van degelijk inlogmiddelen zoals security keys of smartcards kun je helemaal geen slachtoffer worden van phishing. Dit is daarnaast ook geen probleem van gebruikers, maar van de bedrijven die geen sterke authenticatie middelen ondersteunen.

Dus jouw conclusie is dat het slachtoffer zich niet hoeft te schamen. Het is namelijk de schuld van de organisatie en niet van de individuele gebruiker die er in is getrapt.

En ook bedrijven hoeven zich niet te schamen. Criminelen hebben ook al technieken ontwikkeld om misbruik te maken van 2FA.

Door Bitje-scheef: Je kunt niet verwachten dat iedere werknemer alle 'red flags' herkent. Als IT'er moet je er toch minimaal 9 v.d.10 herkennen.

En een aanvaller heeft alleen maar die ene overblijvende nodig om binnen te komen.

Ik ken het verhaal van iemand die binnen de organisatie zelf phishingtesten uitvoert. En toch blijkt hij in zijn eigen test te kunnen trappen. Op vrijdag de test klaargemaakt. Druk, stressvol weekend. En maandagochtend komt hij op het werk en wil snel wat dingen oplossen. En dan is een verkeerde klik zo gemaakt.

Of een voorbeeld dat ik zelf geef als iemand weer technische oplossingen, zoals een virusscanner, voorstelt. Ik ben een keer in mei besmet geraakt. De virusscanner vond de malware pas in september. Gelukkig had ik ook een goede firewall, zodat de malware niets had kunnen doen. Maar het toont aan dat technische oplossingen misschien in een aantal gevallen helpen, maar het probleem niet oplossen.

Peter
27-05-2019, 11:35 door hanspaint - Bijgewerkt: 27-05-2019, 11:40
In plaats van mooie praatjes houden zou de minister er eens voor moeten zorgen dan wij als burgers op een veilige manier kunnen inloggen bij Digid. En daarna besluiten dat als bedrijven geen maatregelen tegen phishing nemen, dat niet als 'passende en adequate beveiliging' gezien mag worden. Eens kijken hoe snel het probleem dan opgelost zou zijn...[/quote]

Veilig internetten begint bij jezelf en dat is ook zo voor DigiD.
27-05-2019, 11:39 door hanspaint
Door Anoniem: Ideetje: gewoon stoppen met die digi-dwang vanuit de Roverheid en banken?

Dit soort domme opmerking horen niet op dit forum
27-05-2019, 11:41 door Anoniem
Door Acrimony:
Door Anoniem: Daarom zijn er onder bankrekeninghouders ook geen phishing-slachtoffers.
Met smarcard doel ik een cryptografische handtekening op de (TLS) verbinding met de website van de bank
Je had het niet alleen over smartcards, je schreef "security keys of smartcards".
27-05-2019, 11:52 door Anoniem
Door Acrimony: Dat is gewoon onjuist, bedrijven zouden veilige inlogmethoden moeten aanbieden, dan zou het hele probleem van phishing niet bestaan.
Onzin, hoe " veilig" je het ook maakt, als de gebruiker zijn gegevens blijft afgeven, helpt de beste inlog ook niet.
27-05-2019, 12:18 door Anoniem

Alles gewoon markeren als verdacht,.
dan kan er nooit wat fout gaan.

Als je ergens op drukt, dan verwacht je binnen enkele minuten een mail te krijgen dat je iets moet doen.
Als je onverwacht ergens een mailtje van krijgt dan kan je het vaak al meteen weggooien.

Aangezien we de tijdlijn niet precies weten van deze voorbeelden is dat meteen al wat lastiger in te schatten (nummer 8 b.v)
Verder alles goed hier.
27-05-2019, 12:56 door Anoniem
Mensen die slachtoffer worden van phishing hoeven zich niet te schamen, zo stelt minister Grapperhaus
Ach, onze grappenmaker doet weer eens een uitspraak. In tegenstelling tot zijn bewering vind ik dat mensen zich wel degelijk mogen schamen wanneer ze in phishing trappen. Ik geef regelmatig cyberweerbaarheidstrainingen en daarin laat ik o.a. diverse vormen van phishing zien maar ook de gevolgen ervan. Tijdens de training herkent vrijwel iedereen de phish en geeft aan daar niet in te trappen. Mooi resultaat denk je, tot ik de volgende dag één van de mailtjes aan de groep stuur, die ze er eerder haarfijn tussenuit pikten. Dan krijg ik geheid een respons van ruim een kwart die er toch in trapt. Dan mogen de mensen zich echt wel gaan schamen hoor.
Als we kijken naar alle aandacht die cybercriminaliteit de afgelopen jaren heeft gehad maar dat er nog steeds veel teveel mensen nog steeds in trappen betekend dat er iets bij het volk niet helemaal goed zit tussen de oren. Meestal telt een gewaarschuwd mens voor 2 maar het lijkt wel alsof ze zich allemaal in de afgrond blijven storten ofschoon er allemaal rode vlaggen wapperen.
Neem nu de Instagram en Whatsapp fraude, of je even iemand geld kan sturen. Regel 1 is even bellen met degene i.p.v. dom gewoon geld over maken. Al iemand wel online is maar geen telefoon beantwoord weet je eigenlijk al genoeg.
Gezond boerenverstand lijkt bij veel mensen tegenwoordig geheel afwezig te zijn.
Misschien klinkt bovenstaande wel niet politiek correct maar ik ben van mening dat iedereen wel degelijk een eigen verantwoordelijkheid heeft om zich te informeren maar ook om zichzelf tegen cybercriminaliteit te beschermen.
Maar wat mij niet aanstaat is, als mensen dan toch slachtoffer worden, dat de Politie er vervolgens niets mee doet. Daar zou onze grappenmaker zich ook eens druk over moeten maken. Slachtoffers van identiteitsfraude staan volledig in de kou en worden dubbel gepakt omdat de Politie het werk niet doet.
27-05-2019, 16:13 door Anoniem
Door hanspaint: In plaats van mooie praatjes houden zou de minister er eens voor moeten zorgen dan wij als burgers op een veilige manier kunnen inloggen bij Digid. En daarna besluiten dat als bedrijven geen maatregelen tegen phishing nemen, dat niet als 'passende en adequate beveiliging' gezien mag worden. Eens kijken hoe snel het probleem dan opgelost zou zijn...


Veilig internetten begint bij jezelf en dat is ook zo voor DigiD.[/quote]Welke maatregelen zou een bedrijf tegen phishing zou moeten nemen. Hoe vaak geeft een bank niet aan, dat ze NOOIT om bepaalde gegevens vragen en bepaalde gebruikers vullen ze gewoon in.
28-05-2019, 09:02 door Anoniem
Door hanspaint: In plaats van mooie praatjes houden zou de minister er eens voor moeten zorgen dan wij als burgers op een veilige manier kunnen inloggen bij Digid.

Wat vind jij een veilige manier? Een authenticatie app? Die is er.

En daarna besluiten dat als bedrijven geen maatregelen tegen phishing nemen, dat niet als 'passende en adequate beveiliging' gezien mag worden. Eens kijken hoe snel het probleem dan opgelost zou zijn...

Dat kan de minister niet besluiten. Dat is bij wet neergelegd bij de AP.

Veilig internetten begint bij jezelf en dat is ook zo voor DigiD.

Juis, dus installeer die DigiD app.

Peter
28-05-2019, 12:53 door [Account Verwijderd]
Door Peter:Wat vind jij een veilige manier? Een authenticatie app? Die is er.
Een inlogmethode op basis van een open standaard die bescherming biedt tegen een top 10 risico: phishing.

Door Peter:Dat kan de minister niet besluiten. Dat is bij wet neergelegd bij de AP.
Handhaving is inderdaad bij het AP gelegd, maar deze verwijst geregeld door naar andere partijen zoals het NCSC om te bepalen wat wel en niet als veilig gezien kan worden. (Zie bijvoorbeeld de nieuwsberichten laatst over de nieuwe TLS handleiding).

Door Peter:Juis, dus installeer die DigiD app.
Overheids spyware die je door de stort gedrukt wordt. Laat ze eerst die broncode maar eens publiceren zodat we zelf kunnen zien wat er achter de schermen allemaal gebeurt en hoeveel gegevens over je toestel er verzameld wordt.

(Zelf heb ik de app vroeger ook nog wel gebruikt en kan het nog steeds aanraden als je iets van bescherming wil. Toch moet er ergens iemand iets van zeggen dat de hele mobile centric visie van de overheid is doorgeslagen)
28-05-2019, 15:07 door Anoniem
Door Acrimony:
Door Peter:Wat vind jij een veilige manier? Een authenticatie app? Die is er.
Een inlogmethode op basis van een open standaard die bescherming biedt tegen een top 10 risico: phishing.
Juist iets wat de DigiD app vrij goed doorvoert. Hij is vrij goed tegen phishing mogelijkheden.

Door Peter:Juis, dus installeer die DigiD app.
Overheids spyware die je door de stort gedrukt wordt. Laat ze eerst die broncode maar eens publiceren zodat we zelf kunnen zien wat er achter de schermen allemaal gebeurt en hoeveel gegevens over je toestel er verzameld wordt.
Opbasis waarvan doe jij je spyware conclusie? Fingerspitzengefühl?

Toch moet er ergens iemand iets van zeggen dat de hele mobile centric visie van de overheid is doorgeslagen)
Toch moet er ergens iemand iets van zeggen dat de hele mobile centric visie van de overheid eindelijk steeds meer visie opleverd. Ze gaan vooruit, bieden nieuwe en verbeterde functionaliteit.

Ofwel ze zijn op de goede weg. Dat wil niet zeggen dat ze op hun eind bestemming zijn.
28-05-2019, 16:19 door [Account Verwijderd] - Bijgewerkt: 28-05-2019, 16:20
Door Anoniem: Juist iets wat de DigiD app vrij goed doorvoert. Hij is vrij goed tegen phishing mogelijkheden.
Enkele maanden geleden kon ik via een Evilginx proxy, custom domain en de Digid app (niveau substantieel, afgedwongen) gewoon inloggen. Dat geeft aan dat er geen enkele bescherming tegen phishing aanwezig is in de Digid app, anders had dat niet kunnen werken. Overigens is het 'niet kopieerbaar' vereiste niet verplicht gesteld voor alle bestaande inlogmethoden, dat is het alleen bij Digid Hoog wat nog niet bestaat. Er is dus ook geen enkele noodzaak vanuit de standaard om rekening te houden met phishing in de app zoals die nu gebruikt wordt.

Toch moet er ergens iemand iets van zeggen dat de hele mobile centric visie van de overheid eindelijk steeds meer visie opleverd. Ze gaan vooruit, bieden nieuwe en verbeterde functionaliteit.
Ik ben een zwaar tegenstander van het idee dat alle burgers in Nederland maar een Apple of Google smartphone moeten aanschaffen en dan tal aan overheids apps moet installeren om zo digitaal zaken te kunnen doen. Dat is wat de mobile centric visie van de overheid behelst.

Allemaal leuk en aardig die apps, zolang het maar extra en optioneel is. Het zou beter zijn als de overheid alles op basis van open standaarden zou gaan aanbieden. Iets als een normale website die je via HTTP(S) ophaalt bijvoorbeeld, dat werkt al jaren prima. Dan neem ik mijn eigen webbrowser wel mee.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.