AANPAK PHISHING
Als je phishing serieus wilt aanpakken moet je alle internetters de middelen geven om de authenticiteit van websites en e-mail-afzender-domeinen betrouwbaar te kunnen vaststellen. Dat vereist 2 stappen:
1) Het betrouwbaar kunnen associeren van een organisatienaam met een domeinnaam en vice versa (identificatie)
2) Het vaststellen dat je daadwerkelijk communiceert met de betreffende domeinnaam (zowel www als e-mail: authenticatie)

Om 1 zo goed mogelijk te regelen moeten organisaties veel beter nadenken over domeinnamen; dat is nu één grote puinhoop. Phishers maken namelijk handig misbruik van het feit dat internetters niet uit het blote hoofd weten of de gepresenteerde domeinnaam daadwerkelijk van een bepaalde organisatie is, en steeds minder betrouwbare middelen hebben om dat vast te stellen.

Om 2 goed te regelen hebben we betere middelen nodig, en geen verslechtering (zoals https://www.security.nl/posting/645028/Apple+certificate+crazyness).

HOE HET NIET MOET: NATWEST
In https://www.theregister.co.uk/2020/02/19/natwest_uk_domain_bafflement/ las ik gisteren dat enkele dagen geleden de bank NatWest nog zei dat je natwest.co.uk moest gebruiken en daarna ineens natwest.com - waarbij gisteren (ik heb dat zelf vastgesteld) het bezoeken van https://natwest.co.uk je doorstuurde naar een 404-pagina op https://natwest.com (dat is ondertussen gefixed, je wordt doorgestuurd naar https://personal.natwest.com/). Zelfs banken hebben moeite om hun eigen herkenbaarheid goed te regelen...

Overigens hebben deze sites sinds gisteren geen EV certificaat meer. Je kunt bij die vank nog wel internetbankieren met EV-certificaat, maar dan moet je naar https://www.nwolb.com/ (Nat West On Line Banking). Wie bedenkt dat soort domeinnamen?

*.OVERHEID.NL?
Uit https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/informatieveiligheid/veiligheid-en-herkenbaarheid-overheidswebsites-en-email/herkenbaarheid-van-overheidswebsites-en-e-mail/:

Uit https://www.rijksoverheid.nl/documenten/rapporten/2019/01/31/herkenbaarheid-van-en-vertrouwen-in-websites-en-e-mails-van-de-overheid:

Uit dat rapport:

FACEPALM
Ik herhaal de facepalm uit mijn bijdrage in https://www.security.nl/posting/644670/Nationale+Politie+verlengt+contract+voor+_politie-domein#posting644701 nog maar eens:
(Voor Picard's facepalm zie https://imgur.com/gallery/iWKad22).

PUINHOOP BIJ DE NEDERLANDSE OVERHEID
Hierboven zijn al een aantal overheidswebsites te zien waarbij de domeinnamen lukraak gekozen lijken te zijn. En dit zijn er maar een paar van het enorme aantal overheids-domeinnamen, waarbij het erop lijkt alsof er elke dag een paar nieuwe bijkomen. Waarbij elk daarvan, naast nu al middels een lijkt-op-domeinnaam voor phishing kan worden misbruikt, ook het risico oplevert dat die domeinnaam zelf -zodra deze verloopt- in handen van cybercriminelen komt. Nog even los van al het belastinggeld dat het onderhouden van al deze domeinnamen en certificaten kost.

Wanneer steekt de minister de hand in eigen boezem en zorgt hij de overheid het juiste voorbeeld geeft? Waarom laat de overheid enquetes uitvoeren om daar vervolgens niets mee te doen? En zegt vervolgens dat burgers beter op moeten letten - waarop dan?

De bestrijding van phishing begint met het verhogen van de awareness van DE NEDERLANDSE OVERHEID, te beginnen bij minister Grapperhaus zelf - daarna pas van internetgebruikers.

Bestrijding van phishing begint bij het implementeren van WebAuthn als inlogmethode en eindigt bij het verplicht gebruik hier van. WebAuthn is niet vatbaar voor phishing.

Puin, ja, overal. We worden besnuffeld door jan en allemaal. www en e-mail zou eigenlijk middels dnssec en tlsa-dane
gecontroleerd moeten kunnen worden. Volgens SIDN loopt de dnssec grafiek nog steeds omhoog, maar in de praktijk
zijn er velen die DNSSEC vermijden, en wat TLSA-DANE betreft beperkt het zich tot een paar providers, helaas geen knp en geen ziggo, en outlook kent geen dnssec en bij velen is de website unsigned ondanks een rrsig. En daardoor wordt er volop geprobeerd servers te injecteren met commando regels die alleen maar ellende
veroorzaken. De websites die aangeroepen worden blijven buitenschot.
Dus DNSSSEC en TLSA-DANE is essentieel om problemen te kunnen voorkomen.

Hahaha zegt een fossiel die normale misdaad al niet kan bijbenen.

Anders gewoon achterdeurtje in alle phishing mails Grapperhaus net als bij encryptie TOCH ??? lol

Je kunt de overheid echt niet serieus nemen meer.... face it:

Het internet bestaat al lang en evolueert ..... helaas hebben overheden te lang liggen slapen, geen kennis en proberen ze anno 2020 er wat aan te doen.

Dat is 20 jaar te laat dino's.

WebAuthn is hartstikke mooi, maar helpt alleen bij inloggen, en alleen bij sites en devices+browsers die het ondersteunen.

WebAuthn helpt niet bij het vaststellen of een e-mail afkomstig is van de kennelijk afzendende organisatie.

WebAuthn helpt ook niet als een fake (soms ook phishing- genoemde) e-mail verwijst naar een lijkt-op website waar je gevraagd word een kwaadaardig document of ander bestand (malware) te downloaden.

WebAuthn helpt ook niet als je via welke manier dan ook (SMS, WhatsApp, Facebook pagina, ...) verwezen wordt naar een (lijkt-op) site met fake news waar je op een ongewenste manier op reageert (mogelijk ook ongewenst door jezelf als je had geweten dat de informatie, waar je je op baseert, vals is).

Cybercriminelen hebben nog veel te veel mogelijkheden om internetters te bedonderen via identiteitsfraude, WebAuthn gaat mogelijk hier een klein deel van verhelpen. Niet dat WebAuthn slecht is, maar we moeten meer doen.

Het vervelende is dat, eenmaal aware, je onvermijdelijk tot de ontdekking komt dat:
1. Er nogal wat mankeert aan de beschikbare mogelijkheden om deze awareness ook daadwerkelijk om te zetten in een afdekkend programma van (zelf-) bescherming. Feitelijk ben je gelimiteerd tot die zaken waar je niet afhankelijk bent van derden.
2. Pogingen om tot betere bescherming te komen onvermijdelijk verzanden in een eindeloze "kastje-muur" tragedie.

Overigens zijn het meestal bij lange niet de criminelen die de schade veroorzaken waar ik het meest bang voor ben. De schade waar ik bang voor ben is de immateriële schade, citerend uit overweging 85 AVG als voorbeelden: "beperking van rechten, discriminatie, en reputatieschade", plus het haast onvermijdelijke Computer Zegt Nee syndroom. Deze schade wordt uitsluitend veroorzaakt door het totale gebrek aan adequate middelen om de foutieve informatie als gevolg van ID-fraude vlot en afdoende hersteld te krijgen door de organisaties zelf.

Simpel gezegd, enige "oplossing" van ID-fraude die niet aan de stelling van Sgt. Oddball (https://imgflip.com/i/21stmb) voldoet is onvoldoende.

Helaas onjuist. Net als SPF, DKIM, DMARC, ARC, ... bij e-mail, en DV-certs op websites, en niet meer getoonde EV-cert informatie, lossen ze het primaire probleem van phishing en/of fake sites/e-mails niet op: namelijk dat mensen een domeinnaam onterecht met een bepaalde organisatie associëren - en denken dat de informatie authentiek is.

Tja jammer van Grapperhaus met de beperkte ICT kennis, hij mag zichzelf een oliebol noemen. De whatsapp fraude werkt echt niet door het klikken op links. Het is het aloude probleem van goed vertrouwen of bij voorbaat schuldig verklaren.

Geen van deze zaken heeft echter iets met phishing te maken, waarbij logingegevens afhandig gemaakt worden. Dat e-mailspoofing of social engineering in het algemeen aandacht vereisten ben ik zeker met je eens.

WebAuthn is ondersteund in grote browsers en op de grote platforms. In enkele gevallen ook out-of-the-box en zonder gebruik van hardware keys die aangeschaft moeten worden. We zijn er nog niet, maar ik ben zelf al 3+ jaar in staat er prima gebruik van te maken (U2F, de voorloper) op mijn eigen server.

Het is beter om WebAuthn tegen phishing te gebruiken dan roepen om meer awareness waarvan bekend is dat het de afgelopen jaren ook niet veel geholpen heeft.

Dat denk ik toch niet! De ervaring leert dat als je "de mensen leert hoe te voorkomen dat ze slachtoffer worden" de reactie van de criminelen daarop is om nog weer slimmere truukjes te gebruiken.
Het lijkt me veel effectiever om de criminelen keihard aan te pakken. Cybercriminaliteit moet uit het sfeertje gehaald worden waarin de daders kunnen suggereren dat ze niet wisten dat ze iets fout deden, bezig waren met een "proof of concept", een studie, "alleen maar een tool maken wat zelf niet fout is", door anderen worden neergezet als "een slimme jongen die ze een baan zouden moeten geven in de computerbeveiliging", enz enz.
Dat soort geleuter van gepakte daders en hun advocaten daar zijn we nu wel klaar mee, de bak in met die lui!
(zie bijv die student die ze in Utrecht gepakt hadden en de verhalen die daar al weer uit kwamen)

Phishing is niet alleen het hengelen naar login-gegevens, maar naar willekeurig welke vertrouwelijke gegevens, ook op fake sites die om andere dan login-gegevens vragen. Verder is het discutabel, maar mails met URLs naar malware worden ook "phishing mails" genoemd.

Daarnaast maakt WebAuthn gebruik van TOFU (trust on first use). Als je overgehaald wordt om op een nep site jouw account aan te maken, helpt ook WebAuthn je niet.

Je negeert verder deels wat ik schreef in mijn eerdere bijdrage. Ik ben allesbehalve tegen WebAuthn, maar het beschermt doorsnee gebruikers maar in een beperkt deel van de gevallen met nepdomeinen. Waarbij gebruikers met enige social engineering zelfs dan nog in de val gelokt kunnen worden.

Ook om dat laatste te voorkomen zit er m.i. niets anders op dan dat internetters moeten leren dat de domeinnaam een essentieel deel vormt van een URL en een afzender-e-mail adres, en dat je moet vaststellen dat deze juist wel of juist niet van de bedoelde organisatie is om veilig te kunnen internetten. Dat soort leerstof is echter zinloos zolang de eigenaren van domeinnamen maar blijven aanrommelen en het internetters moeilijk tot onmogelijk maken om het bovengenoemde te kunnen doen.

Apple?

Wat voor 'n jullie-bakken zijn dit toch van deze minister.
Ja, natuurlijk is het relevant of alle individuele gebruikers door hebben dat ze gehackt worden/zijn.
Gehackt worden gebeurt in een flits, de aanloop daarnaartoe gebeurt regelmatig trapsgewijs.
Die trappen in de aanloop worden genomen door ofwel kort door de bocht denken, blind handelen maar in VEEL MEER geval zonder dat individuele gebruikers door hebben of door KUNNEN hebben!!!
Ondertussen kan iedereen die niet naïef doet/wil blijven doen dat ie wel gehackt is.

Da's voor iedereen echt wel een zekerheidje.
Dat biedt niet-naieve gebruikers slechts 2 opties, alle apps-diensten-IT apparaten stoppen te gebruiken of doorgaan op dezelfde weg.
Blijven uitzien naar signalen dat er iets gaande is kan daar deel van uitmaken.
De kans dat je doorhebt hoe het zit en de verbanden legt is net zo groot als de kans dat je doorziet wat maakt dat je gehackt kan worden.
Dat is primair input enerzijds en tegelijk de verwerkende black-box anderzijds.

Elke app, software of IT apparaat dat veilig lijkt is dat per definitie slechts voor beperkte tijd.
Updates of geen updates, als je niet doorhebt wat precies de input op de integriteit van het geheel van black-boxen doet blijft het dweilen met de kraan open.

Ultiem is toch wel dat de awareness van de minister of die van zijn ministerie niet gaat botviert op mensen die gebakken zitten aan onvermijdelijk gehackte apparaten en software/diensten.
Het begint dus niet aan de achterkant van het stelsel maar verder naar voren in het stelsel beste minister!
Hoog die dijken verder op!

Ga in vredesnaam niet elk huis na om te kijken of ze wel veilig zijn.
Probeer ook geen nood-oproepen te doen, dan moet je bij elke aftakking opnieuw je nood-oproep herhalen.
Verstevig dus EERST de sluizen!
Zorg dat je de stroom-snelheid en ook het debiet op de zij-stromen na de inlaat reguleert.
Voeg schuiven toe daar waar kwetsbare gebruikers op smalle stromen zitten als de gebruikers het willen.
En bovenal, repareer OVERAL de schutten en schuiven.
Ofwel zorg dat OVERALL firewalls en andere dingen eens afdoende werken.
Nederlanders kunnen zwemmen en vertrouwen erop dat dijken en sluizen nuttige onderdelen zijn die ook worden ingezet en bijgehouden.
Zo'n campagne voor het bewustzijn is alsof je mensen in hun ongeïnformeerd gaat vragen of ze wel veilig rond-dobberen in de polders die ondertussen lekker volstromen met water.
Het is volstrekt helder dat de schuiven en schutten bij haast elk ICT onderdeel het tij niet kan keren.
Dat heeft een technische oorzaak, en dat weet deze minister best wel sinds de onthullingen van Frits Timmer, Michael Hayden en andere onthullingen.
Daaronder de besmetters die namens bevriende regeringsdiensten die zeiden dat cd-roms niet zo fijn waren als usb-sticks om hacks bij kerncentrales in Iran te plaatsen meldden erbij dat elke nieuwe ICT onderdeel of heel nieuw apparaat bewust wordt geïntroduceerd.
Niet alleen zodat bewust het gebruiksgemak toeneemt maar dat OOK het hacken NOG makkelijker wordt gemaakt.
O, kunt u wel zwemmen???
Is drijven hetzelfde meneer Grapperhaus???
Nee, wie regelt de drijf-cursus?
Wie regelt eigenlijk de boot of betere hardware??
O zorgt de minister dan ondertussen nog wel dat de schuiven en schutten minder doorlaten?
Dat dobbert een stuk handiger en rustiger met onze hardware !!!!

Wat een gezeik allemaal hier! Het ene moment blèren ze over het toezicht van de overheid i.v.m de privacy en HIER wordt verwacht/ geëist dat de overheid zich ermee gaat bemoeien! Het is het een of het ander!

Dus een verdachte en zijn/haar advokaat mogen voor de rechter niet eens een verdediging voeren? In wat voor staat wil jij precies leven? Een waarin een verdachte zonder al die lastige procedures kan worden opgesloten? Moet het jou of een van jouw geliefden overkomen om onterecht ergens van verdacht te worden voordat je doorkrijgt waarom dat een slecht idee is?

Als verdachten en hun advokaten wel een verdediging mogen voeren dan is dit soort geleuter onvermijdelijk, want ze mogen zelf bepalen hoe die verdediging eruit ziet.

Volgens mij begint bestrijding van phishing bij oliebollen...

Verbeter de wereld en begin bij jezelf! Zo heet het toch?

Een heel groot percentage van deze fishing links komen binnen bij gebruikers via het Adwords platform van Google
Dus via van die advertenties die iedereen achtervolgen
oei wacht even
Dat mogen onze politiekers zeker niet vermelden, gaan ze ook zeker niet doen .
Dan krijgen ze geen centjes meer toegestoken....stiekem in dat achterhoekje
Ik wil ook geld toegestoken krijgen van Google lobbyisten
Ik ga politieker worden
https://www.security.nl/glitch/javascript

Misschien kan de minister ook het CJIB wat meer helpen, door een paar (nieuwe) politieagenten (of laat ik zeggen, iemand met de mogelijkheden die politieagenten hebben en met run regels werken, want we hebben al een tekort en je wilt ze niet van moordzaken afhalen) dedicated op CJIB phishing te zetten.

Dan gaan er een paar mensen de bak in, en denk ik dat heel Nederland ineens van een paar massa-phishers af is.

Is dat gedaan, dan kunnen die agenten webwinkels en banken helpen en roei je het uit. Want de pak-kans lijkt gewoon te laag nu.

Kost je wellicht 2 jaar wat geld, maar het levert Nederland veel op.

Ook Apple is overstag: https://www.zdnet.com/article/apple-joins-fido-alliance-commits-to-getting-rid-of-passwords/ (PAS OP auto play video)
Kwestie van tijd voor je TouchID als platform authenticator kunt gebruiken, security keys schijnen al te werken.

Volgens mij zijn de meningen daarover verdeeld. Ik ben van mening dat computerbeveiliging een taak is van individuen en organisaties. Het bestrijden van phishing is dus ook geen overheidstaak of maatschappelijk probleem maar komt enkel en alleen voort uit de slechte beveiliging van een website. Verschillende belangenclubs, met name de banken sector, blijken toch telkens weer het voor elkaar te krijgen om de overheid voor hun eigen karretje te spannen, tot mijn grote teleurstelling.

Phishing is geen gevolg van slecht beveiligde websites! Phishing is alleen mogelijk door oenen, die zelf ergens instinken!
Graag ook even bewijs van jouw laatste beweringen over banken enzo...

Lijkt mij meer onderbuik gevoelens.

Verdiept u zich dan eerst eens fatsoenlijk in de kern van de voorliggende vraag voordat u begint te proesten of schreeuwen.
Want in hoeverre betreft dit eigenlijk wel een vraagstuk tussen A)"toezicht van de overheid" die inbreekt op de privacy versus B) de overheid moet zich "ermee" gaan bemoeien???
Benoem je beiden wel compleet?
En hoezo is er geen C, D of noem maar op, waar consumenten van mogen vragen dat de overheid rekening mee houdt?

In algemeen dekt de samenvatting zoals jij beide afwegingen tegenover elkaar plaatst niet, en wel hierom:
De essentie die van veel klachten en aandacht vragende reacties uitgaat is niet toezicht door de overheid in meest brede zin, met inbegrip van de inbreuk op de privacy omwille van het kunnen houden van toezicht.

Nee de essentie van veel klachten die ik tegenkom is dat niet elk toezicht door de overheid kan of moet leiden tot inbreuken op de privacy.
Wat bij een breder publiek wellicht minder bekend is dat de verschillende werk-richtingen waar wet- en regelgeving toe leidt niet altijd toezicht versterkt, nog de privacy in gelijke mate in stand houdt of evenredig verbeterd.

En dat is mijn inziens zeer terecht.
Meer toezicht op phishing hoeft namelijk nog niet eens de hoofd-prioriteit en hoofd-motief voor inbreuk op privacy van burgers te zijn, omwille van beter toezicht op de problematische gevallen onder de bank-transacties.
Meer toezicht hoeft niet meer per se de detectie kans van phishing te verhogen.

Het effectief bestrijden van phishing hangt van andere en meer dingen af dan een binaire keus van de staat en of die meer / geen inbreuken op de privacy toestaat of toelaat.
De bestrijding hangt onder andere af van het volgende.
Dat meerdere medewerkers die zich bij de DNB met beleidvorming en/of uitvoering van toezicht bezig houden zijn sowieso in een lastiger pakket gekomen.
Die medewerkers die hier meer aandacht voor vragen omdat ze het door een werkbare of effectieve ondergrens vinden zakken worden bijvoorbeeld in hun werk of positie hiërarchisch gekneveld door afdelingshoven.
Dit terwijl de intergraliteit en eenduidigheid waarmee de medewerkers worden geacht het toezicht op bv. financiele transacties te doen steeds minder is geworden.
Sinds het bewind van de jaren ministers De Jager-Dijsselbloem zijn regels op onderdelen niet langer zowel eenduidig EN verenigbaar (integraal).
Het gaat dan om de meest formele regels - de wetten, de regelgeving (multi-variabeler), de interne en de informele regels die op de DNB en banken inwerken en binnen die omgevingen gelden.
Dat loopt op belangrijke onderdelen inmiddels zo uit elkaar dat DNB-toezichthouders bij het uitvoeren van toezicht taken richting en door banken bijvoorbeeld op essentiële onderdelen nauwelijks tot niet kunnen terugvallen op verenigbaar en integreerbaar beleidsregels!!
Dit maakt sowieso dat het voor banken niet makkelijker maar juist moeilijker om effectief bijvoorbeeld met phising regels en verwachtingen door ministers om te gaan en tegelijk ook te zorgen dat ze veilig binnen wettelijke vereisten van privacy blijven.
Tot zover is het misschien niet gek dat een minister van justitie in plaats van een minister van financien zich hier nu meer mee bezig houdt.
Vraag alleen bij deze minister is dan wel erg vaak of hij het zelf wel snapt, goed geïnformeerd wordt en dus met z'n koers effectief ook deuken in pakjes boter kan slaan.


De pakkans voor phishing is dus primair laag.
Niet in hoofdzaak zozeer omdat nogal wat computer gebruikers niet alert zouden zijn, misschien kunnen ze nog niet eens weten wanneer ze wel of niet gephsihst worden???
Bijvoorbeeld omdat het niet binnen de actieve GUI plaats vindt die de gebruiker ziet, maar daarbuiten.
Dus op de achtergrond via scripts die op afstand worden gerund.
En het lijkt me ook niet dat de minister iedereen ten bate van meer bewustzijn moet willen terugbrengen naar het Pre windows 3.1 tijdperk met hoofdzakelijk de command-prompt systemen.
Zoals die van MS-DOS, Atari en ZX-Spectrums en andere mogelijkheden van de meer exotische en dus niet breed verkochte computer systemen.
Systemen die geen parallel - naast elkaar of in flits-seconden elkaar afwisselende - draaiende processen toestaan, zoals multi-taskende en pre-emptive taskende OS-en nadien zijn ontworpen.

De pakkans voor phishing is ook niet primair laag omdat Nederland te veel of te vaak opkomt voor privacy van haar burgers.
Nee, die is wel in grote mate laag omdat toezichthouders te maken hebben met afdelingen die allerlei tegenstrijdige uitvoeringtaken en nieuw opgelegde verwachtingen niet open en fair met hun minister (durven te) )bespreken.
Dat lijkt in ogen van nogal wat managers niet zo dienstbaar, hetgeen veel van de overheden tegenwoordig ook geacht te zijn, maar dat is een misvatting.
Een die gepaard gaat met kruip-gedrag door nogal wat afdeling managers.
En ook houdt het in stand dat in gevallen bepaalde gekende afdeling managers het werk van hun afdeling niet doorziet.
Meedenken door de organisatie op basis van kennis-en advies-gelijkwaardigheid hebben eindbeslissers zoals een minister meer aan.
Dan kunnen kabinet en parlement uiteindelijk ook beter beslagen ten ijs beslissingen nemen.
En die moeten samen ook afzien van keuzes en verdragen die het volume van exogene effecten die aantal phishing pogingen vermeerderen.
De keuzes en verdragen die de recente opeenvolgende kabinetten en overige 2e kamer parlement-leden afsloten hebben het aantal phishers nou niet bepaald helpen reduceren.
In plaats daarvan voegen ze er juist steeds exogene effecten toe!
Grenzen stellen is ook niet hetzelfde als je achter de dijken terug trekken, ook al lijkt het zo lekker waakzaam als politici dat hun collegae wel aanwrijven.
Grenzen stellen is puur kwantitatief een lijn trekken, duidelijk zijn wanneer beleid en keuzes nog proportioneel zijn.
Oog houden dus voor uitvoerbaarheid van beleid en kwestie van binair kiezen voor een puur ideologische politieke denk-stroming.

Phishing is ook geen keiharde of enkel binaire materie, maar juist heel vloeibaar van aard!
Het kan uit allerlei richtingen komen, in allerlei gedaantes opduiken.
Het is dus ook geen kwestie van een computergebruiker die ofwel of niet grof nalatig omgaat met installeren van updates en nagaan van een al dan niet zeer ongeloofwaardig verkoop-aanbod!
Ook is het probleem niet zo simpel in te delen of onder te verdelen in 3 categorieën.

Nu redeneert de minister kennelijk grofweg in 3 tinten grijs:
1- zijn zeer ernstige verwijtbaar nalatigheid van verkoper en koper bij doen van een koop en betaling via het internet, met daarna volgend schadelijke handelen door de phiser(s).

2. zeer ernstige verwijtbare nalatigheid door koper bij het doen van een koop en betaling via het internet,
waarop de verkoper niet ernstig verwijtbaar is, waarop wel onacceptabel schadelijke handelen door de phiser(s) volgde.

3. een tussenliggend grijs waarbij geen duidelijke sprake van verwijtbaarheid van verkoper en koper is bij het doen van een aankoop en betaling via het internet, waarop wel schadelijke handelen door de phiser(s) volgde.

De essentie moet dus erover gaan of een minister meer aandacht moet vragen voor het phishen moet vragen voor "Eerst checken, dan klikken' uitgevoerd" bij marktplaats achtige omgevingen?
Is de vrij digibete Grapphaus als bewindspersoon ook de meest aabgewzen iemand om phishing bestrijding te lanceren?
Is er niet iemand die de materie beter doorziet?
En kan hij het beter anders doen of de zaak breder trekken?
Ik denk dat de minister wel degelijk terecht aandacht voor phishing vraagt.
En natuurlijk zijn gebruikers van marktplaats achtige web-diensten daarbij een schakel.

Gebruikers van marktpklaats achtige web-diensten zijn wel de 1 na LAATSTE schakel in het phishing.
Maar zeker ook NIET de meest bepalende voor de omvang waarop een phishing poging kan slagen!
Inderdaad, een aankoop van €2,50 wordt makkelijker gedaan dan van €250 of €2400.

Maar de minister moet wel breder kijken dan enkel het phisihing moment waarop een computer-gebruiker in de val blijkt te trappen en dat niet doorziet of onbedoeld niet staakt .
De minister moet eerst maar via zijn kabinet regelen dat met inachting van veel betere privacy borgen eenduidiger DNB- beleid komt.
Dat betekent ook dat ie geen valse hoop of noodzaak moet creëren om maximale bedragen van cash geld transacties te verlagen.
Want in Zweden hebben ze goed als geen cash transacties meer, maar hebben criminelen toch geld om van te leven.
Heeft dat te maken met de naïevere en/of jezelf schaamte aan laten leunen&praten cultuur van Zweden?

En is phishing überhaupt ook wel een belangrijk element in het inkomen van ALLE criminelen?
Of alleen een bepaalde set criminelen?
Het is evident dat een bonafide onderneming ook door phishing onbedoeld slachtoffers via de website kan maken.
Dus in hoeverre doet de aard van de phisher volgens het slachtoffer?
Dat zou specifieker duidelijk en onderbouwd moeten worden.
Daardoor is ook specifieker en doelgerichter beleid mogelijk.

En het moet ook niet in het teken staan dat de Nederlandse overheid als vadertje staat het vertrouwen "in aankopen doen via internet" moet willen opvijzelen!
Nee daar is de minister van Sociale of Economische zaken voor, niet de minister van Orwelliaanse zaken.
Nee, deze minister moet zich richten op boeven arresteren.

En beginnen de affiniteit en inzicht met mensen in buurten in het land te herstellen.
Voer geen campagnes vanachter de studio camera's van een reclame bureau en/of NPO in Hilversum.
Vaar in plaats van hoofdzakelijk verandering-politiek langs groepen met verschillende identiteiten of gedaante-verschijningen en dashboard systemen met aantallen aangiftes een andere koers.
Deze minister voert verandering-politiek op basis van identiteiten en zuilen in plaats van gedrag en feeling met de mensen in de buurten.
Dat doet deze minister al via ondermeer de hoofdcommissarissen bij zowel aantrekken van personeel als bij voertuig controles.

Met zo'n koers blijft je als minister en kabinet bij het voortdoen van phishing het wel automatisch meer en meer afleggen tegen opkomende digitale ontwikkelingen.
Herstel dus in de eerste plaats de band met de buurt en bouw ondertussen aan meer feeling met de digitale materie!
De huidige koers getuigt namelijk van een overschatting van hoeveel je kan bereiken met bewustwording terwijl ondertussen het aantal slachtoffers zal blijven oplopen, meer mensen dus die terecht/onterecht het vertrouwen in kopen via interent zullen moeten bezeren omdat deze minister niet genoeg aan de voorkant van de keten gaat zitten.
Richt je dichter bij de oorsprong om de kans op phishing aan te pakken!
Meer politie de buurt in.
Dan kan je met meer vereende kracht en aandacht aan de slag.
Dichter bij waar de slachtoffers vallen.
De verschillen in bewustzijn van computer-gebruikers zullen namelijk niet overal hetzelfde zijn en zich 1 kant op ontwikkelen.
Het phishing bewustzijn zal met deze koers juist eerder meer per clusters in Nederland gaan verschillen dan 1 gezamenlijk en gedeeld besef worden.

En je hoeft daarop volgend ook niet per se een overkoepelend extra beleid te lanceren!
De verschillen in bewustzijn van computer-gebruikers is door alle buurten in Nederland op elke plek anders.
Ja, in meer homogene buurten zijn de verschillen misschien iets kleiner, over het algemeen zullen de minder bewuste gebruikers zich tussen de meer bewuste gebruikers bevinden.
Met een bewustzijn campagne ga je dus heleboel mensen aanspreken die die achterstand niet hebben.
Da's een campagne die veel te veel oplost in het land.
Heeft Nederland dus vrij weinig aan.

Het probleem is dat deze minister van justitie het geloof van u kunt het internet vertrouwen wil of moet verspreiden.
Maar dat is primair een taak voor de bedrijven aanbieders!
En die kan je op het vrije internet ook effectief gezien niet makkelijk beperken met verplichtende regels.
Maar begin dus eerst met je eigen regels als overheid eenduidiger te maken en te hanteren.
Begin daarmee.
Doet dat in plaats van ze per se met nog weer EEA landen gelijk te schakelen!!!
Dat is een soort communistische schoen willen maken die niemand echt goed past!!
Werk tegelijk of eventueel na het eenduidiger maken en hanteren van je eigen regels op financiële transacties.

Laat ondertussen verder onderzoeken wat de veranderende standpunten van bedrijven zijn over zichzelf, definieren ze zichzelf als dienstverlener van een digitaal iets, als reclame partij, een ver-edelde buurt-krant of anderszins?
Want een partij als Facebook hanteert schaamteloos in eigen missie-statements op haar website en tijdens hoorzittingen in de VS en EU tegenstrijdige verklaringen!!
Ondertussen hink-stap-springt een bedrijf als Facebook alleen al binnen 12 maanden op wezenlijk verschillende stenen om te proberen zichzelf op zogenaamd geloofwaardige wijze telkens andere "rechten" te bedingen.
De ene keer is Facebook een adverteerder, dan weer een nieuws-aanbieder met toe-eigening van een ruime nieuws-vrijheid rechten hintend op een schijn-journalistieke functie (i.p.v. een digitaal-dorpsplein met vrijheden en rechten waar aanwezigen nieuws-en opinies met elkaar mogen uitwisselen) maar rond verkiezingtijd is Facebook opeens zeer nadrukkelijk meer een verkiezing uitslag beïnvloedend platform dat om zichzelf en haar gebruikers bezorgd moet zijn.
Terwijl Facebook zelf aantoonbaar in westerse landen enkel marginaal-effectief is met heel veel niet-verkiezing gerelateerde reclame-campagnes meet een digitale onderneming als Facebook zich wel erg veel verschillende jassen aan om te proberen of die werken en om hoorzittingen en briefings van parlementen mee uit te zitten!!!
Met "een verkoper die handelt in het kader van zijn handels-, bedrijfs-, ambachts- of beroepsactiviteit en een koper, natuurlijk persoon, die handelt voor doeleinden buiten zijn bedrijfs- of beroepsactiviteit;" van artikel 5, 1e lid van het wetsvoorstel wordt een rechter dus al meteen het bos in gestuurd!
Ja, de bepalingen gaan over afbakening van consumentenkoop, maar je moet toch echt wel doorhebben dat de grotere vissen in deze vijver hun eigen handels-, bedrijfs-, ambachts- of beroepsactiviteit dus steeds oneigenlijk veranderen.
Politici en Ministers moeten juist ZICHZELF bewuster gaan gedragen naar digitale ondernemingen!
Zet eerst zelf dus je betere been voor meneer Grapperhaus!

Een paar jaar gelden drong het al tot me door dat je voor wat betreft overheidszaken het beste naar https://www.overheid.nl kan gaan.
Daar vindt je vervolgens betrouwbare links naar allerhande overheidsinstanties waar je op kan klikken.
(een soort portaal dus)

Je hoeft dan dus eigenlijk alleen maar te controleren of je wel op de echte "www.overheid.nl" zit.
De kans dat op die site een valse link staat is namelijk bijzonder klein.

Dus nooit zelf rechtstreeks gaan zoeken hoe een bepaalde overheidssite eigenlijk heet.
Altijd eerst gaan naar "www.overheid.nl". (makkelijk te onthouden, vrijwel geen vergissing mogelijk)
En daar verder zoeken en klikken naar het overheidsonderdeel waar je naar toe wil.

Beste Erik,

Wat Google doet (ongeveer het monitoren van al het Internet-verkeer) is ook fishing, maar dat schijnt niemand te deren.

Ro

Laten de banken bij het kiezen van hun online bankieren domeinnaam eens echt goed nadenken en dan ook geen fantasie domein kiezen, maar iets heel herkenbaars en met een TLD van het land waar de klanten van die bank hun rekening hebben (dus geen .com, .bank. .fantasia e.d. maar voor nederland gewoon een .nl).

Banken zijn groot genoeg om in elk land waar ze rekeningen uitgeven, de online banking website aan te passen, zodat het beter te controlleren wordt. Ook de tls-certificaten moeten ze goed regelen (gewone OV certs zijn goed genoeg, als ze als bedrijfsnaam maar geen fantasienaam van een of andere vage holding op de cayman eilanden gebruiken, maar gewoon de handelsnaam van de bank in het betreffende land).
Zou dan nog mooi zijn als de bank ook een lokale CA kiest, zodat als een phisher bij diezelfde CA toch een 'phishing cert' krijgt, de CA er op kan worden aangesproken, een fikse boete krijgt en/of de CEO's e.d. in de cel komen, als ook de rechter vind dat ze hun maatschappelijke verantwoording niet genomen hebben.

Maar goed, dat zal er allemaal vast niet van komen.

Grapperhaus kan toch een wet maken dat elke crimineel eerst een vergunning moet hebben om crimineel te zijn. Dat gaat elke de wet respecterende crimineel natuurlijk gelijk doen ( :-) ). Als de crimineel dan toch onverhoopt iets doet wat niet mag, worden ze gelijk gevonden, opgepakt en gestraft.

Ow ja. klein addertje.
Een crimineel is juist crimineel omdat die zich niet aan de wet houdt. Misschien moet je daar dan eerst wat aan doen, anders werkt zo'n wet niet.

Als die grappenmaker in Den Haag daar nu eens wat aan gaat doen.

Zorgen dat de phishers en andere fraudeurs, zodra ze gevonden zijn, een passende straf krijgen (en een flinke schadevergoeding moeten betalen), zodat ze dat nooit meer doen en anderen daar ook niet meer aan denken.

Geen zielige verhalen accepteren, wat tegenwoordig vaak lijkt te gebeuren, waardoor ze uiteindelijk geen echte straf krijgen, dan gaan ze gewoon door.

Te weinig mensen, maar zeker niet "niemand" (jij en ik zijn niet de enigen).

Ik heb regelmatig reacties op deze site gezien van anderen die Google veel te ver vinden gaan, en dat vind ik ook. Je mag me hypocriet noemen, maar ik gebruik wel een aantal van hun diensten. Als ik in de auto Maps gebruik, mag Google best weten waar ik mij bevindt - dan draag ook ik bij aan gegevens over verkeersdrukte en eventuele files. Maar Google hoeft het niet elke keer te weten als ik een willekeurige website bezoek.