Experts: negen seconde pauze helpt niet tegen scams, phishing en malware
Een nieuwe bewustzijnscampagne die mensen adviseert om negen seconden pauze te nemen om zo scams, phishing en malware te voorkomen helpt niet en legt de schuld bij de verkeerde partij, zo stellen beveiligingsexperts Bruce Schneier en Arun Vishwanath. Take9 is een door een groot aantal Amerikaanse organisaties gesteunde bewustzijnscampagne. Daarin krijgen burgers het advies om negen seconde pauze te nemen en na te denken voordat ze ergens op klikken, iets downloaden of delen.
"Ten eerste, het advies is niet realistisch. Een pauze van negen seconde is een eeuwigheid bij iets routinematig zoals het gebruik van je computer of telefoon", aldus de experts. Die voegen toe dat ook onduidelijk is wanneer er negen seconden moet worden gepauzeerd, bijvoorbeeld voor elk ontvangen bericht of elke uit te voeren klik. "Ik betwijfel of ze dit idee op echte gebruikers hebben getest", merken ze op.
Schneier en Vishwanath erkennen dat pauzeren helpt om gewoontes te doorbreken. "Als we uit gewoonte ergens op klikken, delen, linken, downloaden en verbinden, helpt een pauze om die gewoonte te doorbreken. Maar het probleem is hier niet alleen de gewoonte. Het probleem is dat mensen niet in staat zijn om iets legitiems van een aanval te onderscheiden." Het heeft dan ook geen zin om mensen te vertellen dat ze negen seconden moeten pauzeren en nadenken als ze niet weten waarover ze dan moeten nadenken.
"Een succesvolle bewustzijnscampagne doet meer dan mensen te vertellen een pauze te nemen. Het zou ze door een tweestapsproces leiden", gaan de experts verder. Zo moet eerst wantrouwen worden gewerkt en gebruikers worden aangemoedigd verder te kijken. Daarna moet ze worden verteld waarop te letten en hoe dit te beoordelen. Dan kunnen mensen een betere keuze maken, stellen Schneier en Vishwanath.
Daarnaast legt de campagne de schuld bij de verkeerde partij. "De Take9-campagne vertelt mensen dat ze cyberaanvallen kunnen stoppen door een pauze te nemen en een betere beslissing te maken. Wat niet wordt gezegd, maar wel gesuggereerd, is dat als ze die pauze niet nemen en geen betere beslissing maken, het hun schuld is als een aanval toch plaatsvindt."
Volgens de experts is dit gewoon niet waar en is het de schuld leggen bij gebruikers één van de grootste fouten in de security-industrie. "Het probleem is dat we deze systemen hebben ontwikkeld dat ze zo onveilig zijn dat normale, niet-technische mensen ze niet met vertrouwen kunnen gebruiken." Schneier en Vishwanath stellen dat een betekenisvolle gedragsverandering meer vereist dan een korte pauze en er met veel meer zaken rekening moet worden gehouden in de beslissing om ergens op te klikken, te downloaden of te delen. "En dat vereist echt werk - meer werk dan alleen een advertentiecampagne en een gelikte video."
M.J.
Ik als niet-expert denk dat het sowieso geen kwaad kan, weigeren om overhaast meegaan met iets of iemand die druk uitoefend / jezelf tijd gunnen om logisch na te denken.
En claimen dat het "schuld neerlegt bij verkeerde partij" vind ik meer een teken van gebrek aan betere argumenten.
Evenals de claim dat "people can stop cyberattacks" verwerpen, alsof de claim iets absoluuts betrof.
Volgens de experts is dit gewoon niet waar en is het de schuld leggen bij gebruikers één van de grootste fouten in de security-industrie. "Het probleem is dat we deze systemen hebben ontwikkeld dat ze zo onveilig zijn dat normale, niet-technische mensen ze niet met vertrouwen kunnen gebruiken.
...leest het Kifid (Klachten instituut financiële diensten) mee?
Ik als niet-expert denk dat het sowieso geen kwaad kan, weigeren om overhaast meegaan met iets of iemand die druk uitoefend / jezelf tijd gunnen om logisch na te denken.
En claimen dat het "schuld neerlegt bij verkeerde partij" vind ik meer een teken van gebrek aan betere argumenten.
Evenals de claim dat "people can stop cyberattacks" verwerpen, alsof de claim iets absoluuts betrof.
Probleem ook dat het steeds geavanceerder maar ook geraffineerder wordt. AI helpt in deze de ontvangende partij niet mee.
Teksten en de zogenaamde redenen worden steeds scherper en moeilijker te detecteren. AI aan de ontvangende kant voor detectie is dan ook een oplossing, echter dit kost een bak geld en kost tijd om te trainen.
Gebruikers kunnen het verschil niet zien tussen een valide vraag en een criminele onder druk gestelde dwang.
Mijn vraag is dan, zijn de gebruikers losgelaten in een gebied waar ze niet thuis horen, is het systeem te brak en onveilig of moeten mensen gewoon leren de situatie in te schatten?
Iemand van 16, 17 of 18 die net z'n rijbewijs heeft of een youtuber met een sportauto, kan ook niet inschatten dat ie niet met 450pk+ op de achterwielen vol gas moet geven in een bocht.
Daar hebben we dan verzekeringen voor, autogordels, airbags en soms ook de regeling dat 16 jarigen niet een sportauto mogen huren...
Hoe zijn deze (schadebeperkende) maatsregelen in de automatisering geborgd? Ik zie ze niet.. waarom zijn ze er niet?
Ik als niet-expert denk dat het sowieso geen kwaad kan, weigeren om overhaast meegaan met iets of iemand die druk uitoefend / jezelf tijd gunnen om logisch na te denken.
En claimen dat het "schuld neerlegt bij verkeerde partij" vind ik meer een teken van gebrek aan betere argumenten.
Evenals de claim dat "people can stop cyberattacks" verwerpen, alsof de claim iets absoluuts betrof.
Probleem ook dat het steeds geavanceerder maar ook geraffineerder wordt. AI helpt in deze de ontvangende partij niet mee.
Teksten en de zogenaamde redenen worden steeds scherper en moeilijker te detecteren. AI aan de ontvangende kant voor detectie is dan ook een oplossing, echter dit kost een bak geld en kost tijd om te trainen.
Maar, laten we weer eens een metafoor gebruiken: als je in een moeilijke en/of gevaar verkeerssituatie terecht komt, dan is het doorgaans niet onverstandig om de snelheid naar beneden te gooien, versus overhaast en ondoordacht te gaan beslissen.
Geen garantie dat je nimmer een fataal ongeval zal krijgen, wel reduceert het de kans aanzienlijk.
Zo ook bij het afgeven van je credentials aan de bank - welke anders onmogelijk enige toegang zou hebben tot jouw account?
Of laten we het omdraaien: de bank is ongeacht volledig verantwoordelijk over hoe klanten met hun credentials wensen om te springen, en alle gevolg-schade daarvan. En... 9 secondes is absurd krankzinnig, en legt de schuld bij de verkeerde partij ...?
Als de naam Bruce Schneider er niet onder had gestaan, had ik gedacht dat deze onzinnige en weinig tot nietszeggende woordenbrei rechtstreeks uit chatgpt kwam.
Maargoed, het is nu wel een actualiteit die onder de aandacht komt.
Maar mocht je werkelijk lezen alsof 9s een 100% oplossing is tegen alle scam, dan snap ik de opwinding daartegen.
Dan nog begrijp ik zijn noodzaak tot afkraken niet.
Misschien is dan die 9 seconden juist goed. Het zou geen routine moeten zijn maar iets waar je bewust mee bezig bent.
"Een succesvolle bewustzijnscampagne doet meer dan mensen te vertellen een pauze te nemen. Het zou ze door een tweestapsproces leiden"
Door een pauze te nemen wordt je je bewust van wat je doet zonder dat je blind klikt.
Natuurlijk moet je mensen wel trainen te herkennen wat goed en fout is maar als ze de pauze niet nemen zullen ze routinematig blijven klikken.
Het automatisch laten invullen door password manager sis eigenlijk ook fout, voor je het weet stuur je de credentials naar de verkeerde website.
Ik als niet-expert denk dat het sowieso geen kwaad kan, weigeren om overhaast meegaan met iets of iemand die druk uitoefend / jezelf tijd gunnen om logisch na te denken.
En claimen dat het "schuld neerlegt bij verkeerde partij" vind ik meer een teken van gebrek aan betere argumenten.
Evenals de claim dat "people can stop cyberattacks" verwerpen, alsof de claim iets absoluuts betrof.
Ik denk dat je even 90 seconden pause moet nemen en het artikel rustig opnieuw moet lezen.
Dat zeg ik natuurlijk als niet-expert.
Maar proberen mensen even ergens over na te laten denken ("wat is dit eigenlijk voor mail?) lijkt me niet verkeerd.
Heel veel phishing mail (wat nog door het mailfilter heen geglipt is) is alsnog in de kiem te smoren door je bij elke mail die om een actie vraagt even af te vragen wat het is en of je nu echt actie moet nemen (link klikken, bijlage openen).
Volgens de experts moet eerst wantrouwen worden gewekt en moeten gebruikers worden aangemoedigd verder te kijken. Daarna moet ze worden verteld waarop te letten en hoe dit te beoordelen.
Hier ben ik het mee eens, en helaas moet je inderdaad heel wantrouwend zijn online, en die Take9 campagne past hier perfect in. Ik vind dat Schneier en Vishwanath beter de campagne kunnen ondersteunen en bijdragen + verbeteren dan afkraken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?