Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 27 reacties

Phishing is niet meer enkel het terrein van criminele groeperingen die gebruikers bankgegevens willen ontfutselen. Aanvallers die aan digitale spionage doen gebruiken phishing ook, stelt de beveiligingstak van provider Verizon.

Dat staat in een rapport over beveiliging van Verizon. In twee derde van 290 spionagecampagnes die Verizon onderzocht, speelde phishing een rol. In tegenstelling tot bij phishing-aanvallen van criminelen, die uit zijn op bijvoorbeeld logingegevens voor bankensites, zijn de aanvallers niet op zoek naar user-input. Ze gebruiken phishing vooral als een methode om eenvoudig code te kunnen uitvoeren op een systeem, door middel van een geïnfecteerde bijlage.

Met succes, zo blijkt uit het onderzoek, waar ook het Nederlandse Nationaal Cyber Security Centrum informatie voor heeft aangeleverd. In 23 procent van de gevallen blijkt een geadresseerde een e-mail te openen, en in 11 procent van de gevallen klikt hij ook nog eens op een bijlage. Door 10 personen binnen een organisatie te mailen, is de kans dan ook 90 procent dat een van hen geïnfecteerd kan worden met malware.

Daar komt bij dat 99,9 procent van de kwetsbaarheden die aanvallers exploiteerden, volgens Verizon al meer dan een jaar was gepatcht. Dat duidt erop dat veel bedrijven en organisaties er niet in slagen om hun software op tijd te updaten. Bij sommige bedrijven worden zelfs nog kwetsbaarheden van tien tot vijftien jaar oud misbruikt; in sommige gevallen gaat het zelfs om bugs uit 1999.

Uit een rapport van Symantec, dat nog niet is uitgegeven maar dat waarschijnlijk later op dinsdag wordt gepubliceerd, blijkt dat aanvallers niet alleen voor phishing-aanvallen kiezen vanwege de effectiviteit, maar ook omdat beveiligingsbedrijven phishing-aanvallen minder snel opmerken, meldt persbureau Reuters.

Uit hetzelfde rapport blijkt dat veel aanvallen nog steeds via Nederland verlopen, schrijft De Volkskrant op basis van het rapport. Nederland staat op de eerste plek in Europa en op de vierde plek wereldwijd; alleen vanuit China, de Verenigde Staten en India zijn meer aanvallen afkomstig. Dat betekent niet dat de meeste aanvallers Nederlands zijn, maar dat ze hun servers in Nederland huisvesten. Dat is al langer zo, onder meer vanwege de goede internetverbindingen.

Moderatie-faq Wijzig weergave

Reacties (27)

Zo zie je maart dat de beste beveiliging niets oplevert zolang het personeel niet goed ge´nstrueerd word. Dit zou eigenlijk nooit mogen gebeuren natuurlijk.
Nou, het is wat flauw om dat zo te stellen.

Zeker met moderne, zeer 'sophisticated' phishing-methodes, kun je niet meer op de menselijke factor vertrouwen en je kunt het ze zeker niet kwalijk nemen. Van de 100 mensen in je organisatie hoeft maar 1tje er toch in te tuinen en je bent zuur. Dat doet hij/zij niet express.

Daarnaast, hoezo "beste beveiliging"? Uit het artikel blijkt dat het om veel lang ongepatchede software gaat. Dat is verre van de beste beveiliging!
Je klikt toch echt zelf op iets waarvan je zou kunnen weten dat het niet klopt. Dat zie ik iig meteen. En als ik het kan zien kan een ander het ook. Maar je moet dan idd wel je hersens willen gebruiken. Hoe 'sophisticated' is het om met woorden iemand te verleiden ergens op te klikken? Als je niets leest en klakkeloos zomaar alles opent ben je natuurlijk niet de oorzaak van het probleem? Als ik zo'n phishing mailtje krijg moet ik er om lachen hoe slecht het taalgebruik is. Dat duidelijk van een vertaalmachine komt. Dit is 1000% user error. Oftewel niet lezen en maar raak klikken.
User error is iets dat je als beheerder/ontwikkelaar moet aannemen. Men maakt wel eens een foutje.

Dat is namelijk precies wat mensen van machines onderscheidt. Ik geloof ook niet zo goed dat jij zelf nog nooit een foutje hebt gemaakt. Al is het maar dat je per ongeluk een link volgt die je niet wilde volgen of per ongeluk op accepteren ipv. weigeren hebt geklikt.

Zelfs iemand die 100% weet wat hij moet doen en van plan is om dat te doen, kan nog steeds een fout maken en toch nog op de verkeerde knop drukken,
"User error" (gebruikers fout) is alles wat je als gebruiker fout kunt doen. Wat dit met beheerders of ontwikkelaars te maken heeft zie ik niet? En er is een wezenlijk verschil in een fout maken of alle waarschuwing in de wind slaan Ún mail niet lezen. Dit is gewoon luiheid en zou dus nooit mogen voorkomen in een bedrijf. Als je dit wel laat gebeuren dan geef je niet genoeg om je baan.

[Reactie gewijzigd door Jack Hair op 14 april 2015 17:23]

"User error" (gebruikers fout) is alles wat je als gebruiker fout kunt doen. Wat dit met beheerders of ontwikkelaars te maken heeft zie ik niet?
Omdat beheerders en ontwikkelaars de gebruikers bedienen en faciliteren. We proberen hun veilig te houden en te helpen, ook (of juist!) als ze een foutje maken.

Maar het is wel duidelijk wat jouw mening/instelling richting gebruikers is.
Ik blijf het vreemd vinden dat je iets verwijtbaars als "foutje" blijft bestempelen. Een virus oid binnenhalen door laksheid is geen "foutje" maar laksheid. En zou dus niet mogen gebeuren. Ik ga er iig vanuit dat als je ergens werkt je dat met volle inzet doet. Mails niet lezen en daardoor het bedrijf in problemen brengen gaat veel verder dan "foutje".

"User error is iets dat je als beheerder/ontwikkelaar moet aannemen. Men maakt wel eens een foutje."

Heh? User error is iets dat een gebruiker fout doet. De letterlijke vertaling is: gebruikersfout. Niet iets wat iemand aanneemt dus. Maar iets dat iemand fout gedaan heeft. De beheerder/ontwikkelaar zal de problemen wel moeten oplossen.
En zelfs al van te voren moeten anticiperen.

Dit filmpje legt misschien iets beter uit hoe het komt dat zelfs de slimste mensen soms iets klikken dat ze beter niet hadden kunnen doen:
https://www.youtube.com/watch?v=dQw4w9WgXcQ
Ik ben onder de indruk van je diepgaande kennis van e-mails. Het lijkt me geweldig als je je inzichten zou willen delen met je mede-tweakers!

Ja, als ik een e-mail in gebroken Engels opvang van een Nigeriaanse prins die graag zijn erfenis op mijn bankrekening wil storten, word ik ook wat wantrouwig...
Gaat het daarentegen om een aankondiging van een conferentie op mijn vakgebied en b.v. een verwijzing naar een bekende van mij die daar een presentatie geeft, is de kans dat ik doorklik alweer een heel stuk groter... Als we het hier over doelgerichte spionage hebben zoals in dit artikel kunnen NSA & Co. dat heel gemakkelijk bereiken.
Je kunt er lang en breed over blijven lullen maar als er in een mail om gegevens word gevraagt. En vooral die op een website in te vullen. Dan ben je wel erg goed gelovig als je dit doet. En je slaat alle waarschuwingen in de wind (of heb je nog nooit te horen gekregen "wij vragen nooit gegevns via de mail"?). Als je er dan nˇg intrapt. Ja, dat is user error of eigenlijk vooral luiheid..
In 23 procent van de gevallen blijkt een geadresseerde een e-mail te openen, en in 11 procent van de gevallen klikt hij ook nog eens op een bijlage. Door 10 personen binnen een organisatie te mailen, is de kans dan ook 90 procent dat een van hen ge´nfecteerd kan worden met malware.

Hoe wordt dit berekend? Als je 100 personen mailt dan openen 23 personen die mail (want 23%). Van deze 23 openen 2,53 personen (want 11%) de bijlage. Hoe kom je van 2,53% over 100 naar 90% over 10?
Ik denk dat hier wordt bedoeld dat 11% van het totaal aantal geadresseerden de bijlage opent. Dus niet 11% van de 23% die de e-mail openen, maar ongeveer de 50% van de geadresseerden die de e-mail openen.
Als 11% van de 100 personen een bijlage opent, dan kom ik toch nog maar op 69% kans op infectie bij 10 mensen hoor.. (1-0.89^10). Snap ook niet precies hoe ze bij die 90% komen.
Die 90% klopt volgens mij ook niet nee.
Voor zover ik weet is de kans op besmetting binomiaal verdeeld (wel of geen besmetting). Dus:
P(X≥c), met c=1. X is B(n,p) verdeeld met n=10 en p=0,11.

Dat geeft (grofweg benaderd, omdat het p=0,11 niet in de tabel staat):
P(besmetting) = 0,70 = 70%.
Dat vooral bedrijven zo laks zijn met updates en beveiligingen valt me toch wel tegen hoor. Wel ramen en deuren op slot, maar niet je hardware.
Ramen en deuren op slot moet vanwegen de verzekering echter is het beveiligen van je bedrijfsnetwerk niet even een slot plaatsen en klaar is Kees
Ik denk als er geldbedragen mee gemoeid zijn dat toch ook de verzekering begint te piepen. In de trend van als de boel niet up-to-date is keren we evt. vermiste bedragen en of schadeclaims niet uit. En dat lijkt me dan ook weer terecht want dat is toch wel verwijtbaar.
Phishing heeft allang niet meer het "prince of Nigeria"-gehalte van vroeger. Veel van dit soort aanvallen gebruiken namen van collega's, andere bedrijven, het bedrijf zelf en kiezen woordgebruik, layout en bericht toegespitst op het doelwit.

Veel mensen kijken slechts heel kort naar een mailtje, zeker als ze veel mail ontvangen. Die gaan niet alles nalopen, maar vertrouwen op virusscanners en firewalls. Niet altijd terecht, zo blijkt.

Plus, omdat doelwitten zeldzamer worden (men wordt wel degelijk beter) is het steeds meer de moeite waard om een geslaagde aanval compleet uit te melken voor er wordt overgestapt naar het volgende doelwit.
Inderdaad, het is soms al wat moeilijker om ze eruit te halen (al wat oudere):

Nieuw SSL certificaat voor LogMeIn:
http://community.logmein....9792/highlight/true#M2208

Account geblokkeerd op LinkedIn, klik hier om te activeren
https://help.linkedin.com...udulent-email-or-phishing
Ik wist eigenlijk niet dat een e-mail versturen met een ge´nfecteerde bijlage ook phishing heet. Bij phising denk ik vooral aan nagemaakte websites die lijken op de originele en waarbij de gebruiker rechtstreeks zijn logingegevens intypt.
Dat doet het ook niet; een poging om mensen een ge´nfecteerd bestand te laten openen valt onder social engineering.

Mails met links naar fake websites vallen wel onder phishing.

Maar goed, dat is veels te ingewikkeld tegenswoordig, dus noemen we gewoon alles hacken en phishen
Ik dacht jaren terug dat phishing alleen online zou werken, maar mensen trappen er in het echt ook gewoon in https://www.youtube.com/watch?v=T23gOh8ByUI (als het filmpje echt is dan)
Jaren geleden gebruikte veel uitgeverijen als "phishing" trucs. Bij het bedrijf waar ik 20 jaar geleden werkte hadden we uiteraard abonnementen op meerdere vakbladen. Veel uitgeverijen gaven ook boeken uit waarvoor ze alvast een ingevulde acceptgiro stuurde. Als de stapel maar groot genoeg was werden die zonder problemen getekend en vroeg iedereen zich na een week af wie dat boek besteld had.... De gevolgen zijn weliswaar niet zo groot als tegenwoordig, maar de methode is hetzelfde.
Zit er eigenlijk verschil in als je een bijlage via mail(phishing) opent op Ubuntu of Windows7 ?
Ja dat is er zeker. Vaak wordt de malware voor een bepaald OS geschreven, bijvoorbeeld voor Windows. Door deze malware in een bijlage te stoppen wordt de code uitgevoerd als de bijlage geopend wordt. Als je de bijlage in Ubuntu opent zal er waarschijnlijk niet veel gebeuren omdat de code niet uitgevoerd kan worden. Bestanden staan op andere plaatsen, commando's zijn niet beschikbaar etcetera.
PICNIC - Problem In Chair, Not In Computer

Bij de meeste (vliegtuig)ongevallen ligt een menselijke fout aan de bron.

Zelfs met goede opleiding en gepatchte systemen kan een menselijke handeling - foto van collega met op de achtergrond post-it met login en wachtwoord bv - de sleutel zijn voor tot toegang tot het systeem.

Ook snappen velen niet wat ze verkeerd doen, want er gebeurt gewoonweg niks als ze klikken op deze of gene knop. Er komt immers geen popup met de melding 'Dank u. U hebt me nu toegang gegeven tot uw systeem'

Al lijkt me de melding dat er veel niet-gepatchte systemen in the wild te zijn toch wel verontrustend. Worden de sysadmins niet voldoende opgeleid of is het laksheid van hen. Of mag het gewoon niet van de bedrijfsleiding omdat het geld kost (manuren tijdens het weekend bv.).
"In tegenstellingg tot bij phishing-aanvallen van criminelen, die uit zijn op bijvoorbeeld logingegevens voor bankensites, zijn de aanvallers niet op zoek naar user-input."

Deze mensen breken niet minder de wet dan mensen die je bankgegevens proberen te achterhalen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True