Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Nederlanders overschatten hun internetbeveiligingsvaardigheden'

Door , 117 reacties

Een ruime meerderheid van de Nederlanders denkt goed om te gaan met potentieel gevaarlijke situaties op internet- en computergebied. Minder dan 15 procent verwacht slachtoffer te kunnen worden van dreigingen op dat gebied.

Een meerderheid van de Nederlanders verklaart bij Alert Online-onderzoek 'goed', 'zeer goed' tot 'uitstekend' te handelen bij online gevaren. Dat terwijl 10 tot 55 procent, afhankelijk van de soort dreiging, wel eens te maken heeft gehad met de gevolgen van phishing of internetfraude. Bovendien zijn veel Nederlanders alleen bekend met traditionele dreigingen, zoals phishing via links in e-mails. De onderzoekers noemen Nederlanders naïef omdat ze de gevaren onderschatten en hun eigen vaardigheden overschatten.

De resultaten blijken uit het Nationaal Cybersecurity Bewustzijnsonderzoek, dat onderzoeksbureau Motivaction in opdracht van de NCTV online uitvoerde onder 1123 respondenten in de leeftijd van 13 tot 80 jaar. Het onderzoek is onderdeel van de Alert Online-campagne van de NCTV.

Van de respondenten geeft 55 procent aan wel eens phishingmails te hebben ontvangen en 18 procent heeft wel eens een valse zakelijke uitnodiging gekregen. Nog altijd 18 procent blijkt nog nooit van ransomware gehoord te hebben. Portscannen, honeypots en juicejacking zijn veelal onbekende termen.

De bezorgdheid over internetgevaren op het werk is in de afgelopen drie jaren gedaald van 27 procent in 2015 en 24 procent in 2016 naar 21 procent dit jaar. Thuis maakt men zich weer iets meer zorgen. In 2015 gaf 51 procent aan zorgen te hebben en in 2016 daalde dit flink naar 29 procent, maar inmiddels ligt het percentage alweer op 46 procent.

Waarschijnlijk maken mensen zich thuis bezorgder omdat ze daar vaker met phishing te maken krijgen dan op het werk, waar spamfilters de berichten vaker blokkeren, verwachten de onderzoekers. Opvallend is verder dat de helft van alle werkenden aangeeft nooit informatie van de werkgever ontvangen te hebben over veilig online werken.

 

Door Olaf van Miltenburg

Nieuwscoördinator

02-10-2017 • 06:00

117 Linkedin Google+

Reacties (117)

Wijzig sortering
Juice jacking kende ik ook nog niet als term:

Gaat erom dat je eigenlijk USB-poorten voor opladen van bvb. je telefoon eigenlijk niet kunt vertrouwen. Dus dat je eigenlijk niet in ‘publieke’ laadpunten of in een niet vertrouwde computer moet inpluggen, omdat het een vector voor malware is.

Vraag me af hoe groot dat probleem in de praktijk is. Ikzelf sleep op reis bvb. liever niet ook nog een powerbank mee, maar is het zo wijd verspreid dat je dat wel moet doen?

Of zijn besmette usb-poorten iets dat je alleen op hacker-conferenties tegen komt?
Daar is het USB condoom voor uitgevonden :)
Zie https://int3.cc/products/usbcondoms
kan ook makkelijker/goedkoper: knip een usb laad kabeltje door en soldeer alleen de 2 leads voor power vast. geen zorgen meer.
denk misschien 10 min werk en kost bijna niets tegen 7 dollar en 1 of 2 dagen wachten.
but hey that's my idea.

(zal ik er maar patent op aanvragen?)
Natuurlijk!
Me dunkt dat dit ook de eerste gedachte is bij iedereen die er een beetje verstand van heeft. Maar dat is natuurlijk niet het geval en dat vertelt de slimmerik die dit verkoopt er wijselijk niet bij. Anders kon hij niet zo'n absurde prijs voor zo'n simpel plugje met alleen die 5V draadjes vragen.
nadeel van de "koop en weg smijt maatschapij" die we nu hebben.
nederlanders zijn niet meer zo gierig als vroeger. anders hadden ze dit al lang bedacht.
en mensen worden teveel beperkt doordat ze de hele dag binnen de lijntjes van een virtuele box moeten blijven. slecht voor creatieviteit op dat soort dingen.
Dit was al lang bedacht, al jaren geleden. Alleen de ludieke naam ervan had ik niet eerder gezien.
Maar er zijn altijd gewiekste jongens die gebruik maken van de geringe technische kennis van techniek bij een vrij groot deel van de mensen. Dat speelt op alle fronten, niet alleen hier.
In sommige varianten zit ook intelligentie om een Apple en een Samsung te laten denken, dat je een originele lader gebruikt. Daarnaast vind ik een case om het condoom wel zo handig:
http://www.ebay.nl/itm/Po...ple-Android-/221660438987
Goede ervaringen mee.
Natuurlijk is dit niet zo bijzonder. Maar het verschil is dat je hiermee niet elke USB kabel hoeft te bewerken, maar gewoon een plugje hiertussen stopt. Ik heb thuis bijvoorbeeld een drietal aan USB kabels van mezelf. Dat kost me dus 30 minuten aan tijd. Ik zal ook een soldeerbout moeten hebben, en weten welke leads voor power zijn. Om dat uit te zoeken ben ik dus al 2 uur verder, met substantieel risico een kabel te slopen. Dat kost me waarschijnlijk dus meer dan 7 euro.

Verder moet ik dan ook nog eens 2 USB kabels mee gaan nemen. 1 voor als ik data over wil zetten, en 1 gecastreerde voor alleen opladen. Tenslotte zal de kabel altijd een zwak punt hebben omdat je 'm hebt doorgeknipt.
Grappig, een collega van me had een Samsung laadkabel die ook echt alleen dat deed: laden. Je kon er geen data mee van je telefoon halen wat in eerste instantie irritant leek, maar blijkbaar een veiligheidsvoordeel met zich meebracht. Nooit zo over nagedacht om eerlijk te zijn, hoewel ik mijn telefoon eigenlijk nooit aan een vreemde computer laad.
Ik meen dat sommige Chromecasts ook alleen maar worden geleverd met een kabel waar dit voor geldt.
Ik kan beamen dat de Chromecast (in ieder geval de originele) kabel inderdaad alleen oplaadt; iets waar ik veel te lang over heb gedaan om uit te vinden wat het probleem was toen ik mijn telefoon met de computer wilde verbinden.
[...] iets waar ik veel te lang over heb gedaan om uit te vinden wat het probleem was [...]
Zo dacht ik dus dat mijn Kobo e-reader stuk was, tot ik erachter kwam dat ik de kabel van een Chromecast gebruikte.
Er zijn "domme" usb laadkabels die door de middelste twee pennen (data+ en data-) met elkaar te verbinding een hogere laadstroom forceren. Officieel moet dat met wat weerstandjes zodat je ook nog steeds data kunt gebruiken maar dat kost al teveel.

De volledige USB Charging Specs: http://www.usb.org/develo..._Battery_Charging_1.2.pdf
Voor zover ik weet, levert Samsung altijd volledige bedrade kabels mee met hun telefoons. Anders zou je bijv. geen data kunnen overzetten naar je computer. Een Samsung kabel met 2 draadjes klinkt als een nepper.
Je hebt zojuist mijn dag gemaakt met deze reactie, wat een geweldig ding!
Simpel en doeltreffend. Mooie oplossing inderdaad.
Ja, totdat je een keer data wil overzetten naar de PC en je zoon nou net die ene data kabel heeft meegnomen.
Daar kan je makkelijk een "condoom" voor meenemen. Of een speciale kabel zonder D wires. Search USB condom on google.

Edit: Daarnaast: Mijn telefoon vraagt tegenwoordig of ik data wil aanzetten als ik USB insteek. Standaard staat data uit en accepteert de telefoon alleen stroom.

[Reactie gewijzigd door cybermaus op 2 oktober 2017 07:51]

Dit is een prachtig voorbeeld van overschatting van beveiligingsvaardigheden.

'Accepteert alleen stroom' is meer iets wat de UI impliceert dan de harde werkelijkheid.

ADB werkt als USB-data uit staat, maar dat met je wel een keer handmatig aangezet hebben.

Veel exploits zitten in OEM specifieke code. Deze OEM code is meestal security-wise niet op het niveau van Google's code. Er zijn zeker gevallen bekend van (grote) OEMs die op retail units nog 'geheime' 8)7 USB protocollen aan hebben staan waarmee bijvoorbeeld de hele flash storage leeg getrokken kan worden, zonder configuratie, melding of authenticatie. Nu weten er zelfs onder hackers maar bar weinig van deze exploits, maar ze bestaan wel, dus ze kunnen gebruikt worden.

Laad veilig of laad niet: gebruik een condoom of eigen kabel die fysiek de data wires niet heeft.
Nu weten er zelfs onder hackers maar bar weinig van deze exploits, maar ze bestaan wel, dus ze kunnen gebruikt worden.
Zet dit maar bij uw 'prachtig voorbeeld' :+
Klopt, Android doet dit al lang, sinds KitKat als ik het me goed herinner. De iPhone doet ook iets dergelijks (gebruikt keys om bekende PC's te herkennen)

Let wel: als je adb aan hebt staan dan gaat dat daar wel buitenom. Maar gebruikt tegenwoordig ook ID's die je indien gewenst kan vertrouwen.

Dus dit is tegenwoordig niet echt een probleem meer.

[Reactie gewijzigd door GekkePrutser op 2 oktober 2017 08:43]

Iphone vraagt als nog ook al heb je 1 keer toegestaan de volgende keer wil of je toegang wil geven.
Android werkt net zo: ook al kent hij de PC, dan nog vraagt hij het iedere keer en staat hij standaard op alleen laden.
Met Android filesharing wel, met ADB kan je de PC vertrouwen en vraagt hij er niet elke keer om.

Komt doordat Android filesharing het standaard MTP protocol gebruikt en dat voorziet niet in host identificatie.
Daarnaast: Mijn telefoon vraagt tegenwoordig of ik data wil aanzetten als ik USB insteek. Standaard staat data uit en accepteert de telefoon alleen stroom.
Goh, mijn Nokia E71 wordt ineens modern, ding is ong. 8 jr. oud en doet dat ook standaard.
Valt tegenwoordig wel mee. Android met recente security updates kijkt kort of een apparaat meer dan alleen laden ondersteund, maar verbind in "alleen opladen" modus, en dit moet handmatig veranderd worden als de lader data wil stelen (buiten een grof profiel van het apparaat).

Voor iOS ligt het iets ingewikkelder, maar is het verspreiden van malware alsnog lastig (apps sideloaden via USB kan niet zonder zero-day).
In het hierboven gelinkte artikel staat dat die beveiliging ook omzeilbaar is. Eigenlijk is daarmee een hardware switch de enige echte veilige optie.
Bedoel je deze link refererend naar een onderzoek uit 2011? Gelukkig heeft Android sinds die tijd wel wat wijzigingen op het gebied van beveiliging aangebracht.
Ja die bedoelde ik. Had even aangenomen dat het een recent artikel was. Maar dan nog alle software is te omzeilen. Het is gewoon net als met de webcams op je laptop. Een hardware switch is gewoon het veiligst.
Precies, en wat @dvputten zegt.

Er zijn van die sticks die een piekspanning (ofzo?) zetten op de USB poorten. Google maar eens op; 'USB Killer'.

Bij ons in de bus zitten USB aansluitingen. Ik denk dat kwaadwillenden die zo'n stick gebruiken in slechts 1 seconde alle aangesloten apparaten daarmee om zeep kunnen helpen? Ik zou in ieder geval niet zo maar mijn telefoon oid in een onbekende poort hangen... Helpt zo'n usbcondom tegen dit soort dingen? Dat lees ik namelijk niet..?
de usb condoom beschermd alleen tegen data - er zijn wel andere die ook tegen piekspanning beschermen, maar de gemiddelde heeft enkel de data lanes er niet op zitten waardoor de usb enkel kan laden.

Bij een dergelijke usb killer wordt er meestal een piekspanning op de data lanes gezet - deze zitten als het goed is niet tussen de verschillende usb poorten verbonden, zelfs als deze het op de powerlanes doet, zal hoogstwaarschijnlijk niet meer dan de usb poorten die er direct naast zitten hierdoor effect zien.

best practice is gewoon je telefoon met eigen oplader of powerbank opladen, bij overspanning is dan hoogstens je oplader naar de haaien
Schroevendraaier in een usb poort drukken geeft hetzelfde effect. Geen USB killer voor nodig.
Het is sowieso een veel minder probleem omdat fabrikanten dit ook wel doorhebben. Desalniettemin vertrouw ik vooral de voeding op dergelijke plekken voor geen meter en gebruik ik liever m’n powerbank.
Je kan altijd een 'USB-condoom' gebruiken, een klein verleng stukje waarbij de draadjes voor data transfers weg gehaald zijn. Deze kosten maar een paar euro.
gewoon een zelfverspreidende worm los laten gaan op het internet en ieder apparaat met het doelbesturingssysteem van de worm is een protentieel slachtoffer. op de meeste apparaten draait een verouderd besturingsysteem waarvan de laatste beveiligingspatches NIET geinstaleerd zijn, dus exploitanten hebben vrij spel.
Gewoon de USB poort van je eigen laptop gebruiken doe ik altijd wel en het scheelt weer een lader meenemen (de laptop moet toch al mee).
Ik gebruik het liefst gewoon mijn eigen USB stekker. Ik heb er altijd één in m'n tas, waar je gewoon elke USB kabel in kunt doen, of het nou mini, micro of C is aan de andere kant. Zolang de ene kant maar A is.

Maar die term kende ik ook nog niet...

Maar die 18 procent die nog nooit van ransomware gehoord hebben, hebben het afgelopen jaar geen nieuwssite/krant/actaliteiten gehoord en/of gelezen...
Dat maakt toch niet uit als het publieke laadpunt gewoon een V230 socket is? Daar kan geen USB data doorheen, lijkt me.

[Reactie gewijzigd door NotCYF op 2 oktober 2017 11:55]

Niet bij alle publieke laadpunten is een 230V socket aanwezig (denk aan 2de klas nieuwe NS Sprinters, R-NET bussen, economy class in het vliegtuig, etc.).
Ja ik denk dat mensen die er geen last van hebben en daar bedoel ik mee virussen highjaking en ander ongewenst ongedierte.Daarom installeer ik altijd anty virus een mallware scanner en highjakking fishing anti virus. En dan heb ik hat alleen over de thuis situatie.Ik kan me best voorstellen dat bedrijf x een scala aan anti virus en antie mallware programma's nodig hebben om het bedrijf gezond te houden.
Want als er iets uitbreekt en de bestanden kunnen niet gered worden dan heb je een probleem erbij als werkgever zijnde.Ik denk dat een gezond bedrijf wel degelijk zo een software tot hun beschikking hebben.Alles kost centen, en als je daar niet aan mee doed dan kost het alleen maar centen, en dat is wat elk bedrijf wilt emileren.
Neem toch gewoon je lader mee...
Ehm gewoon geen publieke usb poorten gebruiken maar je eigen lader meenemen? Als ze een USB poort ergens hebben zullen ze toch ook wel een stopcontact hebben? :+
Dat valt soms wel tegen. Ik zit vooral aan mijn vliegreizen naar de VS te denken. Op de vliegvelden waar ik langs ging was vaak het stopcontact al bezet door iemand anders, maar wel nog USB-poorten beschikbaar. Of geen stopcontact voor mijn europese lader.

In het business-centre in de lounge zijn er vaak usb-poorten in de monitor beschikbaar, maar geen losse stopcontacten (tenzij ik het kopieerapparaat eruit ga trekken)

In het vliegtuig zelf bieden ze meestal alleen een USB-poorten aan en maar zelden een europees stopcontact (op sommige oude vliegtuigen nog wel een sigaretten-aansteek-lader :+ ).

In de hotelkamer, dan is het meestal op de kamer wel dat je een stekker ergens kan uittrekken, maar de USB-lader (vaak inclusief kabel) is op het nachtkastje naast je bed...

Kortom, het kan wel hoor en we hebben het over een enorm eerstewereldprobleem, maar dat een europees stopcontact altijd beschikbaar is waar je een USB-lader hebt, is niet waar.

[Reactie gewijzigd door Keypunchie op 2 oktober 2017 14:06]

Tja een europees stopcontact verwachten in het buitenland is sowieso een beetje knullig natuurlijk.
Gelukkig zijn er, in het geval van de USA en het gros van Azië, makkelijke connectoren te koop voor je eigen lader (gezien die toch 100-240V ondersteunt zoals elke andere lader die hier verkocht wordt): bol.com

Anders is altijd nog bovenstaand advies van een slimme tweaker:
Mod een USB kabel zodat enkel de + en - pool voor het laden actief zijn en er dus geen dataoverdracht plaats kan vinden en neem die kabel vervolgens mee als dedicated laadkabel (met mooi stickertje erom zodat je m kunt herkennen en niet verwart met je datakabel) :)
Op veel vliegvelden in Engeland heb je bij eetgelegenheden de mogelijkheid om direct je USB kabel in te pluggen en zo je device op te laden. Ook zijn er in restaurants en sportscholen tegenwoordig kluisjes waarin je je telefoon kan achterlaten en opladen. Je hebt het zelf niet (snel) door waardoor dit een simpele en waardevolle manier is om telefoons te benaderen.

Ik neem, om dit te voorkomen tijdens mijn reizen een klein stekkerblok mee met USB poorten van RavPower waarin ik mijn devices makkelijk kan opladen.
Gerichte aanvallen op een individu. Daar kom je dat voornamelijk tegen.
Waarbij eerst 'reconnaissance' verricht dient te worden voordat iemand echt vatbaar is voor zo soort aanval.
Aangezien geen apparaat/os exact het zelfde is.

Indien Android, heeft toestel root? busybox? ADB debugging?
MTP? Mass storage? ext sdkaart? Android versie? SE kernel? Knox? etc etc
Dat de helft van alle werkenden aangeeft nooit informatie van de werkgever ontvangen te hebben over veilig online werken is toch gek. De gebruikers zijn meestal de zwakste schakel in elk beveiligingssysteem, dus je zou denken dat ondernemingen veel meer aandacht hebben voor dergelijke interne informatievoorziening, zeker omdat dat relatief goedkoop is.

[Reactie gewijzigd door Takezo op 2 oktober 2017 07:20]

Heeft geen enkel nut. We sturen een mail rond van let op phishing mail waar je dat aan kunt herkennen en weet ik wat allemaal. In dezelfde week sturen wij zelf een gemaakte phising mail naar de medewerkers. Die toch redelijk nep is gewoon wazige linkjes en totaal geen goede opmaak. Toch vult het eerste uur 9 man hem netjes in (gebruikersnaam en wachtwoord en submit!). De dag erop nog 5 mensen terwijl er al mail rond was gegaan dat die mail phising mail is.

[Reactie gewijzigd door RobbyTown op 2 oktober 2017 07:39]

No offense, maar schrijf je de instructiemail, die waarin je schrijft hoe een phishing-mail kunt herkennen, in dezelfde stijl als je bericht hier op Tweakers? Dat zou misschien een verbeterpunt kunnen zijn.

Verder is het wel sneu wat je schrijft... dat mensen echt gewoon nog reageren ook al is er een bericht dat er een phishing mail rond is gegaan : /
Uiteindelijk worden dit soort waarschuwingen geschreven door de IT afdeling niet goed gelezen, of zelfs niet geopend. Het beste is voor de grotere bedrijven via een daadwerkelijke fysieke training van 20 minuten een afdeling te informeren over dit alles, dit voorstellen maakt je echter niet bij de betrokken personen, want tijd = geld ..
Precies zoals Bongoan zegt. "Ow dat mailtje over phishing herkennen. Ja zag het tekst was lang heb het maar weg geklikt".

Hierbij de phishing mail
Mailtje was opgesteld in redelijk afwijkend huisstijl. Geen aanhef, logo half afgekapt, text formaat, totaal niet onze eigen links (mijn prive blog website die weer redirecten naar een vage link, totaal niets van ons bedrijf erin wat je vaak nog wel ziet), verzonden als een gmail adres, express geen https gebruikt. Dus aardig te zien dat het nep was.

[Reactie gewijzigd door RobbyTown op 2 oktober 2017 12:19]

Dus aardig te zien dat het nep was.
Makkelijk te zien door iemand met verstand van zaken.
De aanname dat anderen bepaalde kennis hebben, zonder dat die aanname op feiten gebaseerd is, is de bron van veel ellende.

Inconsistente stijlen komen bij veel bedrijven voor waar niet alle communicatie langs de afdeling communicatie gaat.
En dat technische 'gedoe' over links gmail adres en https is iets wat 99% van de niet techneuten helemaal niets zegt. Dat is ook het probleem met alle communicatie over dit probleem. Wil een boodschap blijven hangen, dan moet er een bepaalde basiskennis aanwezig zijn om te kunnen 'landen'. Zonder die basiskennis kun je iets nog zo simpel maken en nog zo vaak herhalen, maar er blijft niets van hangen.
En ondertussen als voorbeeld van een goed wachtwoord bij mijn werkgever (multinational), komen ze aanzetten met P4$$w0rd. En ook het advies als je twijfelt bij phishing het maar op je telefoon te openen kan ik niet heel serieus nemen. Ja gemiddelde cryptoware virus zal weinig kunnen op je telefoon. Maar als het doel is toegang tot bedrijfsnetwerk met je account te krijgen dan werkt het net zo goed als ze met een fake login scherm komen.
Maar hoeveel mailtjes worden er door IT uitgestuurd naar de werknemers?
Wanneer dat regelmatig gebeurt voor zaken waarmee (veel van) de gebruikers niet direct iets te maken hebben (bv. meldingen dat systeem X een storing heeft, terwijl veel gebruikers dat systeem niet gebruiken, dat het kopieerapparaat op afdeling Y niet werkt of dat de mailservers 's nachts in onderhoud gaan, waardoor je 's nachts geen werkmail kunt ontvangen) wordt het een automatisme om dergelijke mails ongelezen te wissen. Maar zo'n fishing-mail is anders en valt op.

Je moet er niet te snel van uitgaan dat anderen jouw mails lezen omdat jij vindt dat het belangrijk is.
Hier versturen wij zelden mails naar de mensen om te voorkomen dat het inderdaad standaard direct weg gaat. Puur alleen als echt mensen ermee te maken hebben. Let op phising mails als het erg piekt. Zelfs kort onderhoud mailen wij niet eens.
Dan is daar over nagedacht.

Waar ik werk krijg ik meerdere IT-berichten per dag in mijn mailbox. Omdat ik een beetje verstand van zaken heb kan ik snel zien wat wel en niet relevant is en een melding over een systeemstoring herken ik onmiddellijk aan de kop. Anderen, zonder verstand van zaken, beginnen met het openen van elk mailtje en wanneer een groot deel onbegrijpelijk of niet relevant voor ze is, gaan ze al snel over op alles ongelezen te wissen.
Dat de helft van alle werkenden aangeeft nooit informatie van de werkgever ontvangen te hebben over veilig online werken is toch gek.
Onder die helft heb je ook schoonmakers, stoffeerders, verhuizers etc.
Ik zie niet waarom zij door hun werkgevers geinformeerd moeten worden over veilig online werken.
Omdat ook die beroepen steeds meer een deel van hun dienst verlening online doen? Denk aan klantenservice, online agenda voor personeel, etc.
Onder die helft heb je ook schoonmakers, stoffeerders, verhuizers etc.
Als er beroepsgroepen zijn die gemakkelijk fysieke toegang kunnen krijgen tot gevoelige systemen, dan zijn het wel schoonmakers.

Een bedrijf met gevoelige informatie eist altijd op zijn minst een VOG. Maar dan helemaal is het belangrijk dat personeel op deze functies goed op de hoogte is wat ze wel/niet moeten doen.

In mijn ervaring zijn schoonmakers en ander ondersteunend personeel altijd ontzettend dienstverlenend ingesteld (er lijkt een soort omgekeerde relatie te zitten tussen hoe aardig mensen zijn en hoeveel ze betaald krijgen, maar dat is een ander punt).

Je bent daardoor kwetsbaar in het volgende scenario:
Een man in pak met stropdas komt aanlopen, maar heeft koffie in zijn ene hand en een laptop in de andere. De schoonmaker staat net te stofzuigen bij de deur naar de serverruimte.

"Excuus, zou je me even kunnen helpen, ik moet hier zijn, maar kan niet bij mijn pas"

"Oh, natuurlijk meneer, ik maak wel even open".

...en al je firewalls zijn nutteloos.[/scenario]

Natuurlijk moet ook al je ondersteunend personeel goed op de hoogte zijn van informatiebeveiliging. (En je moet extra physical security hebben dan alleen die deur). Maar om maar aan te geven: informatie-beveiliging is een gedeeld belang, dat iedereen van de schoonmaak en receptionist tot de directeur moet delen.

[Reactie gewijzigd door Keypunchie op 2 oktober 2017 09:37]

En daarom laten we geen kuisploeg toe in onze serverruimte. Enkel toegang onder toezicht van IT staff.
Bij een middelgrote- of grote organisatie hoort hier een overeenkomst bij, die je bij een dongle of certificaat uitgeeft. Net zoals je die hebt voor een laptop of telefoon van de zaak.

Ook geven veel bedrijven gewoon een kant- en klare dichtgetimmerde thuiswerklaptop mee, en RDP/Citrix portals zijn doorgaans ook beveiligd tegen "tante truus haar viruscomputer".
Je hebt weinig aan een goed beveiligde RDP/Citrix portal als ze een bedrijfsmail openen met phishing/malware erop die je interne mail-virusscanners nog niet hebben kunnen afvangen.

Zit je dan met ransomware op je interne netwerk. Goed beveiligd ;)

En phishing mails kunnen best overtuigend zijn "Hoi! We zijn bezig met een random onderzoek van de werkvloer, doe mee en maak kans op een iphone 7 of een apple watch!", lichtelijk aangekleed in de normale communicatie stijl van het bedrijf en bam, hoop mensen die 'm invullen en totaal niet schrikken van een hta download melding 8)7
Ik ben recent ook in een phising mail "getrapt".
"Uw mailbox is vol, u gebruikt meer dan de 20GB".

Dus ik heb mijn mail gearchiveerd (maar niet op de linkjes geklikt). ;)
Later zeiden collega's; sinds wanneer krijgen we zulke grote mailboxen?
Maar mijn werkgever is hier fel op en komt regelmatig met zulke tests.
Ook de virusscan, firewall en encryptie staat op standje hoog :(
Dat de helft van alle werkenden aangeeft nooit informatie van de werkgever ontvangen te hebben over veilig online werken is toch gek. De gebruikers zijn meestal de zwakste schakel in elk beveiligingssysteem, dus je zou denken dat ondernemingen veel meer aandacht hebben voor dergelijke interne informatievoorziening, zeker omdat dat relatief goedkoop is.
Klein voorbeeldje dan maar ?
Ik krijg regelmatig mailtjes over mijn online aanwezigheid.
Omdat de afzender zo'n mooi script heeft, zijn ze allemaal persoonlijk.
Er staan dan een vier of vijf searchlinks in, waarin ze aangeven mij gevonden te hebben, en hoe een hacker dan mijn wachtwoorden te pakken kan krijgen.
Ik sta op LinkedIn, en klassefoto.nl beweert me ook te hebben, al kan ik dat zonder abonnement niet zien :)


* FreshMaker is nog nooit echt 'gevonden' en de uitdaging staat nog steeds bij de bedrijfsvoering
Veel werkgevers zien het als de verantwoordelijkheid van de werknemers zelf. Ze hebben ook nooit hoeven uitleggen hoe het slot op de voordeur of het raam werkt, dat snappen alle werknemers al. "IT leer je maar op school, net als lezen en schrijven", is de gedachte. Niet eens een hele gekke gedachte, maar praktisch gezien niet handig, je huidige personeel zit immers niet meer op school, daar gaan ze het nooit leren.
De werkgevers zien het probleem alleen niet zo goed omdat ze zelf ook niks van IT en beveiliging snappen. De post-its zijn veilig opgeborgen en er is een virusscanner geinstalleerd. Meer kan je niet doen, toch?
Tja we overschatten ook massaal de beveiliging tegen inbraak van ons huis want er wordt nog steeds ingebroken. Vervelend maar toch heeft nog niet iedereen een twee meter hoog hek om zijn huis met prikkeldraad etc.. Soms kom je ook op het punt dat je bepaalde risico's accepteert. Maar slimmer blijft natuurlijk om bij twijfel eerst navraag te doen.
Persoonlijk vindt ik dat de straffen voor spam en internet criminaliteit behoorlijk omhoog mogen dit vanwege de grote impact ervan op de maatschappij. Los van het kaal plukken van de daders.
Toch is een fysieke inbraak bewerkelijker. Je moet als inbreker tot elk huis individueel toegang verschaffen. En je hebt de buurt er ook nog omheen die je als buitenstaander kan herkennen. Het is dus veel arbeidsintensiever en stressvoller om in te breken in een huis dan in een digitaal systeem. Dat laatste kan gewoon van achter je toetsenbord, en doorgaans met duizenden slachtoffers tegelijk.

Daarmee is het risico op een digitale aanval veel hoger, en zouden ook meer voorzorgsmaatregelen getroffen moeten worden. Zoals voorlichting. En examens, zeker in bedrijfscontext. En boetes bij het niet in de praktijk brengen, bij bijvoorbeeld een phishing-test van het bedrijf zelf.
...En boetes bij het niet in de praktijk brengen, bij bijvoorbeeld een phishing-test van het bedrijf zelf.
En strafpunten in je personeelsdossier ten behoeve van je functioneringsgesprek.
Oplopende maatregelen met aan het einde aangifte en ontslag.
Ben je een gevaar voor de toekomst van het bedrijf, dan hoor je niet bij het bedrijf.
voorbeeld van phising mail die ik een maand geleden kreeg.

Beste abonnee,


Wij updaten momenteel onze database en e-mail servers om spam en junk e-mail te verminderen en onze e-mailserver bij te werken naar Outlook. Daarom verwijderen we alle ongebruikte accounts om ruimtes te maken voor nieuwe accounts en ook te upgraden naar een nieuwe loginpagina.

Als u een upgrade niet uitvoert, kan het voorkomen dat uw account uit onze database wordt verwijderd

JEMAANDELIJKE WETSONTWERP
Het blijkt dat uw betaling die we bestand hebt voor u onlangs afgewezen is toen we geprobeerd te betalen van de verschuldigde facturen op uw account voor de maand juli, dit is ofwel de balane van de kaart is lage of onjuiste kaartgegevens op bestand.Voorkom eventuele onderbrekingen in de service moet u bijwerken uw geautomatiseerde betalingsinformatie online en uw huidige saldo van de kaart.

Naar de betalingsgegevens op uw account bijwerken:1. In uw browser ga naar MijnAccount.
2. Voer uw belangrijkste gebruikersnaam en wachtwoord en klik op de knop aanmelden.
4. bijwerken van de betalingsmethode.
5. update uw creditcard of eCheck op bestand en klik op de knop Save Settings.
Have a Better Translation?
Als alternatief kun je rechtstreeks naar de onderstaande link: xxxxxxxx
Hebt u vragen neem contact op met onze afdeling facturering

Dank u,

Telfort Internet

Waarschuwing: Alle eigenaar van de account die weigeren account bijwerken binnen 72 uur na ontvangst van deze e-mail verliest zijn/haar account permanent.

Telfort Internet Copyright ©Telfort Internet
Het blijkt dat uw betaling die we bestand hebt voor u onlangs afgewezen is toen we geprobeerd te betalen van de verschuldigde facturen op uw account voor de maand juli,
Briljant dit....
Het blijkt dat uw betaling die we bestand
It seems that your payment that we file

_/-\o_
Dit schijnt niet zo maar een 'domme' fout te zijn, maar een bewuste tactiek. Mensen die deze fouten ontdekken zouden waarschijnlijk al geen goede doelgroep zijn voor phishing en uitbuiting. Mensen die de fouten niet door hebben zijn goede prooien. Het is een filtersysteem.
Je hebt gelijk, ik heb ook gehoord dat fishing-mails doorgaans opzettelijk spel- en grammatica-fouten bevatten, omdat ze zich meer richten op mensen die dat niet doorhebben.

Echter in dit specifieke geval lijkt het me meer op luiheid: de tekst ziet eruit alsof het rechtstreeks uit Google Translate is gekomen. "Je maandelijkse wetsontwerp" slaat natuurlijk helemaal nergens op, en is gewoon een verkeerde vertaling van "your monthly bill".
"Have a Better Translation?" :)
voorbeeld van phising mail die ik een maand geleden kreeg.
-knip-
Ik kreeg afgelopen week een korte 'hartverzakking, waar ik ook bijna intrapte.
Via mijn hosting kreeg ik een aanpassing in de voorwaarden, ( dat klopte dan ook wel )
Maar daaronder stond een mail dat mijn mail en WW was aangepast.

Nog steeds in de mindset van de hostingaanbieder, las ik het mailtje maar half.
Net voor ik op de link klikte om te "weigeren" viel het me op dat de link niet naar betreffende provider stond ( logisch, het was een facebook account ), maar ook zou het naar een niet FB adres leiden

Ik laat mijn familie en collega's dan ook altijd de pagina / mailafzender controleren, maar helaas kan het zomaar fout gaan
Ik heb mijn oudere familie leden een paar jaar geleden zo ver gekregen, dat deze gewoon geen linksjes uit emails meer openen. Geen bestanden meer downloaden, ook al is het van bekenden. Tenzij je het verwacht. bv, he pietje, stuur je mij dit en dat straks, en dat je dan 30min later een mailtje met meuk van pietje ontvangt. Of dat je je ergens registreerd en een sec later de mail binnenkrijgt.
Verder als ze mail met links van een partij ontvangen op momenten die ze niet verwachten, open de website handmatig.

Ondertussen wordt ik al een paar jaar niet meer lastig gevallen of ik even iemands PC op kom schonen. (deels ook vanwege Windows die makkelijker voor de Henk en Ingrids beveiligt is op te zetten vergeleken met 9x of XP)
Bijna gelukkig om te zeggen dat de meeste (hier) 'ouderen' alleen nog maar geinteresseerd zijn in het nieuws en foto's van de kleinkinderen.

Mijn oma ( 94 ) had ik echt nooit aan een PC durven zetten, maar de ipad gaat haar prima af.
Ze kan de sportuitslagen zien, het nieuws via de betreffende apps lezen, en bovenal haar mirakel, bijna elke dag wel een update over de achterkleinkinderen.

De rest heeft dan nog wel een laptop, maar die gaan hoogstens één keer per maand nog maar aan, sinds de tablets.

Maar inderdaad die mensen ook op het hart gedrukt NERGENS op klikken, niemand hoeft jouw wachtwoord / mailadres te veranderen.
Daar mogen ze bij mij voor aankloppen :)
Dat helpt natuurlijk ook, de meeste hebben wel een tablet of Samsung ipad of 2 en halen daar de meeste consumptie mee binnen.

Niet eens bij stilgestaan :) Ze hebben wel allemaal een PC of laptop, maar doen daar op een paar uitzonderingen na ook waarschijnlijk niet al te veel meer mee.
Mijn ouders werken al jaren zo, al sinds Windows 98 op hun machine stond. Nooit last van virussen of andere ellende op hun computer gehad (en die '98 machine zat nog rechtstreeks op 't kabelmodem zonder firewall)

De "opschoon" telefoontjes zijn drastisch verminderd sinds ik Ubuntu heb geinstalleerd bij de buurman. Al anderhalf jaar niks hoeven op te schonen, blijft gewoon lekker werken.
Als je een mail niet vertrouwd altijd even naar plain tekst switchen dan zie je vaak al links die niet kloppen, ook klik ik dan op afzender zodat het mail programma een mail gaat opstellen, hierdoor zie je ook het werkelijke mail adres van de afzender.

De eerste zou een phising mail zijn waar je kunt in trappen, de tweede was heel duidelijk met een translate
programma gemaakt
Ik denk dat vele niet eens weten waar ze over praten en dus maar wat zeggen.

Maar het is tegenwoordig moeilijker en moeilijker geworden om niet getroffen te worden door zo'n hack of virus etcetera.
Ze worden steeds slimmer en jonger en de tijdperk van nu geeft minder snel uit aan techniek om zich te verdedigen!
"moeilijker","Ze worden steeds slimmer en jonger"
Volgens mij is het niet veel anders dan 10 of 20 jaar geleden, het verschil is dat het nu meer in de media komt en in kaart wordt gebracht. Bovendien met al die kant en klare tooltjes zijn ze denk ik niet slimmer.
Het is meer georganiseerd als vroeger, er zijn tooltjes, er wordt geld mee verdient, overheden houden zich er mee bezig, tools van overheden komen beschikbaar voor iedereen.
20 jaar geleden hield de georganiseerde misdaad zich hier toch niet mee bezig. Dat is nu wel anders. En ik vermoed dat ook overheden nu veel vaker digitale inbreektechnieken gebruiken, al is het alleen maar omdat er nu digitaal veel meer te halen is.
Skiddies waren 20 jaar geleden wat minder een probleem.

Tot een jaar of 10 geleden, moest je je in de juiste netwerken bevinden, de juiste mensen kennen, om uberhaupt een script te kunnen bemachtigen. De goede skiddie meuk, kon je eigenlijk alleen ruilen. Data die de scripts gebruikten (cisco hosts bv) waren vrij zeldzaam.

Vandaag de dag, tik je op google wat je wilt bereiken of je bezoekt het dark web. Je kunt complete phising pakketen kopen, de grootste botnets huren. Terwijl je dat vroeger maanden of jaren kostte om op te bouwen.
Het wordt juist steeds moeilijker om wél getroffen te worden.

Browsers houden tegenwoordig een hele berg sites met malware tegen, Flash/Java applets worden standaard niet meer toegestaan, webdiensten als Gmail filteren een hele berg eruit incl phishing en virussen, Windows is tegenwoordig prima dichtgetimmerd, zoekmachines filteren een berg troep uit zoekresultaten etc etc.

Vroeger kon surfen naar een verkeerde site al je complete computer overhoop gooien, dat zie je steeds minder.
Je hebt gelijk, maar vergeet niet dat de crimineel gewoon op het zwakste overgebleven punt doorgaat. Dat kan bijvoorbeeld Windows 7 zijn, maar ook een exploit in de oem-software van je gloednieuwe telefoon. De hierboven geschetste maatregelen hebben vooral zin tegen criminelen van 20 jaar geleden en vandaag de dag tegen scriptkiddo's zonder talent.
Ik probeerde vandaag online iets te kopen en met creditcard betalen mislukte 2 maal, waarna iDeal wel lukte.

2 uur daarna een mail met deze tekst:

----------------------------------------------------------

Geachte heer/mevrouw,

International Card Services vindt fraudepreventie erg belangrijk. Om fraude te voorkomen, voeren wij dan ook regelmatig de nodige controles uit. Uit controle is gebleken dat er mogelijk geprobeerd is om misbruik te maken van uw creditcard.

Uit veiligheidsoverwegingen hebben wij uw Card daarom tijdelijk beperkt. Voordat wij deze beperking opheffen of uw Card gaan vervangen, willen wij uw identiteit verifieren. Wij verzoeken u om zo spoedig mogelijk de verificatie-procedure te voltooien. Om weer direct gebruik te kunnen maken van uw creditcard zonder beperking.

Zodra er sprake is van onjuist ingevulde gegevens wordt uw creditcard permanent geblokkeerd. U dient op de link hieronder te klikken om te starten met de verificatieprocedure.

Klik hier om de verificatiecheck te doen


Met vriendelijke groet,
International Card Services BV

----------------------------------------------------------

Gelukkig zag ik op tijd dat het naar een email adres was gestuurd wat ik niet aan de creditcardmaatschappij heb gegeven.
Fake dus, maar wel heel erg toevallig, ik was er bijna ingetrapt.
Wat nou als je even aangifte doet van die webshop?
Wat nou als je even aangifte doet van die webshop?
De webshop was ibood en daar is niets mis gegaan.
Het email adres waar de mail op kwam was het adres wat ik ooit aan Beat-IT heb gegeven, beat-it@mijndomein.nl, zij hebben jaren geleden gelekt maar ontkennen dat.
maar hoezo weten zij dan dat jou card niet geaccepteerd werd? dit lijkt me toch wel een probleem bij deze betreffende webshop of creditcard platform, zij zijn de enige die als het goed is jou card afwijzen en/of weten dat deze is afgewezen.

Of er moet natuurlijk een vorm van malware op jou computer staan 8)7
maar hoezo weten zij dan dat jou card niet geaccepteerd werd? dit lijkt me toch wel een probleem bij deze betreffende webshop of creditcard platform, zij zijn de enige die als het goed is jou card afwijzen en/of weten dat deze is afgewezen.
Ik heb nooit gezegd dat mijn kaart niet werd geaccepteerd he.
Ik denk toeval.
Ik krijg wel vaker onzin op dat adres.
Of er moet natuurlijk een vorm van malware op jou computer staan 8)7
Nah, ik heb mijn computer al weken niet aangeraakt en ben alleen maar bezig met mijn iPhone.
Puur toeval. De tekst komt mij ook bekend voor.
Wanneer je een dergelijke mail aan genoeg mensen verstuurt is er altijd wel een ontvanger bij wie net iets misgegaan is bij een betaling.
Wat ik meestal afvraag bij zo'n onderzoek....
Hoe betrouwbaar is de uitslag?

Ik denk dat vele mensen de pagina al sluit bij de eerste vraag (desinteresse) of ze zouden de enquête niet eens ontvangen omdat ze er geen weet van hebben dat de enquête bestaat.
Grootschalige onderzoeken worden vaak afgenomen door gespecialiseerde bureaus. Deze hebben dan weer groepen mensen ter beschikking die dan wel niet voor een kleine beloning zo’n ding invullen.
Dan blijft mijn vraag bestaan.
Het is toch een bepaald type mens die zich daar vrijwillig voor opgeeft.


Maar dit is een hele andere discussie dan het daadwerkelijke onderwerp.
Thanks
'Gespecialiseerde bureaus' die dan drie weken later een onderzoek doen over het gebruik van margarine in de Benelux. En dan meestal ook nog met hetzelfde personeel...

Ik doe al jaren niet meer mee aan enquêtes omdat je toch steeds dezelfde vragen krijgt. Of het nu gaat over magazines, politiek of een tevredenheidsonderzoek van je ISP.
Verkiezingenpols tonen al aan dat er een ruime marge in veel uitslagen zitten.
Ik heb wat moeite met de titel. Ik verwacht dan minstens een vergelijk met een aantal andere landen of voorbeelden die illustreren hoe dit tot stand komt.

Het heeft nu een soort gehalte van: "vereniging Nederlandse coureurs vindt dat Nederlanders hun rijvaardigheid overschatten". Duh. En is dat erg? Moet iedereen kunnen rijden als coureur? Wiens verantwoordelijkheid is dat dan?

Ik heb het idee dat, hoewel Nederlanders hun kennis misschien overschatten, ze het nog altijd beter doen dan de meeste Europese landen. Dat wil niet zeggen dat preventie niet beter kan, maar ik verwacht eenzelfde conclusie in elk land ter wereld.
Het zijn maar 1123 respondenten tussen de 13 en 80 jaar. Onderzoek van niks dus.
Dat valt reuze mee. Als we uitgaan van een populatie van 17 miljoen mensen (álle Nederlanders dus - in werkelijkheid is het aantal Nederlanders tussen de 13 en 18 natuurlijk veel lager) levert een steekproef van 1123 respondenten een foutenmarge van minder dan 3 procent op (betrouwbaarheidsniveau van 95%).
Vanaf 2008 kreeg ik problemen met een account van de spoorwegen waardoor ik gegevens van anderen zag wat jaren lang door bleef gaan zelfs nadat ik het had aangekaart met alle instanties waaronder NCSC die het [NCSC-NL #4361] als code meegaf. Daarna werd mij door die zelfde NCSC verzekerd dat er niks aan het handje was, nu blijkt nog steeds dit inactieve email adres in botnet lijsten voor te komen waarvan de NCSC zei dat er niks aan het handje was dat heb ik zelf moeten uitvinden via een derde partij. In al die jaren is het zelfde probleem bij andere systemen ook voorgekomen waar personen gegevens van anderen inzagen terwijl ze hun eigen account openden.Wij zijn ons echt wel bewust maar als met zovele zaken doen we het af van ach zolang het maar mijn deurtje voorbij gaat, totdat er informatie via jou gegevens word verzameld van derden of nog erger.

Exploit.In (unverified): In late 2016, a huge list of email address and password pairs appeared in a "combo list" referred to as "Exploit.In". The list contained 593 million unique email addresses, many with multiple different passwords hacked from various online systems. The list was broadly circulated and used for "credential stuffing", that is attackers employ it in an attempt to identify other online systems where the account owner had reused their password. For detailed background on this incident, read Password reuse, credential stuffing and another billion records in Have I been pwned.
Klopt wel, ik dacht dat ik wel slim was maar ben er toch twee keer in een phising mail van de werkgever getrapt. Het was maar een test maar toch.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*