Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Belgisch Centrum voor Cybersecurity vraagt om phishingmails voor analyse

Door , 38 reacties

Het Belgische Centrum voor Cybersecurity roept mensen op om e-mails waarvan ze denken dat het om phishing gaat op te sturen. Het wil de mails vervolgens analyseren en daarmee een waarschuwingssysteem opzetten.

Volgens CCB-directeur Miguel de Bruycker worden de ingestuurde berichten door zijn organisatie met behulp van software geanalyseerd. Op die manier wil het centrum bijvoorbeeld kwaadaardige links en bijlagen detecteren. Welk systeem het centrum daarvoor gebruikt, komt niet naar voren. Kwaadaardige links komen vervolgens op een zwarte lijst, zodat grote browsers gebruikers daarvoor kunnen waarschuwen. Of hiervoor het door Google in 2007 geïntroduceerde Safe Browsing wordt gebruikt, is onduidelijk. Ook deelt de overheidsinstantie de gegevens met antivirusbedrijven.

Het CCB organiseert de campagne samen met de Cyber Security Coalition vanwege een Europese beveiligingsmaand. Het doel is om internetgebruikers te informeren over phishing, waarmee criminelen vaak uit zijn op inlog- en betaalgegevens door het versturen van e-mails die doorgaans het uiterlijk hebben van bedrijfsmails. Ontvanger van dat soort mails kunnen ze opsturen naar verdacht@safeonweb.be en ze vervolgens verwijderen, zo luidt de oproep. Verder heeft het CCB een 'phishingtest' in het leven geroepen.

Door Sander van Voorst

Nieuwsredacteur

02-10-2017 • 13:51

38 Linkedin Google+

Reacties (38)

Wijzig sortering
Er heeft het CCB een 'phishingtest' in het leven geroepen.
Deze "test" gaat in mijn ogen volledig zijn doel voorbij. Bijvoorbeeld de eerste vraag al: "Wat is er verdacht aan dit WhatsApp-bericht?". Dan geven ze 6 opties om als verdacht te markeren:
  • Het tijdstip van het bericht.
  • De link naar de website (http://delhaize-be.site).
  • Een promocampagne voor de verjaardag van Delhaize.
  • Delhaize stuurt deze promo via WhatsApp.
  • Er staat een hartje aan het einde van het bericht.
  • De promo is te mooi om waar te zijn.
Zoals het bericht geschreven is ontvang je een bericht van een bekende over een actie van Delhaize (supermarkt). Dit bericht eindigt namelijk met "ik heb de mijne ook al geclaimd". Het hartje aan het eind van het bericht is dan geen verdacht punt. Net als "Delhaize stuurt deze promo via WhatsApp" aangezien een bekende dit verstuurt. "De promo is te mooi om waar te zijn" is hier ook niet uit af te leiden, dit bericht geeft namelijk niet genoeg informatie om alles te zien wat je voor de actie moet doen. Het enige wat dan overblijft is de link naar de campagne, ze verwachten hier echter alle 4 deze opties. Zo gaan de overige vragen verder, te veel situational antwoorden waar mensen wel op afgekeurd worden.
Sowieso een beetje onduidelijk, ik vinkte alleen de url aan, staat er "Je hebt 3 van de 6
antwoorden juist" 8)7

Hoe moet ik dat interpreteren, tellen ze wat ik niet aangevinkt hebt dan als juist?

Verder ben ik het met je eens, dat de redenering, Delhaize zal je niet via whatsapp contacteren, met een hartje op het einde, nergens op slaat. Bericht is misschien niet van een bekende, maar in ieder geval word er ook niet gedaan alsof het van delhaize zelf komt.
Vind ik toch raar normmaal als je een Phising mail spot zou je al moeten "winnen", wat maakt het voor de rest uit als je niet alles identificeeert dat niet juist is
Had nog een paar vragen verder geklikt, is sowieso niet bepaald een kwalitatief hoogstaande 'test'...
Ben het voor een deel met je eens. Maar het gaat over e-mails, niet over Whatsapp berichten. En of die goed te vergelijken zijn? Nee, niet echt (Vind ik) :)
Nouja. Een supermarkt zal niet zomaar §250 aan tegoed weggeven als dit gelijkstaat aan enkele weken budget voor sommige gezinnen.

Wat ik het stomste vind is dat ze “WhatsApp:” rood arceren en vervolgens de optie “delhaize stuurt deze promo via whatsapp” wel goed vinden. Of toch niet? Ik weet het niet iig. Het rsultaat is dusdanig onduidelijk dat ik niet meer snap waar ik nou op moet letten. Zie:
https://tweakers.net/ext/f/tUDnnOEEiIz9nj9C5sVErftJ/full.jpg

Daarnaast mogen ze de boel nog wel eens onder de loep nemen. Bij een latere vraag is er de optie “de omschrijving: eenmalige actie”. Staat helemaal nergens in het bericht |:(
Ik stuur mijn phishing berichten al jaren naar cert@cert.be, zoals ze hier vroegen https://www.cert.be/nl/een-incident-melden.html

Soms kreeg ik er zelfs antwoord van met de melding dat ze bepaalde site eigenaren gecontacteerd hadden en de websites nu weggehaald waren.

Dus niet echt iets nieuws, behalve dat ccb nu echt bepaalde taken van cert.be aan het overnemen is, zoals al eerder gepland. https://www.cert.be/nl/do...overgedragen-aan-ccb.html
meestal neem ik zelf contact op met de eigenaar van de website, word vaak erg gewaardeerd
Zou mooi zijn moest dit als een API beschikbaar gesteld worden, laat hun via machine learning samenstellen wat goed / slecht is, zodat ik dit als filter kan instellen op mijn mail server.
Een op smtp gebaseerde api voor het indienen van phising-mail is zo slecht nog niet.
"De overheid deelt de gegevens met antivirus bedrijven": dat ze vanaf 1 centraal punt naar diverse partijen worden doorgestuurd is zeer mooi.
Als je de resultaten wilt gebruiken zou ik groot denken: gebruik 1 van de antivirus bedrijven, die hebben niet alleen de vis uit BelgiŽ (of de Benelux of zo) maar van veel meer partijen.
Als de Belgische overheid zelf ook diensten uit de resultaten gaat aanbieden dan komt daar vast ook een api voor richting mail-boxen of mail-programma's.
Dankzij SMTP hebben ze meteen de gehele E-mail. Zolang de mensen hun MUA natuurlijk juist gebruiken en dus de forward in de vorm van een MIME part toegevoegd wordt. Helaas zijn er veel MUAs die bij forward niet de volledige E-mail forwarden maar wel een soort van copy paste van de inhoud.

Dan zitten dus de headers er niet bij, en vaak de malware zelf ook niet meer.

Dit is toch eenvoudiger dan het webformulier dat ze eerst hadden. Daarvoor moesten mensen allerlei technische handelingen doen om het goed te rapporteren.
Zakelijk wordt veel (teveel) exchange en outlook gebruikt. Als ik daarmee van collega's een mailtje wil hebben om de smtp-header en body te onderzoeken, vraag ik altijd of ze het mailtje op hun desktop willen bewaren (bestand->opslaanAls, gebruik het geboden '.msg' formaat) en dan dat bestand toesturen.

Bij mijn privť gebruikte thunderbird weet ik dat er genoeg header en body informatie behouden blijft bij het doorsturen.
Dat opslaan op de desktop vind ik echter redelijk onveilig voor malware. Wat als ze vergeten het .msg document weer te verwijderen en uit nieuwsgierigheid dubbelclicken ze er een paar weken later eens op.

Dat dubbelclicken alleen al kan op Windows (helaas) dan al voldoende zijn om zichzelf te infecteren met de malware.

Ideaal is eerder: ze a) merken aan de subject lijn en sender al dat het maar fishy stuff is. En ze b) forwarden het meteen as-is zonder de E-mail zelfs maar te openen. Een plugin zou a) en b) veilig voor gewone sterfelijke gebruikers veilig en eenvoudig kunnen maken. Met voor de burgers die hun overheid vertrouwen een knopje: laat mijn allerliefste overheid voor mij nakijken of deze E-mail gekend staat als slecht of goed (en dan gaat de originele E-mail met headers en al over een geŽncrypteerd kanaal naar de allerliefste lieve overheid haar analyse software, en die geeft aan de plugin weer of de E-mail betrouwbaar is of niet). En dan voor b) een ander knopje: ik denk toch dat deze E-mail maar stinkt hoor. Waardoor het wederom over geŽncrypteerd kanaal naar de allerliefste tofste en betrouwbare overheid gaat.
In outlook kan je ook forward as attachment doen, blijven je headers ook bewaard.
Iets wat ik mij voorstel: er kan toch misbruik worden gemaakt van de situatie? Doen alsof je een sample opstuurt als 'normale gebruiker', maar eigenlijk is het een kwaadaardig bestand. Oftewel: degene die die kwaadaardige e-mails sturen, richten zich nu op het BCC naast de doodgewone burger.

Nu zal het BCC (natuurlijk) veel beter beschermd zijn tegen dit soort dingen dan de gewone burger, maar toch, je weet het maar nooit tegenwoordig.

[Reactie gewijzigd door AnonymousWP op 2 oktober 2017 14:01]

verwacht wel dat ze die mailtjes onderzoeken in een sandbox omgeving. zo dom zijn onze zuider buren nou ook weer niet.
Dat zal best, maar het is naÔef om zo te denken. Kijk maar naar bijvoorbeeld deze artikelen:Als je hier zoekt zul je vast nog wel wat meer gerelateerde artikelen vinden: https://tweakers.net/nieu...7VUSpITE8NzqxKVbIyNDCoBQA

Van deze bedrijven mag je er ook vanuit gaan dat ze zorgvuldig met je gegevens omgaan en dat zij vast niet deze fouten zullen maken, want ůf groot bedrijf, ůf security-afdeling.

[Reactie gewijzigd door AnonymousWP op 2 oktober 2017 14:13]

Dus ik mag nu een forward rule instellen op de spamfolder van mijn GMail box? :D

offtopic:
denk dat ze over een paar dagen de bomen door het bos niet zien als alles in 1 inbox terecht komt

[Reactie gewijzigd door Slavy op 2 oktober 2017 13:56]

Ze zoeken mensen in te lichten naar phisingmails. Mogelijks ben jij dus ook een van die mensen. Ik vermoed ook niet dat ze hem 1 per 1 open doen :) maar analyseren mbv tools/software
verwacht dat jij wel wat andere spam binnen krijgt ook behalve phisingmails. lol
Lijkt me niet de meest efficiŽnte manier om een database aan phishing mails op te bouwen. Er zullen veel false positives in voorkomen en als elke mail manueel door een BCC medewerker moet bekeken worden...
Heb jij een beter idee om een 'gold standard' op te zetten? Beetje een kip/ei probleem. Idealiter wil je dit automatisch aanmaken, maar voordat je dat kan doen heb je een betrouwbare (want anders: garbage in -> garbage out) test-set nodig. En een test-set maken met een hoge accuracy zonder mensen die de emails annoteren is lastig
Alleen Belgen, of mogen wij 'Ollanders ook inzenden?
denk dat ze zoveel mogenlijk samples willen dus gewoon sturen als je het herkent als phising.

wel van een anonym adres ofc anders verzamelen ze jou gegevens ook nog ;-)

[Reactie gewijzigd door TheAvenger op 2 oktober 2017 14:15]

Ze moeten dit soort van inbouwen in mail programma's dat je ipv 'junk' als 'phishing' kan reporten en dan dat naar de analyse gaat. Ik denk dat nu 80% van de mensen het te veel werk vind en ook vergeten waar ze dat ook alweer moeten doen.
Zou maar zo moeilijk moeten zijn als een plugin voor de MUA te maken. Zo'n plugin is bij Evolution alvast zeker mogelijk en niet moeilijk. Ik vermoed dat het bij Outlook ook kan.

Onze overheid zou er misschien zelfs goed aan doen om zulke plugins te voorzien en eventueel mee te geven (als informatiebrochure) bij uitgave van identiteitskaarten en dergelijke in het gemeentehuis en/of op de TV en op billboards langs de autosnelweg.
Hetgeen mij stoort is het mailadres waar je de info moet naar sturen.
een mengeling van nederlands en engels.
Houd het dan op phishing[at]safeonweb[dot]be
En laten we hopen dat alle oudjes perfect engels kunnen schrijven :+ .

edit: je kan het adres opslaan in je contacten om dit makkelijker te maken.
Hetgeen mij stoort is het mailadres waar je de info moet naar sturen.
een mengeling van nederlands en engels.
Het Nederlands is nu eenmaal de meest verengelste taal van Europa, dus wen er maar aan.
Tja, je moet in BelgiŽ altijd de 2 grote landstalen (Nederlands en Frans) tevreden houden. Daarom wordt er altijd een Engelstalige domeinnaam gekozen (safeonweb.be). De website die daaronder wordt gehost is dan tweetalig. Maar de e-mailcommunicatie achter die website moet dan weer afzonderlijk afgehandeld worden. Dat doet men dan weer door 2 e-mailadressen aan te maken: phishing@safeonweb.be (nl) en suspect@safeonweb.be (fr) . Eigenlijk nog wel logisch gezien.
Precies, en dat werkt al jaren naar volle tevredenheid. Zo is er ook mycareer.be, mypension.be en nog een hele rits overheidsdiensten die een Engelse naam hebben, maar verder twee-, drie- of zelfs viertalig zijn (NL, FR, EN, DE). Dat safeonweb was zoals je zelf al zegt de meest logische keuze.
leuk initiatief, geloof dat Eset ook een gelijk iets wou proberen maar dan op ransomware en malware niveau.
in feiten willen ze alle antivirus bedrijven samen laten werken.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*