Belgisch Centrum voor Cybersecurity vraagt om phishingmails voor analyse

Het Belgische Centrum voor Cybersecurity roept mensen op om e-mails waarvan ze denken dat het om phishing gaat op te sturen. Het wil de mails vervolgens analyseren en daarmee een waarschuwingssysteem opzetten.

Volgens CCB-directeur Miguel de Bruycker worden de ingestuurde berichten door zijn organisatie met behulp van software geanalyseerd. Op die manier wil het centrum bijvoorbeeld kwaadaardige links en bijlagen detecteren. Welk systeem het centrum daarvoor gebruikt, komt niet naar voren. Kwaadaardige links komen vervolgens op een zwarte lijst, zodat grote browsers gebruikers daarvoor kunnen waarschuwen. Of hiervoor het door Google in 2007 geïntroduceerde Safe Browsing wordt gebruikt, is onduidelijk. Ook deelt de overheidsinstantie de gegevens met antivirusbedrijven.

Het CCB organiseert de campagne samen met de Cyber Security Coalition vanwege een Europese beveiligingsmaand. Het doel is om internetgebruikers te informeren over phishing, waarmee criminelen vaak uit zijn op inlog- en betaalgegevens door het versturen van e-mails die doorgaans het uiterlijk hebben van bedrijfsmails. Ontvanger van dat soort mails kunnen ze opsturen naar verdacht@safeonweb.be en ze vervolgens verwijderen, zo luidt de oproep. Verder heeft het CCB een 'phishingtest' in het leven geroepen.

IT-banen

Reacties (38)

Tweekzor 2 oktober 2017 14:51

Er heeft het CCB een 'phishingtest' in het leven geroepen.

Deze "test" gaat in mijn ogen volledig zijn doel voorbij. Bijvoorbeeld de eerste vraag al: "Wat is er verdacht aan dit WhatsApp-bericht?". Dan geven ze 6 opties om als verdacht te markeren:

Het tijdstip van het bericht.
De link naar de website (http://delhaize-be.site).
Een promocampagne voor de verjaardag van Delhaize.
Delhaize stuurt deze promo via WhatsApp.
Er staat een hartje aan het einde van het bericht.
De promo is te mooi om waar te zijn.

Zoals het bericht geschreven is ontvang je een bericht van een bekende over een actie van Delhaize (supermarkt). Dit bericht eindigt namelijk met "ik heb de mijne ook al geclaimd". Het hartje aan het eind van het bericht is dan geen verdacht punt. Net als "Delhaize stuurt deze promo via WhatsApp" aangezien een bekende dit verstuurt. "De promo is te mooi om waar te zijn" is hier ook niet uit af te leiden, dit bericht geeft namelijk niet genoeg informatie om alles te zien wat je voor de actie moet doen. Het enige wat dan overblijft is de link naar de campagne, ze verwachten hier echter alle 4 deze opties. Zo gaan de overige vragen verder, te veel situational antwoorden waar mensen wel op afgekeurd worden.

crizyz @Tweekzor • 2 oktober 2017 15:49

Sowieso een beetje onduidelijk, ik vinkte alleen de url aan, staat er "Je hebt 3 van de 6
antwoorden juist"

Hoe moet ik dat interpreteren, tellen ze wat ik niet aangevinkt hebt dan als juist?

Verder ben ik het met je eens, dat de redenering, Delhaize zal je niet via whatsapp contacteren, met een hartje op het einde, nergens op slaat. Bericht is misschien niet van een bekende, maar in ieder geval word er ook niet gedaan alsof het van delhaize zelf komt.

MathieuF @crizyz • 3 oktober 2017 08:32

Vind ik toch raar normmaal als je een Phising mail spot zou je al moeten "winnen", wat maakt het voor de rest uit als je niet alles identificeeert dat niet juist is

crizyz @MathieuF • 3 oktober 2017 11:35

Had nog een paar vragen verder geklikt, is sowieso niet bepaald een kwalitatief hoogstaande 'test'...

iCore @Tweekzor • 2 oktober 2017 16:13

Ben het voor een deel met je eens. Maar het gaat over e-mails, niet over Whatsapp berichten. En of die goed te vergelijken zijn? Nee, niet echt (Vind ik)

supersnathan94 @Tweekzor • 2 oktober 2017 17:19

Nouja. Een supermarkt zal niet zomaar €250 aan tegoed weggeven als dit gelijkstaat aan enkele weken budget voor sommige gezinnen.

Wat ik het stomste vind is dat ze “WhatsApp:” rood arceren en vervolgens de optie “delhaize stuurt deze promo via whatsapp” wel goed vinden. Of toch niet? Ik weet het niet iig. Het rsultaat is dusdanig onduidelijk dat ik niet meer snap waar ik nou op moet letten. Zie:
https://tweakers.net/ext/f/tUDnnOEEiIz9nj9C5sVErftJ/full.jpg

Daarnaast mogen ze de boel nog wel eens onder de loep nemen. Bij een latere vraag is er de optie “de omschrijving: eenmalige actie”. Staat helemaal nergens in het bericht

Keneo 2 oktober 2017 16:46

Ik stuur mijn phishing berichten al jaren naar cert@cert.be, zoals ze hier vroegen https://www.cert.be/nl/een-incident-melden.html

Soms kreeg ik er zelfs antwoord van met de melding dat ze bepaalde site eigenaren gecontacteerd hadden en de websites nu weggehaald waren.

Dus niet echt iets nieuws, behalve dat ccb nu echt bepaalde taken van cert.be aan het overnemen is, zoals al eerder gepland. https://www.cert.be/nl/do...overgedragen-aan-ccb.html

t link @Keneo • 2 oktober 2017 21:21

meestal neem ik zelf contact op met de eigenaar van de website, word vaak erg gewaardeerd

venqwish 2 oktober 2017 13:57

Zou mooi zijn moest dit als een API beschikbaar gesteld worden, laat hun via machine learning samenstellen wat goed / slecht is, zodat ik dit als filter kan instellen op mijn mail server.

beerse @venqwish • 2 oktober 2017 14:14

Een op smtp gebaseerde api voor het indienen van phising-mail is zo slecht nog niet.
"De overheid deelt de gegevens met antivirus bedrijven": dat ze vanaf 1 centraal punt naar diverse partijen worden doorgestuurd is zeer mooi.
Als je de resultaten wilt gebruiken zou ik groot denken: gebruik 1 van de antivirus bedrijven, die hebben niet alleen de vis uit België (of de Benelux of zo) maar van veel meer partijen.
Als de Belgische overheid zelf ook diensten uit de resultaten gaat aanbieden dan komt daar vast ook een api voor richting mail-boxen of mail-programma's.

Verwijderd @beerse • 2 oktober 2017 14:39

Dankzij SMTP hebben ze meteen de gehele E-mail. Zolang de mensen hun MUA natuurlijk juist gebruiken en dus de forward in de vorm van een MIME part toegevoegd wordt. Helaas zijn er veel MUAs die bij forward niet de volledige E-mail forwarden maar wel een soort van copy paste van de inhoud.

Dan zitten dus de headers er niet bij, en vaak de malware zelf ook niet meer.

Dit is toch eenvoudiger dan het webformulier dat ze eerst hadden. Daarvoor moesten mensen allerlei technische handelingen doen om het goed te rapporteren.

beerse @Verwijderd • 2 oktober 2017 15:41

Zakelijk wordt veel (teveel) exchange en outlook gebruikt. Als ik daarmee van collega's een mailtje wil hebben om de smtp-header en body te onderzoeken, vraag ik altijd of ze het mailtje op hun desktop willen bewaren (bestand->opslaanAls, gebruik het geboden '.msg' formaat) en dan dat bestand toesturen.

Bij mijn privé gebruikte thunderbird weet ik dat er genoeg header en body informatie behouden blijft bij het doorsturen.

Verwijderd @beerse • 2 oktober 2017 17:01

Dat opslaan op de desktop vind ik echter redelijk onveilig voor malware. Wat als ze vergeten het .msg document weer te verwijderen en uit nieuwsgierigheid dubbelclicken ze er een paar weken later eens op.

Dat dubbelclicken alleen al kan op Windows (helaas) dan al voldoende zijn om zichzelf te infecteren met de malware.

Ideaal is eerder: ze a) merken aan de subject lijn en sender al dat het maar fishy stuff is. En ze b) forwarden het meteen as-is zonder de E-mail zelfs maar te openen. Een plugin zou a) en b) veilig voor gewone sterfelijke gebruikers veilig en eenvoudig kunnen maken. Met voor de burgers die hun overheid vertrouwen een knopje: laat mijn allerliefste overheid voor mij nakijken of deze E-mail gekend staat als slecht of goed (en dan gaat de originele E-mail met headers en al over een geëncrypteerd kanaal naar de allerliefste lieve overheid haar analyse software, en die geeft aan de plugin weer of de E-mail betrouwbaar is of niet). En dan voor b) een ander knopje: ik denk toch dat deze E-mail maar stinkt hoor. Waardoor het wederom over geëncrypteerd kanaal naar de allerliefste tofste en betrouwbare overheid gaat.

slopert @beerse • 3 oktober 2017 10:58

In outlook kan je ook forward as attachment doen, blijven je headers ook bewaard.

Anonymoussaurus

Security

2 oktober 2017 13:59

Iets wat ik mij voorstel: er kan toch misbruik worden gemaakt van de situatie? Doen alsof je een sample opstuurt als 'normale gebruiker', maar eigenlijk is het een kwaadaardig bestand. Oftewel: degene die die kwaadaardige e-mails sturen, richten zich nu op het BCC naast de doodgewone burger.

Nu zal het BCC (natuurlijk) veel beter beschermd zijn tegen dit soort dingen dan de gewone burger, maar toch, je weet het maar nooit tegenwoordig.

[Reactie gewijzigd door Anonymoussaurus op 26 juli 2024 22:55]

TheAvenger @Anonymoussaurus • 2 oktober 2017 14:02

verwacht wel dat ze die mailtjes onderzoeken in een sandbox omgeving. zo dom zijn onze zuider buren nou ook weer niet.

Anonymoussaurus

Security

@TheAvenger • 2 oktober 2017 14:12

Dat zal best, maar het is naïef om zo te denken. Kijk maar naar bijvoorbeeld deze artikelen:

Als je hier zoekt zul je vast nog wel wat meer gerelateerde artikelen vinden: https://tweakers.net/nieu...7VUSpITE8NzqxKVbIyNDCoBQA

Van deze bedrijven mag je er ook vanuit gaan dat ze zorgvuldig met je gegevens omgaan en dat zij vast niet deze fouten zullen maken, want óf groot bedrijf, óf security-afdeling.

[Reactie gewijzigd door Anonymoussaurus op 26 juli 2024 22:55]

Slavy 2 oktober 2017 13:55

Dus ik mag nu een forward rule instellen op de spamfolder van mijn GMail box?

offtopic:
denk dat ze over een paar dagen de bomen door het bos niet zien als alles in 1 inbox terecht komt

[Reactie gewijzigd door Slavy op 26 juli 2024 22:55]

svennd @Slavy • 2 oktober 2017 14:36

Ze zoeken mensen in te lichten naar phisingmails. Mogelijks ben jij dus ook een van die mensen. Ik vermoed ook niet dat ze hem 1 per 1 open doen

maar analyseren mbv tools/software

TheAvenger @Slavy • 2 oktober 2017 13:59

verwacht dat jij wel wat andere spam binnen krijgt ook behalve phisingmails. lol

Chuk 2 oktober 2017 13:59

Lijkt me niet de meest efficiënte manier om een database aan phishing mails op te bouwen. Er zullen veel false positives in voorkomen en als elke mail manueel door een BCC medewerker moet bekeken worden...

lrietveld @Chuk • 2 oktober 2017 14:13

Heb jij een beter idee om een 'gold standard' op te zetten? Beetje een kip/ei probleem. Idealiter wil je dit automatisch aanmaken, maar voordat je dat kan doen heb je een betrouwbare (want anders: garbage in -> garbage out) test-set nodig. En een test-set maken met een hoge accuracy zonder mensen die de emails annoteren is lastig

jpsch 2 oktober 2017 14:09

Alleen Belgen, of mogen wij 'Ollanders ook inzenden?

TheAvenger @jpsch • 2 oktober 2017 14:14

denk dat ze zoveel mogenlijk samples willen dus gewoon sturen als je het herkent als phising.

wel van een anonym adres ofc anders verzamelen ze jou gegevens ook nog ;-)

[Reactie gewijzigd door TheAvenger op 26 juli 2024 22:55]

pray2win 2 oktober 2017 14:17

Ze moeten dit soort van inbouwen in mail programma's dat je ipv 'junk' als 'phishing' kan reporten en dan dat naar de analyse gaat. Ik denk dat nu 80% van de mensen het te veel werk vind en ook vergeten waar ze dat ook alweer moeten doen.

Verwijderd @pray2win • 2 oktober 2017 14:59

Zou maar zo moeilijk moeten zijn als een plugin voor de MUA te maken. Zo'n plugin is bij Evolution alvast zeker mogelijk en niet moeilijk. Ik vermoed dat het bij Outlook ook kan.

Onze overheid zou er misschien zelfs goed aan doen om zulke plugins te voorzien en eventueel mee te geven (als informatiebrochure) bij uitgave van identiteitskaarten en dergelijke in het gemeentehuis en/of op de TV en op billboards langs de autosnelweg.

nagasy 2 oktober 2017 15:16

Hetgeen mij stoort is het mailadres waar je de info moet naar sturen.
een mengeling van nederlands en engels.
Houd het dan op phishing[at]safeonweb[dot]be
En laten we hopen dat alle oudjes perfect engels kunnen schrijven

.

edit: je kan het adres opslaan in je contacten om dit makkelijker te maken.

Mr777 @nagasy • 2 oktober 2017 15:41

Hetgeen mij stoort is het mailadres waar je de info moet naar sturen.
een mengeling van nederlands en engels.

Het Nederlands is nu eenmaal de meest verengelste taal van Europa, dus wen er maar aan.

biglia @nagasy • 2 oktober 2017 16:06

Tja, je moet in België altijd de 2 grote landstalen (Nederlands en Frans) tevreden houden. Daarom wordt er altijd een Engelstalige domeinnaam gekozen (safeonweb.be). De website die daaronder wordt gehost is dan tweetalig. Maar de e-mailcommunicatie achter die website moet dan weer afzonderlijk afgehandeld worden. Dat doet men dan weer door 2 e-mailadressen aan te maken: phishing@safeonweb.be (nl) en suspect@safeonweb.be (fr) . Eigenlijk nog wel logisch gezien.

Mr777 @biglia • 2 oktober 2017 21:15

Precies, en dat werkt al jaren naar volle tevredenheid. Zo is er ook mycareer.be, mypension.be en nog een hele rits overheidsdiensten die een Engelse naam hebben, maar verder twee-, drie- of zelfs viertalig zijn (NL, FR, EN, DE). Dat safeonweb was zoals je zelf al zegt de meest logische keuze.

TheAvenger 2 oktober 2017 13:57

leuk initiatief, geloof dat Eset ook een gelijk iets wou proberen maar dan op ransomware en malware niveau.
in feiten willen ze alle antivirus bedrijven samen laten werken.

Op dit item kan niet meer gereageerd worden.

Belgisch Centrum voor Cybersecurity vraagt om phishingmails voor analyse

Lees meer

IT-banen

Reacties (38)

Sorteer op:

Weergave: