Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Kans op toegang tot account door phishing is groter dan bij uitgelekte logins'

Onderzoekers van Google hebben samen met wetenschappers gekeken naar het uitlekken van login-gegevens door phishing, gehackte databases of keyloggers. Logins die via phishing zijn verkregen, leveren het grootste risico op voor gebruikers.

De auteurs schrijven aan de hand van een case study met Google-accounts dat 7 procent van de slachtoffers in een gehackte database hun Google-wachtwoord langs die weg prijsgeven. Dat percentage stijgt naar 12 procent bij keyloggers en naar 25 procent bij phishing. Daar komt bij dat de criminelen achter phishing en keyloggers in de meeste gevallen het ip-adres van de gebruiker registreren om gebruik van de gegevens te vergemakkelijken. Het onderzoek duurde een jaar en liep tot maart van dit jaar.

Om het onderzoek uit te voeren, maakten de auteurs van de recentelijk gepubliceerde paper gebruik van een dataset van 788.000 logins die zijn verkregen door keyloggers, 12,4 miljoen logins door phishing en 1,9 miljard logins afkomstig uit gehackte databases. Ze verkregen de dataset door een geautomatiseerde tool te bouwen die open en gesloten forums in de gaten hield, naast zogenaamde paste sites en zoekopdrachten.

Methode voor het verzamelen van uitgelekte logindatabases

De logins voor phishing werden in kaart gebracht door een dataset van een anonieme bron te gebruiken met ongeveer 10.000 phishing kits en en 3,8 miljoen slachtoffers van deze kits. Die php- en html-kits gebruiken een bepaald e-mailadres om buitgemaakte logins naartoe te sturen. Door deze te analyseren en dit soort e-mails automatisch te flaggen, konden de onderzoekers tot de in totaal 12,4 miljoen berichten komen die buitgemaakte gegevens bevatten.

Methode voor het verzamelen van gegevens over phishing kits en keyloggers

Uit het onderzoek blijkt verder dat de phishing kits met de meeste slachtoffers zich voordoen als loginportalen van Yahoo, Hotmail of Gmail. Daarop volgen kits die zich richten op een werkgerelateerde login-omgeving. Daaronder staan weer opslagdiensten als Dropbox en Google Drive. Een andere bevinding was dat de zogenaamde exfiltration points, oftewel de e-mailadressen waar de gestolen gegevens naartoe werden gestuurd, in het geval van phishing kits en keyloggers het vaakst voor het laatst vanuit Nigeria waren benaderd. De VS scoort ook hoog in beide categorieën.

Slachtoffers in verschillende categorieën

Door

Nieuwsredacteur

35 Linkedin Google+

Reacties (35)

Wijzig sortering
We moeten gewoon van eenvoudige login/wachtwoord inloggen af.
Minimaal 2FA en anders geen toegang. Technisch gezien kan het dus waarom het niet gewoon toepassen en afdwingen.
Daarnaast ook het email protocol eindelijk eens aanpassen zodat dit geen clear text meer bevat maar end tot end encrypted is.
We moeten gewoon van eenvoudige login/wachtwoord inloggen af.
Minimaal 2FA en anders geen toegang. Technisch gezien kan het dus waarom het niet gewoon toepassen en afdwingen.
Daarnaast ook het email protocol eindelijk eens aanpassen zodat dit geen clear text meer bevat maar end tot end encrypted is.
Hoe wil je dat voor elkaar krijgen? Al zeg je het honderden keren, mensen kunnen alleen een makkelijke wachtwoord onthouden. Een passphrase met 6 tot 10 woorden, symbolen en cijfers gaat bijna niemand onthouden. Dus dan worden er wachtwoorden aangemaakt als JanSmit1969. Laten we maar eerst Computer 101 geven aan mensen die het het niet snappen. Vooral phising via mails is nog steeds aanwezig en het gaat pas stoppen als mensen niet geloven dat zij hun pinpas moeten sturen naar adres X omdat hun pasje geblokkeerd is.

TFA kan je wel afdingen, maar als het wel goed geïmplementeerd wordt en niet zoals het soms bij DigiD het is. En wat mail betreft, daar heb je ProtonMail er voor. Ik gebruik het zelf niet, maar ik denk dat er wel andere mede Tweakers er zijn die het wel gebruiken. Technisch is het wel mogelijk, maar je bent wel meer uren en geld kwijt, om je gegevens goed te beveiligen. Sommige bedrijven outsourcen hun IT, omdat ze er zelf zo min mogelijk te maken willen hebben. Maar goed, biometrische form van identificatie lijkt mij beter, maar niet iedereen heeft een vingerafdruklezer in zijn laptop/computer/smartphone zitten en irisscanners zijn nog iets wat alleen op luxe producten staat.
Je moet ook geen tientallen verschillende wachtwoorden willen onthouden.
Natuurlijk ook niet één wachtwoord gebruiken voor alle sites "omdat het zo makkelijk te onthouden is".
Wachtwoord managers kunnen dit prima voor je regelen.
Daar wordt ook vaak genoeg op gehamerd maar dit dringt maar langzaam door.
Als 2FA een veelgebruikte standaard zou worden zou 1 wachtwoord (hoeft niet eens sterk te zijn) eigenlijk overal wel voldoende zijn. Dan moet je wel én een wachtwoord kraken (of uit een leak halen) én iemand opbellen o.i.d. om zijn 2FA code te ontfutselen. Natuurlijk zou je prima in de 2FA sms of app kunnen aangeven dat je deze code NOOIT moet verspreiden...

Als men mij de keuze zou geven, of een wachtwoord kiezen met 1 hoofdleter, 1 kleine letter, 3 cijfers, speciaal teken enz.enz... of willekeurig wachtwoord met 2FA, zou ik voor het laatste kiezen, en ik denk meer mensen met mij..

[Reactie gewijzigd door geerttttt op 11 november 2017 13:58]

Klopt.
Het is daarom zo vreemd dat dit nog niet massaal afgedwongen wordt. Bij een webshop kun je dit wellicht nog niet afdwingen maar bij veel andere sites wel.
Technisch gezien kan het dus waarom zou je het niet doen?
Iedereen een eigen ip dna adres, dan is ww niet nodig, en je kan je ook niet meer voordoen als een ander, want je zit al in het systeem, bij geboorteakte meenemen net als je bsn.

Maar vinden we griezelig.
En wat houdt iemand tegen om een valse DNA identiteit te gebruiken? Een apparaat welke dat uitleest aanpassen zal niet onmogelijk zijn en zodra dat gebeurt ga je een nieuwe dimensie geven aan identiteitsfraude...
Je kan jezelf toch niet onherkenbaar maken en als een ander voordoen?, waar ben je dan ineens, offline van de grid?
Je kan nu een MAC adres spoofen, een IP kan je altijd al instellen...
Wat houdt mij bijvoorbeeld tegen om jouw DNA identiteit te gebruiken, dat zal een soort hash van je DNA zijn welke gewoon gekopieerd kan worden, ik gooi een virus op jouw pc die het onderschept en zodra ik uitvogel hoe ik die code spoof ligt je hele systeem (en alle landen die eraan mee zouden doen) volledig op hun kop omdat iedereen elke identiteit kan aannemen...
Nee dat kan dus niet, je snapt het niet wat ik bedoel.
Je (iedereen op de wereld die op het internet wil) bent onderdeel van de hele keten, 1 bitcoin kan ook niet 2 keer bestaan toch?

[Reactie gewijzigd door Mel33 op 11 november 2017 00:44]

Hoezo, je hoeft toch niet altijd online?
Precies, dus als je niet altijd online bent kan een ander met dezelfde identiteit wel online komen...
Wat je uitlegt is wat we al lang hebben met client certificaten (een user krijgt een uniek certificaat ipv wachtwoord (of beiden) welke zijn/haar identiteit bevestigd, of dat certificaat nou wordt gemaakt door een systeembeheerder of jouw DNA maakt voor de functionaliteit niks uit.
In beide gevallen: krijgt een kwaadwillende het certificaat in handen dan kan die zich voordoen als een ander...
De server waar je dan mee verbindt kan niets anders doen dan 'zeker weten' dat jij het bent, het certificaat/DNA zegt dat jij het bent...
Een bitcoin is iets heel anders, het bevestigd geen identiteit op wat voor manier dan ook, daar kan je niet valse transacties doen omdat een transactie door het netwerk bevestigd moet worden, maar ook daar geldt dat zodra iemand jouw wallet code heeft ze ermee aan de haal kunnen...

Een wachtwoord is te vernieuwen mocht het uitlekken, DNA niet... Zodra jouw DNA code zou uitlekken is er geen oplossing meer, dan is het letterlijk 'game over' en kan je onder een brug gaan slapen aangezien criminelen onder jouw identiteit alles van jou hebben gestolen :/

Daarbij is het dan gedaan met privacy omdat je altijd persoonlijk te volgen bent als het werkt zoals jij zegt ;)
Alles wat jouw computer doet onder jouw identiteit = jouw acties, elke website, elke klik en elke interesse die je uit...

DNA identiteit is iig een oplossing voor een probleem wat er niet is. Het probleem is beveiliging, iedere keer bloed prikken als je op een website wil inloggen gaat niet werken en zelfs dan kan een hacker er tussen gaan zitten dus...

[Reactie gewijzigd door RGAT op 11 november 2017 01:06]

Precies, we kunnen nu al mensen bij geboorte een certificaat uitdelen die persoonsgebonden is, hoe voegt DNA daar iets aan toe?
1: Je kan het niet veranderen: dit is een negatief punt, zodra er iets uitlekt is je leven gewoon voorbij...
2: Het is gegarandeerd diegene: nee, het is gegarandeerd de identiteit van een persoon, die mogelijk door een ander misbruikt wordt (identiteitsfraude), omdat DNA niet te wijzigen is valt hier ook niks tegen te doen, hooguit kan de Politie oid afspreken de specifieke DNA code te blokeren waardoor zowel dader als slachtoffer er niks meer mee kunnen, ook geen oplossing dus...
3: DNA beschermd nog steeds niet tegen hijack, ook je bitcoins kunnen worden gestolen, iemand krijgt de prive sleutel en alles houdt op. Kijk naar punt 1 aangezien je met een certificaat/wachtwoord/id kaart een nieuwe kan krijgen en de oude kan deactiveren, met DNA dus niet.

Verder doet een identiteit zelf niks, er zou dus een wereldwijde (derde wereld doet niet mee want geen geld dus derde wereld bestaat niet :/) database moeten komen die nooit gehackt moet worden (right...) waar elke website, overheid en bedrijf jouw DNA code kan controlleren... Dat is totaal niet gevoelig voor hackers of bedrijven/overheden die nog veel grotere databases willen van jouw activiteiten...
DNA zit op een glas waar je uit gedronken uit, een sigarettenpeuk, een uitgevallen haar.
Ik weet niet @mell33 hoe je dat praktisch ziet, maar lijkt mij onwerkbaar.
Wanneer je dna adres kan worden gelezen (want je wil het zenden naar dat adres) kan het vervalst worden. Het signen met DNA klinkt aardig, maar hoe wil je het geheim houden? (en volgens mij is het best een lange key, dus kan best wat tijd kosten)

Verder ja idd, die unieke cookie standaard meegeven? Oops ik bedenk mij opeens dat we bij elke winkel ook onze vingerafdruk achterlaten :P. Maar ja ergens is er een optimum gok ik.
Niet alle phising is zo overduidelijk. Tijdens een stage ben ik in een phising email getrapt die gesimuleerd was door dat bedrijf. De des betreffende email deed zich voor als een printer in het gebouw met de boodschap dat er een document van mij in de wachtrij stond. Ik dacht dat ik nooit in dat soort mails zou trappen maar klikte toch op de link. Wie weet wat voor malafide code er had kunnen runnen als dit niet een gesimuleerde email van het bedrijf was. Heeft me toch even wakker geschud
End-to-end encryption voor email bestaat al een hele tijd onder de naam PGP. Echter is de adoptie van PGP het probleem. Mijn inschatting is dat voor bedrijven als Google, Microsoft en andere populaire mailhosters, het gewoonweg geen interessante business case om PGP te faciliteren in hun webclient.

Ten aanzien van MFA ben ik het met je eens, maar heb ik ook wel zo mijn bedenkingen of dit verplicht zou moeten zijn voor consumenten. Voor organisaties zou ik het echter wel sterk aanraden :).
Terwijl PGP in bijvoorbeeld Gmail met behulp van mailvelope met een paar muisklikken geregeld is. Werkt zo simpel dat ik zelfs met mijn minder technische collega's veilig kan mailen.
GSMA MobileConnect zou een stap in de goede richting zijn. Veilig, laagdrempelig en relatief makkelijk in te voeren.
Is natuurlijk afhankelijk van wat voor site, tfa voor alles moet ik niet aan denken, heb nu al vaak een schurft hekel aan als ik weer eens moet inloggen bij steam of google dat ik daar mn smartphone voor nodig heb die ik meestal dan ergens anders heb liggen. (Maar dat zijn dus belangrijke accounts, dus heb ik het wel aan staan, zou dom zijn om dat niet te doen)

[Reactie gewijzigd door SuperDre op 11 november 2017 11:39]

Dus de kans is hoger als je waarschijnlijk niet zo doordacht bent als een doorgewinterde it goeroe.
Waar haal je dat vandaan? "Doorgewinterde it goeroe's" gewoon mensen en ook vatbaar voor phishing.
Kijk voor de gein eens naar de talk van Karla Burnett, werkt voor Stripe, een IT bedrijf, en ze doet regelmatig interne phishing test, waar zelfs directe collega's die weten dat ze ergens mee bezig is in trappen.
Als doorgewinterde it goeroe niet, maar als leek je waarschijnlijk meer risico lopen als je elk mailtje van je (bijvoorbeeld) bank of anderzijds (krijg ze zelf heel veel van "Blizzard") gaat geloven. Dan gaan de poppetjes dansen . . .
Statistisch zal dit wel kloppen, maar de kans op phishing is natuurlijk per persoon zeer verschillend. Een gehackte database kan een slachtoffer weinig aan doen, behalve verschillende passwords per site gebruiken en dergelijke. Een phishing attack zal bij sommige gebruikers een reële kans van slagen hebben maar bij anderen weer helemaal niet.

De waarde van deze gegevens is dus twijfelachtig, imo.
Dat ligt er dus heel erg aan. Ik kreeg er laatst een van het werk als test. Best wel mooie reacties om te zien. Ook dat mensen gingen rechtvaardigen waarom het echt leek. Alsof ze zich betrapt voelden. Leuk om echter te zien hoe een phishing campagne te werk gaat. Best wel geavanceerd spul namelijk en ik geloof die 25% dan ook wel.

Een database hack wordt tegen beveiligd, maar phishing kan je als dienstverlener niet heel veel aan doen anders dan periodiek de gebruikelijke waarschuwing geven.
Het is toch wel nuttig te weten dan het via methode phishing gaat en niet via hack of andere manieren. We weten dus dat het overgrote deel te stoppen is, en bij de gebruiker ligt, en niet (deels)in de systemen zelf.
Man ze viss-(phishing)-en zelfs een login itunes popup in je iphone er tussen.
vissen naar de gegevens is heel breed. maar het gedrag en gebruik van onszelf moet zo worden dat ze kunnen vissen tot ze een ons wegen.
Dus je paswoord alleen in een omgeving in vullen die jij zelf open zet, je virusscanner heeft ook al een save banking sandbox.

edit;/
ha flauw, topic aangepast, nu ben ik off topic.

[Reactie gewijzigd door Mel33 op 10 november 2017 23:08]

Economisch gezien gaat dat ook van advertentieinkomsten af. Sms-liefdadigheid bij telco API's verplichten?
Het toepassen zou ik louter voor accountherstelopties afdwingen. Dan kost herstel geen helpdesk-ingrepen.
Het grootste single point of failure zit nog steeds tussen het keyboard en de stoel in....
gebruik daarom voor belangrijke accounts altijd 2factor (waar kan), en NOOIT hetzelfde wachtwoord.
'Kans op toegang tot account door phishing is groter dan bij uitgelekte logins'

En dan statistieken gebruiken zonder één groot bedrijf in dat lijstje te zetten waarvan alle wachtwoorden een keer gelekt zijn. Zo kan ik ook wel een uitkomst fabrieken :+

Trouwens.. zijn er nooit grote lekken geweest daar? >> Twee seconden geg00g0ld: 6,5 miljoen passwords gelekt door LinkedIn, en jawel yahoo -uit het lijstje- heeft ook 450.000 passwords gelekt. :? ;(

[Yahoo's password leak: What you need to know (FAQ)] Goed dat was 2012, maar als dat toen al gebeurde.. :Y)
Verbaas ik mij helemaal niet over. Bij mijn werkgever moeten we jaarlijks een cyber security e-course doen, die is veel te gemakkelijk maar blijkbaar is het op dat niveau hard nodig. Dan spreek ik over een groot internationaal IT bedrijf, waar ik eigenlijk die basis kennis wel had verwacht bij iedereen. Vragen zoals je krijgt van je baas een mailtje of je even het gehele adres boek wil doorsturen via de mail want die heeft hij/zij nodig. Of van die mailtjes klik hier om je wachtwoord te controleren. Logins verkregen via phishing zijn trouwens ook lekker actueel, uitgelekte logins kunnen doorgaans nogal oud zijn.
ik ga nooit inloggen via een link die ik krijg via een sms/email/...
Ik ga altijd de 'hoofdlink' zelf intypen.
En als het niet 'dringend' is, ga ik het gewoon negeren.
Hmm, dit is wel iets waar password managers nog een voordeel bieden: als je password manager niet komt met de juiste inlog (en je die dus handmatig op moet zoeken in de lijst) is het dat een extra moment waarbij even stilstaat of het wel klopt.

Nu nog bedrijven opvoeden dat ze hun domeinen goed gelijk houden.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*