Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties
Bron: The Register

Onderzoeksbureau TowerGroup zegt dat de schade die veroorzaakt wordt door phishingfraude tot nu toe rijkelijk overschat is, zo lezen we op The Register. Dit onderzoeksbureau verwacht dat de schade door phishingmails in 2004 wereldwijd zo'n 137 miljoen dollar zal bedragen, eerdere schattingen van andere bedrijven kwamen uit op een verlies van vijfhonderd miljoen alleen al in de Verenigde Staten. TowerGroup denkt dat de andere bedrijven het succes van phishing overschat hebben: in de praktijk blijkt dat maar een heel klein deel van de mensen die te maken krijgen met phishing ook daadwerkelijk in de truc trapt. TowerGroup bevestigt dat het aantal phishingscams stijgt, maar denkt dat andere onderzoeken het aantal phishinggevallen te laag rapporteren.

Fraude / Geld tellenVolgens het onderzoeksbureau zullen er in 2004 31.000 phishingaanvallen plaatsvinden, volgend jaar zal dit gestegen zijn tot 86.000 gevallen. De phishingfraude zal ook steeds geavanceerder worden: de kwaliteit van de valse e-mails zal stijgen, evenals de efficiŽntie. Ook wordt phishing meer en meer gecombineerd met malware, waardoor de zaken steeds gevaarlijker worden voor de consument. Volgens TowerGroup ligt het gevaar van phishing niet direct in het feit dat consumenten slachtoffer kunnen worden van de fraude, maar in het feit dat zij hun vertrouwen verliezen in het internet of zelfs in de bedrijven wiens naam misbruikt wordt in de scams.

Moderatie-faq Wijzig weergave

Reacties (32)

Dat de meeste mensen inderdaad achterdochtig zijn wat betreft hun visa kaartnummer doorgeven klopt. Ze zullen dit niet gauw doen door de vele verhalen die daarover de ronde doen.
Maar wat betreft hun bankrekening zijn ze denk ik toch veel onvoorzichtiger. Presenteer het inlogscherm zoals dat er altijd uitziet en de meeste mensen zullen gewoon hun login en paswoord geven. Ze bevinden zich in een zeer vertrouwde omgeving en hebben het volle vertrouwen in hun bank (die nog steeds uit volle borst schreeuwen dat hun systeem 100% veilig is).
De Rabobank geeft iig. op de frontpagina al gelijk info over hoe je kunt zien dat je niet op een pagina van de Rabobank bent. Maar zij zijn dus al een keer het slachtoffer van een phishing geweest, hoewel dat door een journalist werd gedaan. Maar ik moet zeggen dat de manier waarop de Rabobank er mee om gaat vrij goed is.

Nu alleen nog een iets zwaardere key voor de transacties...
Dat de meeste mensen inderdaad achterdochtig zijn wat betreft hun visa kaartnummer doorgeven klopt. Ze zullen dit niet gauw doen door de vele verhalen die daarover de ronde doen.
Hier zie je helaas 1 ding over het hoofd. Amerikanen zijn heel wat minder achterdochtig in het gebruik van de creditcard omdat het daar net zo'n gemeengoed is als de pinpas, tel daarbij op dat Amerikanen, zachtjes uitgedrukt, mee te goederentrouw denken en hopla... 290Miljoen potentiele slachtoffers die veel gemakkelijker voor dit soort trucs te vangen zijn dan de nuchtere en wat achterdochterigere europeanen.
Volgens mij weten veel mensen niet wat phishing is, ik in ieder geval niet :)

Op wikipedia is het te lezen :)
Phishing;
denk aan fishing, denk aan hengelen, denk aan girobetaalkaarten en bankcheques en hoe men die uit brievenbussen probeerde te hengelen. (Bent u niet zoals ik vanuit het stenen tijdperk? Dan raad ik u aan op de door ceidhof geplaatste link te klikken)
Ik denk dat een groot deel van de schade niet financieel maar psychologisch is. Als je sites die zo echt lijken dat een leek het verschil tussen die site en de echte niet meer ziet, en van het bestaan van phishing afweet, zullen mensen wantrouwiger tegenover internet worden, terwijl daar met goede methodes (SSL, public/secret key encryption, etc) toch een goede work-around voor is.
Of de schade nou overschat wordt of niet: het blijft een heel erg hoge schade die erdoor veroorzakt wordt.
Ik weet niet wat deze onderzoekers met dit bericht willen bereiken, maar het komt in eerste instantie een beetje op me over alsof phishing dus niet al te erg zou zijn.
Natuurlijk is het goed om de juiste cijfers boven tafel te krijgen, maar als daardoor mensen laks gaan worden wat betreft het erg vinden van dit soort oplichtingpraktijken op internet dan zou ik liever zien dat ze het laten om schade op deze wijze te bagetaliseren. Het kan geen kwaad als er door te hoog ingeschatte cijfers meer waakzaamheid is voor dit soort oplichting. Het voorkomen van dit soort praktijken doen we nl niet alleen om de directe of indirecte financiele schade te beperken.
phishing is het na doen van een site. je maakt kwa design en layout een andere bekende site aan en je zorgt dat mensen daar op komen door een domein die er op lijkt. bijvoorbeeld tweaker.net zo kun je mensen proberen e lokken om informatie zoals creditcard en zo in te laten vullen en daar misbruik van te maken. maar even naar het artikel. ik denk dat ze niet onderschatten. de meeste internet gebruikers weten hier niks van en vullen zo alles in. ze zijn zo gewent dat je overal moet registeren en zo dat ze geen controle uitvoeren. erg dom als je het mij vraagt. gellukig beginnen steeds meer browsers invul vakjes te kleuren als er iets aparts aan de hand is.
erg slim.
Het verbaasd mij ook zeer dat mensen voor phisings vallen, soms volg ik wel eens zo'n phising linkje en nog nooit heb ik SSL gezien op de websites waar de info wordt gevraagd. Het is voor mij een raadsel dat internet gebruikers daar niet simpelweg op letten en hun gevoelige info zo maar versturen over een niet-versleutelde verbinding.

Een hoop banken doen er in ieder geval aktief aan mee om hun klanten beter voor te lichten in het gemakkelijk herkennen van de phising technieken. Er zullen echter altijd mensen zijn die niet opletten, je zal er versteld van staan hoeveel mensen een bestand openen met de titel "pas_op_dit_is_een_virus.exe".

De gebruiker blijft nu eenmaal de zwakste schakel in elke beveiliging.
Er zijn ook zat computercursisten die ELK bestand proberen te openen in Word... Ze weten gewoon 't verschil niet tussen een OS/tekstverwerker/verkenner/... Zelfs na meerdere keren uitleggen. Waarom leert men dit soort zaken niet? Omdat men 't niet interesseert: ze willen gewoon mailen, typen, etc. En ze willen helemaal niet weten hůe een en ander werkt. Als zulke types 't doelwit worden van fishing, is er gerede kans dat 't mis gaat. En er zijn meer van zulke types dan je denkt (ik kom ze dagelijks tegen...)

\[niet-versleutelde verbinding]... 'Huh, er staat toch wel een virusscanner op deze PC?'
[SSL]... 'Dat is een type Mercedes, toch?'
[phishing]... 'Oh dat klinkt niet eng... Dat doe ik ook, hoor. In 't weekend'.
[linkje]... 'Wat is dat?'
\[pas_op_dit_is_een_virus.exe] 'Dat exe... Dat slaat op 'exit', toch? Dus daar moet ik wel op klikken, anders gaat 't virus niet exit...'.

Dus dat 'raadsel' zie ik niet zo.
gelukig beginnen steeds meer browsers invul vakjes te kleuren als er iets aparts aan de hand is
Wat is "iets aparts"in deze?
Wat is "iets aparts"in deze?
Mozilla Firefox maakt de adresbalk bijvoorbeeld geel als de verbinding beveiligd is en rechtsonder staat de naam van het certificaat van de website.
Oh mooi.
Dus zelfs als ik een geheel ander cert erin douw met dezelfde CN en de site nabouw en jij ziet een ssl-slotje dan vind jij het al goed?

Ach ja.. wie controleert er nou uberhaupt de CA en het certpath, niemand toch?

Jij geeft hier indirect mee aan wat een van de grote gevaren is van het versimpelen.
Dus zelfs als ik een geheel ander cert erin douw met dezelfde CN en de site nabouw en jij ziet een ssl-slotje dan vind jij het al goed?
Ik zie geen slotje voordat ik de waarschuwing over jouw foute certificaat heb weggeklikt.
Tamara, wat is phishing? Het is handig dat bij een artikel te zetten dat erover gaat, misschien een goede inleiding. :)

edit: bedankt ceidhof :)
Volgens TowerGroup ligt het gevaar van phishing niet direct in het feit dat consumenten slachtoffer kunnen worden van de fraude, maar in het feit dat zij hun vertrouwen verliezen in het internet of zelfs in de bedrijven wiens naam misbruikt wordt in de scams.
OK dat is niet direct in geld uit te drukken, maar me dunkt, dat dat wel heel erg zou zijn.
Stel je voor dat mensen liever niet meer e-bankieren; of de belasting dienst weer gaan bestoken met papieren t-biljetten ipv electronische aangiftes ...

zou toch wel beetje klok-terugdraaien zijn
Eindverantwoordelijkheid blijft bij de gebruiker liggen. Het is uiteraard te hopen dat de browser bakkers hun product zo veilig mogelijk maken... maar....

The moment somebody invents a fool proof application, somebody else will invent a better fool...
De meeste mensen kennen dit inderdaad niet. En vullen zomaar overal hun login en paswoord in. Zo kan je makkelijk hotmail namaken en zo aan het login en paswoord raken. Maar daar hebben de gebruikers geen verlies aan. (een mailbox bij hotmail is gratis)
Als men ergens creditkaartgegevens moet gaan ingeven zijn de mensen wel nog steeds zeeeer achterdochtig. En zullen dit enkel doen als ze zeer zeker zijn van de site.
En gelijk hebben ze natuurlijk :-)
En vullen zomaar overal hun login en paswoord in.
Inderdaad. Maar het gebruik van een user/pass combinatie voor authenticatie is ook eigenlijk niet de juiste (veiligste) manier.
Er moet een vorm van public key encryptie/signing gebruikt worden zodat de site het wachtwoord niet eens ziet.
Zo kan je makkelijk hotmail namaken en zo aan het login en paswoord raken. Maar daar hebben de gebruikers geen verlies aan. (een mailbox bij hotmail is gratis)
Financieel zal er inderdaad geen schade zijn, maar emotioneel des te meer. Hoewel dit door de meeste Tweakers als "not done" word beschouwd is het voor enorm veel mensen wel degelijk het geval: Hotmail als primaire of zelfs enige mailbox. Als deze dan ook nog gebruikt wordt voor vertrouwelijke mail (werk, vrienden, relatie, familie) kan ik mij voorstellen dat het als een flinke inbruik op de privacy word opgevat wanneer de email onder verkeerde ogen komt.

Nu zal een kwaadwillend persoon niet zo snel in staat zijn of de moeite doen om een phishing aanval op te zetten om in iemands emailbox te komen, maar het kan. En de kans van slagen is dan, bij leken, bijzonder groot. Denk bijvoorbeeld aan gedeelde computers met een getweakte windows hosts file. Niemand zal doorhebben dat ze niet met www.hotmail.com, maar met http://x.x.x.x/evil.php te maken hebben.
Zoiets wordt ook vaak gecombineerd met "shadow attacks". Deze attacks houden simpelweg in het slachtoffer voor de zot te houden door een applicatie te programmeren die zich voordoet als een echte applicatie maar eigelijk vals is en uw persoonlijke informatie doorstuurt. Denk maar aan die tooltjes die vroeger zogezegd "Msn Messenger Updates" waren, terwijl het eigelijk een login scherm toont na een tijdje waar je je info op ingeeft en deze daarna doorgestuurd wordt (via email bijvoorbeeld) maar de aanvaller... Je kan hier zelfs zo ver in gaan dat je een server hacked en Apache gaat "shadowen" om op die manier HTTP Authentication paswoorden te gaan stelen. De valse applicatie stuurt de informatie door en als hij z'n werk heeft gedaan simuleerd deze een crash, waardoor de echte Apache door de administrators gewoon opnieuw wordt gestart en niets vermoed wordt.
simuleerd deze een crash, waardoor de echte Apache door de administrators gewoon opnieuw wordt gestart en niets vermoed wordt.
Een crashende apache herstarten zonder te vermoeden dat er iets mis is? Kweenie hoor, maar in mijn beleving crashed Apache doorgaans niet...

...Crashende Apaches zijn voor een goede administrator JUIST reden om te vermoeden dat er iets niet klopt ;p

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True