'Medewerkers energiebedrijven trappen in phishing'

Uit een experiment met drie energiebedrijven blijkt dat een kwart van de medewerkers trapt in gerichte phishing-aanvallen. Volgens de onderzoekers wordt phishing in een groot deel van de aanvallen op bedrijven gebruikt als middel om toegang te krijgen.

De onderzoekers, Tyler Klinger en Scott Greaux, wisten drie energiebedrijven zover te krijgen om mee te werken aan het experiment, schrijft Dark Reading. Klinger en Greaux vergaarden op het internet genoeg informatie over de energiebedrijven om een geloofwaardige aanval op te zetten. Vervolgens stuurden ze medewerkers e-mails met een link. Maar liefst 26 procent van de medewerkers klikte op die link.

Onder de medewerkers die in de 'aanval' trapten, waren technici, hoge functionarissen en medewerkers die in de control room van een energiebedrijf werkten. Eén technicus klikte zelfs vier keer op de link, zich afvragend waarom deze niet werkte. De 'aanvallers' deden de e-mails voorkomen als mails van een hogere collega of van een fabrikant waarvan de energiebedrijven apparaten gebruikten. De contactinformatie van de 'slachtoffers' werd gevonden via sites als LinkedIn, vacatures en bedrijfswebsites.

In dit geval ging het om een onschuldige link, maar bij een aanval in de echte wereld zouden aanvallers malware kunnen verspreiden via de link. Daarmee zou vervolgens toegang tot industriële systemen kunnen worden gezocht, of, als dat niet mogelijk is, genoeg informatie worden verzameld voor een volgende aanval op hetzelfde bedrijf. De aanvallers tekenen aan dat veel aanvallen in de echte wereld leunen op phishing, een stelling die wordt ondersteund door Trend Micro; volgens dat beveiligingsbedrijf maakt phishing deel uit van 91 procent van de gerichte aanvallen.

Lees meer

Nieuwste IT Banen

Reacties (67)

TT17
21 januari 2013 08:49

Belachelijk dat mensen hier nog steeds intrappen, zeker bij een email dan moet je gewoon op je hoede zijn en alles wat niet afkomstig is van een afzender die je kent/vertrouwt, bovendien met waarschijnlijk enkel een link in, filteren via spamfilter of dergelijke.

off-topic : Om toch maar even aan te geven gaat het hier om 'Virus' phishing en niet om 'Worm' phishing, waarbij er bij het eerste interactie nodig is van de gebruiker en bij het tweede niet.

+1 klerk
@TT17 • 21 januari 2013 08:57

alles wat niet afkomstig is van een afzender die je kent/vertrouwt

Geregeld krijg ik mails van bekende afzenders die ze zelf echt niet verstuurd hebben.
Het gaat dus nog verder dan alleen onbekende mails te wantrouwen.

Blorgg
@klerk • 21 januari 2013 09:25

Als je geregeld mails van bekende afzenders krijgt, die niet door die bekenden zelf zijn verstuurd. Dan wordt het tijd dat je e-mail server beter ingesteld wordt.

Standaard zouden alle e-mail servers moeten controleren of het IP adres van de afzender ook daadwerkelijk verantwoordelijk is voor het verzenden van e-mail voor het afzender domein. Dus als iemand vanaf zijn Internet verbinding thuis bedoeld of onbedoeld een e-mail wil sturen met als afzender bill.gates@microsoft.com, dan zou geen enkele e-mail server deze moeten accepteren omdat het IP adres van die persoon zeker weten niet verantwoordelijk is voor het verzenden van e-mail voor @microsoft.com.

Dit is wel zo basic wat instellingen betreft dat het jammer is dat niet meer e-mail servers dit hanteren. Beheerders die niet netjes de bijbehorende DNS records hiervoor aanmaken zouden zich naar mijn idee diep moeten schamen. Als morgen alle e-mail servers dit zouden doen, dan zou het spam probleem grotendeels opgelost zijn.

Voor de volledigheid, dit doe je door middel van het Sender Policy Framework (SPF) en is in een uurtje te doorgronden en op te zetten. Hier wat nuttige links voor meer info en hoe het te implementeren:
http://en.wikipedia.org/wiki/Sender_Policy_Framework
http://support.google.com...wer.py?hl=nl&answer=33786
http://www.microsoft.com/...nologies/senderid/wizard/

MadEgg

Beheer en beveiliging

@Blorgg • 21 januari 2013 09:40

SPF heeft grote nadelen dankzij de complete opzet van de email distributie. Bijvoorbeeld dankzij backup-servers of routeringsproblemen kan de (authentieke) mail uiteindelijk bij de juiste server aankomen, maar bezorgd worden door een mailserver die niets met de domeinnaam van de afzender te maken heeft.

Ook blokkeren veel providers poort 25 naar buiten toe, waardoor het merendeel van de mensen de SMTP server van hun provider gebruikt in plaats van de SMTP server die bij hun domeinnaam hoort. Ook hierdoor krijg je een afwijking in het registreerde IP-adres voor dat domein en de server die daadwerkelijk de afhandeling verzorgd.

Wat dat betreft is DKIM al een betere oplossing, al hou je daar gelijksoortige problemen bij het gebruik van een andere SMTP-server dan degene van je hosting provider, omdat je berichten dan niet ondertekend zullen worden, en je het voordeel dus alsnog niet hebt.

De conclusie is dus dat dergelijke methoden wel licht bijdragen aan het bevestigen van de authenticiteit van berichten, maar geen definitieve oplossing bieden. De beste oplossing is nog altijd het gebruik van een DNSBL om te controleren of de bezorgden e-mail server niet bekend is als geinfecteerde machine of van een consumenten-IP afkomstig is welke sowieso niet als SMTP-server gebruikt zou moeten worden.

+1 The Zep Man

Beheer en beveiliging

@MadEgg • 21 januari 2013 09:42

Ook blokkeren veel providers poort 25 naar buiten toe, waardoor het merendeel van de mensen de SMTP server van hun provider gebruikt in plaats van de SMTP server die bij hun domeinnaam hoort. Ook hierdoor krijg je een afwijking in het registreerde IP-adres voor dat domein en de server die daadwerkelijk de afhandeling verzorgd.

Dit probleem is niet meer zo groot als dat het ooit was. Vaak genoeg zijn alternatieve poorten (met ondersteuning voor SSL) naar de verzendende mailserver beschikbaar en is het niet nodig voor de eindgebruiker om voor uitgaande mail gebruik te maken van TCP poort 25.

MadEgg

Beheer en beveiliging

@The Zep Man • 21 januari 2013 09:46

Klopt, het is niet *nodig*. Sterker nog, poort 587 is eigenlijk bedoeld voor de submission van nieuwe berichten, welke vaak niet geblokkeerd is. Echter, het is niet de poort die email clients standaard gebruiken en veel leken weten dat natuurlijk ook niet. Het probleem wordt er dus niet kleiner door, ondanks dat het relatief makkelijk te omzeilen is.

Beesje
@Blorgg • 21 januari 2013 09:47

Stel: ik verstuur een mail via het account van mijn werk... terwijl ik in Verwegnistan op zakenreis ben. Een zelfzame aangelegenheid die binnen mijn bedrijf 2x per decennium voorkomt.

In jouw visie komt de mail dus nooit aan, omdat het IP niet strookt.

Mijn collega die dringend op informatie zit te wachten mist zijn deadline van over anderhalve week, omdat ik de boel niet verstuurd krijg. (en nee, telefonisch kan ik het niet doorgeven, het is een CAD tekening, Excel formuleblad, of zo iets dergelijks)

Het lijkt me reëler om gewoon iedereen met computertoegang en e-mailaccount te trainen in het computergebruik.

Overigens kan iedere gebruiker controleren waar de link heen gaat, is het naar een raar adres klik je er ZEKER niet op!

Yggdrasil

@Beesje • 21 januari 2013 10:47

Nee, je hebt het mis. Het gaat niet om het IP-adres van je laptop/telefoon, maar van de verzendende mailserver.

Zolang je die mail naar je collega verzend via de SMTP server van je werk (authenticatie vereist) is er niks aan de hand. De admin op je werk zal namelijk via SPF hebben ingesteld dat de SMTP server op je werk een vertrouwde afzender is voor mail van je-werk.nl. De ontvangende mailserver checkt het SPF record van het domein waarvan het mailtje claimt te komen (je-werk.nl) en ziet dat het IP-adres van de verzendende mailserver toegestaan is en accepteert de mail.

Wanneer je echter de uitgaande mailserver van je internetprovider of telco gebruikt gaat het mis. Het IP adres van deze mailserver is niet vermeld in het SPF-record van domein je-werk.nl en is dus geen geldige afzender voor mail van dit domein. De ontvangende mailserver kan het mailtje op basis daarvan blokkeren of als mogelijke spam markeren.

Dat is precies het doel van SPF: voorkomen dat men mail kan verzenden in naam van een ander. Dat is nodig aangezien niet alleen jij, met je goede bedoelingen, maar iedere klant van je internetprovider jouw e-mailadres als afzender kan proberen te gebruiken. Heb je geen SPF ingesteld dan accepteert de ontvangende mailserver dat. Hij weet immers niet beter.

SPF implementeren op een domein is niet moeilijk, en helpt veel tegen spam, maar het is essentieel dat alle mensen met een mailbox in dat domein hun mail alleen nog verzenden via vertrouwde mailservers. Die training is misschien de grootste uitdaging, maar voor een groot deel te voorkomen door het instellen van een goede autoconfiguratie voor mailclients.

LOTG
@Yggdrasil • 21 januari 2013 11:23

Dan gaat het toch nog mis als je een gedecentratiseerde mailserver hebt? Zoals Outlook(Live) of GMail? Plus er gebruiken meer mensen die mailservers waar voornamelijk ook spam mee verstuurd word.

Het probleem is dat het zo makkelijk te faken is. Al tijden word alles verbeterd aan het internet maar POP en SMTP werken nog nagenoeg het zelfde als 10 jaar geleden.

Er zou een verificatie systeem moeten worden toegevoegd waarbij de verzender te indentificeren is door de mailserver.

Een issue die dit allemaal versterkt is ook nog dat veel ISP's die email aanbieden alleen werken als je op het netwerk van die ISP zit, waardoor je dus gedwongen een andere server moet kiezen om je mail te versturen. Dus je verstuurd je mail dan al vanaf een andere server dan de daadwerkelijke SMPT die bij jou domein hoort.

[Reactie gewijzigd door LOTG op 21 januari 2013 11:26]

tc982
@LOTG • 21 januari 2013 16:31

Jawel hoor, je kan perfect een include doen van hun mail servers :

GMAIL : v=spf1 include:_spf.google.com ~all
OUTLOOK : v=spf1 include:outlook.com -all

Ik begrijp gewoon niet waarom dit niet meer gebruikt word. Het is niet 100% failsafe, maar je haalt er zo toch redelijk wat uit. Mijn PineApp's halen een klein 26% via deze weg eruit.

Er zijn verschillende opties om een SPF in te stellen, en je kan dat restrictief maken of niet.

Wij maken altijd een spf record voor onze klanten, zodat we zeker zijn dat dit toch al voor ons in orde is.

Een SPF Record bijvoorbeeld voor tweakers :

v=spf1 a mx ptr mx:mx1.tweakers.net mx:mx2.tweakers.net ip4:1.1.1.1/29 a:tweakers.be mx:mailserver.tweakers.net -all

A = Alle A-Records van het domain zijn trusted
MX = Alle inkomende mailservers mogen ook uitgaand verzenden
PTR = Ook soms ReverseDNS genoemd, dit is het matchen van de SMTP host name aan het IP waarvan je verzend.
IP4 = Block van IP ranges bijvoegen, dit is vooral belangerijk indien je een failover hebt van je normale internetlijn naar een alternatieve.
ALL = Hiermee bepaal je hoe strict je sender ID gebruikt. Wij gebruiken altijd een tilde, maar een streep kan je ook gebruiken. Dit geeft wel soms problemen met sommige ( slecht geconfigureerde ) firewalls.

Indien je niet weet hoe je deze maakt, gebruik dan deze tool : http://www.microsoft.com/senderid/wizard

MadEgg

Beheer en beveiliging

@Yggdrasil • 21 januari 2013 11:16

SPF implementeren op een domein is niet moeilijk, en helpt veel tegen spam,

Heb je daar cijfers van? Mijn ervaring is dat, om onder andere de redenen die ik hierboven omschreven heb, SPF amper uitgerold is. Hotmail en gmail doen er wel aan, dus daarmee heb je dan nog een redelijk deel van de e-mail adressen te pakken, maar voor de rest zie je het erg weinig, en bij afwezigheid van SPF-records worden alle mails gewoon geaccepteerd, dus helpt het amper.

Ik heb het dus wel aanstaan op de mailservers die ik beheer, maar het aantal spamberichten dat daarmee tegen gehouden wordt valt in het niet bij berichten die geblokeerd worden door de dynamische blacklists (zen.spamhaus.org). Ook het aantal berichten met foutieve DKIM-ondertekeningen dat geblokkeerd worden is veel hoger dan het aantal berichten dat dankzij SPF geblokkeerd worden.

+1 crazyx
@Beesje • 21 januari 2013 11:22

Waarom zou jouw email niet aankomen? Als je de mail verstuurt via webmail blijft die hetzelfde. Als je gebruik blijft maken van de smtp server van uw bedrijf ook. Ik zie het probleem echt niet.

+2 Floor
@klerk • 21 januari 2013 09:39

TT17 (Vanderleyden): Belachelijk dat mensen hier nog steeds intrappen

Geachte heer Vanderleyden,
u bent gebruiker van de website wielrentijden.nl. Onlangs hebben kwaadwillende getracht om op deze website in te breken. Hierbij werd geprobeerd om via zwakke wachtwoorden de website binnen te komen. Dit is niet gelukt, er zijn geen gegevens buit gemaakt. Maar uit voorzorg zijn alle wachtwoorden gereset en hebben we een nieuw wachtwoord beleid doorgevoerd. Zo dient elk wachtwoord minimaal 8 karakters, een hoofdletter en een cijfer te bevatten.
Via deze link u per direct een nieuw wachtwoord aan te vragen.

Excuses voor al het ongemak.
Team Wielrentijden.nl

(disclaimer dit is slechts een voorbeeld, wielrentijden heeft hier verder niets mee te maken).

Nee, het is helemaal niet stom dat mensen hierop klikken. Sterker, een goed opgezette aanval bestaat uit meerdere stappen en kan daardoor zeer succesvol zijn. Het probleem is dat mensen totaal niet nadenken wat ze allemaal op het internet plaatsen.
Bovenstaand is nog relatief onschuldig voorbeeld, 1 zoekopdracht verder geen onderzoek. Maar wanneer je dit uitvoert op een bedrijf om wachtwoorden te achterhalen er een dag of wat voor uit trekt dan kom je heel wat te weten. Met als gevolg dat er dan een grote kans van slagen is.

[Reactie gewijzigd door Floor op 21 januari 2013 12:24]

+1 Kompaan
@Floor • 21 januari 2013 23:53

Dit is dus precies waarom banken (bijvoorbeeld) op hun inlog pagina zetten:

"Wij zenden geen emails met links or vragen u nooit om uw gebruikersnaam/wachtwoord/PIN/TAN/enz..."

Een email met: "ga naar onze webpagina en klik op "beveiliging" in het hoofdmenu"
is een beter idee, dan een link naar die pagina (nog steeds niet waterdicht, maar beter).

WeeDzi
@klerk • 21 januari 2013 09:21

Bovendien kan dit natuurlijk opgezet zijn als een email van een onderzoeks bureau. dan ga je er vanuit dat dit met je bedrijfsleiding overlegd is, vooral als je even je collega vraagd (offline) "heb jij die email ook" "ja" ..... dan zal het wel goed zitten.

wij zijn van onderzoeks bureau die en die ..... Heel verhaal. Kunt u de onderstaande vragenlijst invullen?
Link

mvg
Onderzoeks bureau blabla

Dan weet ik zeker dat op het multinational waar ik werk er ook minstens de helft op gaat drukken en dat zijn bijna allemaal technici
M.a.w. je verwacht het niet op je eigen bedrijf vooral niet als het er uit ziet als de standaard fishing mailtjes van bedrijfscreditcards etc.

RemcoDelft
@WeeDzi • 21 januari 2013 09:42

^^ Precies. Daarbij snap ik de panische reacties bij "het klikken op een link" niet: heel internet bestaat uit links.

In dit geval ging het om een onschuldige link

En zelfs als die link niet onschuldig zou zijn: als ik mijn browser (in dit geval Firefox onder Ubuntu) niet zou vertrouwen daarmee om te kunnen gaan, zou ik geen enkele website meer kunnen/durven bezoeken.

Wat mij betreft een zinloos experiment van deze onderzoekers. Als ze gebruikers zo ver krijgen een executable te starten, dan pas zouden ze recht van spreken hebben.

.oisyn

Beheer en beveiliging

@RemcoDelft • 21 januari 2013 10:30

Wat mij betreft een zinloos experiment van deze onderzoekers. Als ze gebruikers zo ver krijgen een executable te starten, dan pas zouden ze recht van spreken hebben.

Sinds wanneer is er een executable nodig om toegang te krijgen tot je systeem? Heb je de recente berichtgeving over Java toevallig gemist?

Een lek in je browser of een of andere plugin is vaak al genoeg om malware te kunnen installeren.

[Reactie gewijzigd door .oisyn op 21 januari 2013 10:32]

+1 freaq
@.oisyn • 21 januari 2013 13:08

punt is toch veel simpeler, als dit echt belangrijke systemen zijn mogelij in het belang van energie toevoer van een land, waarom KUNNEN die uberhaupt links openen.
waarom hangen die uberhaupt aan het internet,

zet er een internet pc naast van mijn part maar hou dat gescheiden,
zo moeilijk is dat toch niet???

Tribits
@freaq • 21 januari 2013 22:49

punt is toch veel simpeler, als dit echt belangrijke systemen zijn mogelij in het belang van energie toevoer van een land, waarom KUNNEN die uberhaupt links openen. waarom hangen die uberhaupt aan het internet,

De onderzoekers hebben alleen vastgesteld dat de geadresseerde op de link heeft geklikt. Er is absoluut niet bewezen dat het systeem waarop dat gebeurde verbonden was met de systemen die de energievoorziening regelen. En zelfs als dat zo is dan is nog niet gezegd dat het control netwerk ook te benaderen is vanaf het systeem waarop de link werd geopend.

Overigens lijkt het me ook wel logisch dat de systemen die de energievoorziening voor het hele land verzorgen met elkaar verbonden zijn. De gevraagde en geleverde energie moeten constant met elkaar in evenwicht zijn. Ik denk niet dat de betrouwbaarheid omhoog gaat als er continu iemand de data van systeem A uitprint en die op systeem B invoert.

zet er een internet pc naast van mijn part maar hou dat gescheiden,
zo moeilijk is dat toch niet???

Moeilijk misschien niet maar het levert eigenlijk ook niets op. Zie voor meer informatie Security Myth: Protection by Air Gap.

D.oomah
@freaq • 21 januari 2013 19:44

Zo doen ze het bij CERN wel. Het controlpanel gedeelte bestaat uit een kamer met alleen monitoren, toetsenborden en muizen. Geen computers, geen internettoegang op die computer en zeker geen USB ingangen. De computers zelf zitten ergens in een beveiligde bunker.
Als je daar op het internet wil neem je maar je eigen laptop mee, want je hebt er wel wifi. Je kunt je computer alleen niet koppelen aan het controle systeem.

Mijn punt is, het is nooit een kwestie van niet kunnen, maar een kwestie van niet willen. Bij CERN is het doel om onderzoek te doen. Niemand wil aan 27 landen willen uitleggen dat hun 7.5 miljard euro kostende project om zeep is geholpen door een virus.
Bij een energiemaatschappij is het doel om winst te maken. Als je dan via internet je systeem kunt controleren en zo twee fulltime banen minder hoeft te betalen is de keus al snel gemaakt.

Tha_Butcha
@D.oomah • 21 januari 2013 23:38

En wat kost een virus dat je netwerk compleet plat legt en dan begin ik niet eens over PR damage...

fsfikke
@.oisyn • 21 januari 2013 13:39

Bij het (zeer grote) bedrijf waar ik werk worden browsers zodra er een beveiligingslek bekend is dan ook gewoon geblokkeerd en alternatieven geboden.

.oisyn

Beheer en beveiliging

@fsfikke • 22 januari 2013 16:29

Dat lijkt me een goede strategie, maar het blijft mosterd na de maaltijd. Niet bekende lekken kunnen ook worden misbruikt.

ShaiNe
@RemcoDelft • 21 januari 2013 11:03

Daar zeg je het; klikken op een link is per definitie niet verkeerd. Ook ik klik altijd op de links die malafide personen mij doorsturen met de intentie mijn visa-kaart of bankgegevens te ontfutselen. Dat doe ik omdat ik gewoon nieuwsgierig ben naar welke phishingsite ze me heen sturen en hoe "echt" de site er uit ziet. Vaak contacteer ik dan ook de webhoster om te melden dat er op hun servers een phishingsite staat.

twop
@ShaiNe • 21 januari 2013 14:06

Ja en die technicus die volgens het artikel vier keer op de link klikte wilde alleen maar zijn steentje bijdragen om de phishing site te overbelasten

Madrox
@RemcoDelft • 21 januari 2013 12:38

Niet zinloos en "het hele internet bestaat uit links" is een holle statement.

Op internet kom je nml. niet zomaar ff toevallig op die "kwaadaardige pagina".

De link in de mail is daar nu juist specifiek voor bedoeld en wat dit aantoont is dat links in mails in potentie allemaal gevaarlijk zijn.

Even vragen aan je collega of die ook zo'n mail heeft gehad word je niks wijzer van.
Wel door het bedrijf of persoon te bellen, waarvan zogenaamd de mail afkomstig is.
Wat in dit geval niet al te moelijk kan zijn, de fishers gebruiken bekende namen van het bedrijf.

+1 Gulif
@WeeDzi • 22 januari 2013 05:24

"Bovendien kan dit natuurlijk opgezet zijn als een email van een onderzoeks bureau. dan ga je er vanuit dat dit met je bedrijfsleiding overlegd is, vooral als je even je collega vraagd (offline) "heb jij die email ook" "ja" ..... dan zal het wel goed zitten.

wij zijn van onderzoeks bureau die en die ..... Heel verhaal. Kunt u de onderstaande vragenlijst invullen?
Link

mvg
Onderzoeks bureau blabla"

De computers van de "control room" dienen niet gebruikt te worden om vragenlijstjes in te vullen (mensen vullen die dingen sowieso nauwelijks in, juist omdat ze die niet vertrouwen), dat doe je thuis maar. De 25% die wel op de link klikte zat sowieso te klooien onder werktijd, en dat op een computer van de control room en is blijkbaar niet wantrouwend genoeg om toch eerst aan de baas te vragen waarom er nou weer zo'n raar mailtje aan iedereen wordt gestuurd. En nee, da's geen achteraf praat, de andere 75% klikte namelijk niet op de link.

+1 arniejj
@klerk • 21 januari 2013 10:11

Dat betekent dat de (ontvangende) mailserver niet goed geconfigureerd is. Bij een goede configuratie gaat de ontvangende mailserver namelijk na of de e-mail van de juiste smtp server afkomt.

Helaas zijn de meeste mailservers niet goed geconfigureerd, omdat veel e-mail anders niet zou aankomen.

mashell

@arniejj • 21 januari 2013 17:34

Helaas zijn de meeste mailservers niet goed geconfigureerd, omdat veel e-mail anders niet zou aankomen.

Wat? Die servers zijn wel degelijk goed geconfigureerd. Dingen als SPF zijn er later bij bedacht (daarom ook altijd met haken en ogen) en gelukkig optioneel.

+1 Dwar
@TT17 • 21 januari 2013 09:32

Ik kan zelf inmiddels niet meer zien of zien mail vertrouwt is. PDF van een collega, afzender netjes door outlook verwerkt. Een nieuwsbrief van een leveransier.

Gelukkig is het internet bij mijn werkgever gescheiden van het bedrijfsnetwerk.

Wat mij betreft ligt het probleem niet meer bij de mensen, die kunnen het domweg gewoon niet. Het internet moet gewoon beter/meer worden afgeschermt van de gegevens die je niet op internet wild. (Virtual machines enz)

+1 Wallioo
@TT17 • 21 januari 2013 09:56

De 'aanvallers' deden de e-mails voorkomen als mails van een hogere collega of van een fabrikant waarvan de energiebedrijven apparaten gebruikten. De contactinformatie van de 'slachtoffers' werd gevonden via sites als LinkedIn, vacatures en bedrijfswebsites

Wantrouw jij een van deze emails, oftewel wantrouw jij je eigen collega of je eigen fabrikant?

Als je elke keer moet gaan vragen of je (hogere) collega mail gestuurd heeft, dan kan je net zo goed een chatomgeving neer zetten en uiteindelijk te concluderen dat er veel zooi over de chat gaat.
Dan maar gewoon vragen aan de collega: die vergeet het om een of andere reden en wordt van zijn werk afgehouden terwijl hij dat meestal niet wil en dus steeds minder productief kan gaan worden.

Communiceren wordt (vooral met phishing en (reverse) social engineering) steeds lastiger.

Je moet preventief zijn en dit soort dingen dus niet op linkedin (ja ook die)/facebook/hyves (voor wie het nog gebruikt) o.i.d. zetten.

[Reactie gewijzigd door Wallioo op 21 januari 2013 09:57]

SuperDre
@TT17 • 21 januari 2013 09:59

Als je het beperkte artikel leest dan staat er toch dat het zogenaamde mails van hoger geplaatste zouden kunnen zijn, en als je mailpakket niet aanduid dat het om een heel ander adres gaat, en het taalgebruik is netjes (ofwel fatsoenlijk nederlands en niet googletranslate nederlands), dan kan ik me best indenken dat iemand op zo'n link klikt (afhankelijk natuurlijk van wat de rest van de mail zegt).. Persoonlijk kijk ik ook alleen bij bank mails waar het vandaan komt, en bij nepmailtjes van bekenden zie ik het 999 van de 1000 keer al meteen wel of het van diegene komt..

Vergis je niet hoor, maar phishing mailtjes worden ook steeds beter en beter dat voor iemand als je heel eventjes niet oplet al op een link hebt geklikt.. Maargoed, zorgen dat je een goede antivirus/malware pakket draait (en dat geldt dus ook voor non-windows OSsen) beperkt de mogelijke schade sowieso al, en natuurlijk ook een mailpakket dat betrouwbaar is en ook anti-phishing opties aan boord heeft..

breinonline
@TT17 • 21 januari 2013 12:28

Belachelijk dat mensen hier nog steeds intrappen, zeker bij een email dan moet je gewoon op je hoede zijn en alles wat niet afkomstig is van een afzender die je kent/vertrouwt, bovendien met waarschijnlijk enkel een link in, filteren via spamfilter of dergelijke.

Niks belachelijk, de gemiddelde medewerker heeft nul ICT kennis opgebouwd. Met wat geluk hebben ze ooit in hun studie wat Word- en Excel-les gehad en dan houdt het wel op. Dat mensen hier in tuinen heeft alles te maken met het gebrek aan opleiding op dit specifieke gebied.

De bedrijven die hier überhaupt een policy op hebben, hebben dit vaak in een vrijblijvend infoboekje beschreven of gepubliceerd op een intranet pagina die niemand bekijkt. Als ze een cursus op dit gebied zouden geven dan kan je dit gevaar al een heel stuk verminderen. Met het toenemen van de kwaliteit van phisting mails en pagina's zullen ICT afdelingen hierin hun werkmethode moeten veranderen, in plaats van wijzen naar de gebruiker die iets 'stoms' doet.

Pin0
21 januari 2013 08:53

Je zou je nog kunnen afvragen in hoeverre dit schadelijk is. Er wordt gesproken over medewerkers in de controlekamer die op een link klikken. Dit is ernstig als die computer ook daadwerkelijk het systeem bestuurd. Ik zou zo'n systeem niet aan het internet gekoppeld willen zien... en zeker geen email, wat per definitie niet echt veilig is, op hetzelfde systeem.

[Remmes]
@Pin0 • 21 januari 2013 08:58

hoe denk je dat die computers emails zouden ontvangen als ze niet met het internet zijn verbonden? het gaat daarbij niet alleen om controle overnemen, maar ook informatie/gegevens die veel waard kunnen zijn

[Reactie gewijzigd door [Remmes] op 21 januari 2013 08:59]

SunnieNL

@Pin0 • 21 januari 2013 09:02

Tenzij de machine in de controle kamer voor mail etc. verbinding maakt met een terminal server of vdi station. Dan mag dat mail programma wel naar buiten, omdat de machine met de software niet zelf verbind naar buiten.

FlyingDutchMen
@Pin0 • 21 januari 2013 09:05

Het verbaast je hoe idioot sommige mensen zijn anders hoor. Ik werk zelf in een niet nader te noemen ziekenhuis. Hier hebben ze bijna een jaar lang gehad, dat je zonder enige moeite met operaties mee kon kijken. Ook is het vrij gemakkelijk om de IP-cams te besturen en gebruiken. Dit is natuurlijk een iets minder groot risico maar het is behoorlijk schandlig vind ik. En ook als niet medewerker is het een fluitje van een cent om binnen te komen in deze systemen!!

[Reactie gewijzigd door FlyingDutchMen op 21 januari 2013 11:24]

Rixard
@FlyingDutchMen • 21 januari 2013 09:47

Eindhoven?

FlyingDutchMen
@Rixard • 21 januari 2013 09:58

Nee

+1 TheekAzzaBreek
@Pin0 • 21 januari 2013 09:15

Energiebedrijven hebben voor zover ik heb gezien precies om deze reden twee gescheiden netwerken: een voor kantoorautomatisering, inclusief email en internet, en eentje voor het 'primaire proces', zonder. Ze zijn niet helemaal gek.

+1 DannyXP1600
@Pin0 • 21 januari 2013 09:26

Nee, er wordt gesproken over medewerkers van het bedrijf die voor hun functie in de controlekamer werken.
Er staat nergens dat de medewerkers hun e-mail checken op computers in de controle kamer. En stel dat het wel zo is, dan kan het nog zo zijn dat e-mail computers andere computers zijn dan de controle computers.

Maar aangezien de contact informatie op LinkedIn enzo gevonden werd kan het net zo goed zijn dat hun mail geopend werd op hun telefoon of op de thuiscomputer na werktijd...

trm0001
21 januari 2013 08:55

De 'aanvallers' deden de e-mails voorkomen als mails van een hogere collega of van een fabrikant waarvan de energiebedrijven apparaten gebruikten.

Indien dat de exacte email adressen betreft van collega's zou ik er ws ook intrappen......

Imho zou cruciale infrastructuur altijd moeten worden bediend door non-networked pc's.

@tonhe hierboven:
Voor zover ik weet maakt ieder stuk hardware en software vroeg of laat fouten.
Alleen praat je dan over een heleboel nullen achter de komma.
De mens maakt fouten die in de tientallen procenten range liggen........

[Reactie gewijzigd door trm0001 op 21 januari 2013 09:00]

[Remmes]
@trm0001 • 21 januari 2013 09:03

software word gemaakt door mensen, en hardware gedeeltelijk ook, dus eigenlijk komt het altijd aan op de mens

+1 Sietse1990
@[Remmes] • 21 januari 2013 09:33

Neemt dus niet weg dat trm0001 gewoon gelijk heeft en dat, ongeacht of het door mensen wordt gemaakt, ook computers fouten maken. Echter is dit niet in vergelijking met het aantal fouten dat mensen maken.

Ook ik geloof dat het me kan overkomen. Als ik aan het werk ben en er lijkt een mail afkomstig van een collega dan ga ik ook geen headers controleren en of de url wel betrouwbaar is. Wanneer dit thuis gebeurd is iets anders en dan controleer ik wel gegevens als er naar een website wordt gelinkt, maar daar is op het werk nu eenmaal geen tijd voor.

En ik denk dat ook iedereen hier in kan trappen want niemand controleert altijd de headers van de e-mail of de url waar deze naartoe wordt gelinkt. Of zelfs als frame wordt ingeladen in de mail zonder dat deze in je spamfilter blijft hangen. Een AJAX call kan al genoeg zijn en met het openen van de mail kan het dus al te laat zijn. Een afbeelding die ingeladen wordt met een stukje script erachter is nog eenvoudiger...

+1 Jip99
@trm0001 • 21 januari 2013 09:03

ja precies! hoe erg je ook op je hoedde bent, op je werk ben je bezig met werken en als je dan een mailtje krijgt van een collega of een leverancier ben je snel geneigd dat te zien als vertrouwd als die mail gewoon goed Nederlands is..

dus alle binkies hierboven kunnen daar net zo goed in trappen.

0 hackerhater

@Jip99 • 21 januari 2013 11:19

Op mijn werk hebben we gelukkig wat tegen het faken van emails van collega's => digitale handtekeningen.
Dat kunnen ze gelukkig nog niet namaken.

+1 AlexKnight1978
21 januari 2013 09:54

Ik kan maar één ding zeggen, controleer de link waar een email je naartoe wil sturen, dan is 99% van de phishing mails gewoon te herkennen.

Ik doe dit vrijwel standaard met alle mails die ik krijg.

Als je een email krijgt van Essent, en de link je doorverwijst naar lekker-lekker.com (gewoon een voorbeeld), dan moet je er gewoon niet op klikken. Als je, nadat je dat gecontroleerd hebt, er toch op klikt, dan ben je het zelf schuld als je systeem in de soep loopt.

En als emails een "factuur" als bijlage in ZIP formaat hebben, dan mieter ik ze al meteen weg.

[Reactie gewijzigd door AlexKnight1978 op 21 januari 2013 09:57]

SuperDre
@AlexKnight1978 • 21 januari 2013 10:05

Ja, ook als die gewoon van je collega komt en dus in outlook zou verschijnen met alleen de naam van de collega, EN de tekst ook nog fatsoenlijk nederlands (als je collega dat in iedergeval kan, maar dat weet je zelf dan wel), ik durf te wedden dat je dan gewoon op de link zult klikken (afhankelijk natuurlijk van de rest van de tekst)..

bazkie_botsauto
@SuperDre • 21 januari 2013 10:18

dat ligt er aan of je die mail met attachment verwacht; zoniet dan is het toch auto-verdacht.. linkjes al helemaal. zeker als die link naar een www.voor_jou_onbekende_website.com wijst

Roadrunner
21 januari 2013 09:01

Er zal altijd een groep mensen blijven die in dit soort dingen trappen en dan blijft het voor criminelen de moeite waard. Ik geloof niet dat dit soort praktijken uitgeroeid kunnen worden. Maar 26% vind ik wel schokkend veel. En dan ook nog eens technici, waar neem ik aan ook ICT onder valt. Hoe vaak ik al geen vragen heb gehad van mensen die ook doodleuk op zo'n link klikten en zich later afvroegen of dat wel zo verstandig was. Vaak staan deze berichten dan ook nog eens vol taalfouten. Mensen lezen niet maar klikken op de eerste de beste link die ze tegenkomen.

[Reactie gewijzigd door Roadrunner op 21 januari 2013 09:11]

+1 Wallioo
@Roadrunner • 21 januari 2013 10:17

Hoe vaak ik al geen vragen heb gehad van mensen die ook doodleuk op zo'n link klikten en zich later afvroegen of dat wel zo verstandig was. Vaak hebben staan deze berichten dan ook nog eens vol taalfouten.

Aanname: dit gaat over bedrijfsmail.

Hoe vaak ik mails tegenkom van Nederlanders die soms nog meer taalfouten en krommere zinnen creëren die zelfs google translate niet zou maken...
Bij sommige heb ik soms gedacht om een cursus groep 5 t/m 8 of Havo 1 en 2 maar eens over te laten doen..

Als je als technici elke email moet controleren, dan ben je minimaal een uur kwijt alleen al aan controle. Die tijd is er niet.

Bosmonster
21 januari 2013 09:43

Waarom zijn desktop-computers van werknemers uberhaupt gekoppeld aan de energie-systemen (bv in de control room)?

Als dit niet het geval is lijkt het risico me niet enorm groot, maar ze (of het artikel) doen het overkomen alsof dat wel het geval is.

Scheiding van de systemen (en geen internet-toegang op kritieke systemen) lijkt me de meest logische vorm van bescherming.

[Reactie gewijzigd door Bosmonster op 21 januari 2013 09:44]

SuperDre
@Bosmonster • 21 januari 2013 10:03

Wie zegt dat desktop-computers van werknemers gekoppeld zijn aan de energie-systemen, dat staat nergens in het beperkte artikel, dat is een aanname die jij doet...

FlyingDutchMen
21 januari 2013 08:51

Het was wel te verwachten dat het nog steeds gebeurd. Toch is het wel een beetje schrikbarend vind ik. Maarja het is altijd zo dat de mens de grootste factor is waarom dingen fout gaan en niet de machines!

+1 storagefan
21 januari 2013 09:12

Mensen zetten steeds meer informatie over zichzelf online (facebook, linkedin, enz.) en maken het de aanvallers steeds makkelijker. Eigen schuld dus.

Elite25
21 januari 2013 09:18

Och, als ik onder Linux een vreemde link zou krijgen, zou ik er ook nog wel op durven klikken. Meerdere malen

Dat gezegd hebbende, kan ik me ook wel de mentaliteit voorstellen van sommige werknemers (ik heb ze ook meegemaakt) van we hebben toch een virusscanner die alles onderschept?

"Het systeem is toch veilig verklaard om mee te werken door het management?"

"Hebben we dan geen phising filters geinstalleerd hier?"

Kortom, mensen die doodleuk de verantwoordelijkheid bij iemand anders binnen het bedrijf neerleggen.

Als je aangenomen wordt om VB scripts te schrijven, ga je je dan ook met de firewall en proxy bezig houden?

HansMonasso

21 januari 2013 09:23

Het enige dat hier tegen werkt is informeren en instrueren en dan heel gericht op allerlei situaties die zich voor kunnen doen. Een heel intelligent opgezette aanval is haast niet tegen te gaan. Ik denk zelfs dat de meeste tweakers in een goed doordachte val zullen stappen.

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

'Medewerkers energiebedrijven trappen in phishing'

Lees meer

Nieuwste IT Banen

Reacties (67)

Sorteer op:

Weergave: