Interne phishingtests leveren niets meer op

Met een beetje pech heb je ooit de vermaledijde pagina wel gezien met daarop een tekst als 'Helaas, je bent gezakt voor de phishingtest'. Ict-afdelingen maken graag gebruik van dit laaghangend fruit. Een interne phishingcampagne is snel opgezet. Het resultaat is kort, krachtig en behoeft weinig nuance, en de managers zijn weer blij dat ze voldoen aan hun jaarlijkse securitychecklistje. Bedrijven kunnen eigenlijk beter stoppen met interne phishingtests, want beveiligingslekken toon je er amper mee aan en je shamet werknemers er alleen maar mee.

De resultaten van iedere phishingtest zijn voor 99 procent te voorspellen. "Hoe authentieker de e-mail, hoe groter de kans dat werknemers erop klikken". "Medewerkers openen de bijlage vooral op een onoplettend moment, maar wisten achteraf wel dat ze dat niet hadden moeten doen." "Op technisch gebied blijkt dat er hier en daar toch flink wat mogelijkheden zijn om door het netwerk te manoeuvreren, en dat wordt bij de volgende patchcycle gefikst."

Vijftien jaar lang niet opletten

Natuurlijk is meten weten. Je kunt beargumenteren dat het juist goed is dat je bepaalde verwachte resultaten verifieert, maar de medaille heeft een keerzijde. Het is niet alsof niets nuttigs leren gelijkstaat aan tijdverspilling. Daarbij kunnen phishingtests juist veel schade veroorzaken binnen een bedrijf. Op verschillende manieren zelfs: minder productiviteit en een apatische of zelfs vijandige houding tegenover securitymanagement. Dan hebben we het niet eens over de oerdomme stunts die bedrijven als GoDaddy en ABN AMRO uitvoeren, waarbij ze medewerkers een bonus of een kerstpakket beloven tijdens een phishingtest. Effectief? Ja. Toondoof voor je werknemers? Ook ja. Maar je hoeft niet zo'n domme stunt uit te halen om je collega's tegen je in het harnas te jagen met een phishingtest. Hoe je die ook indeelt, de boodschap is duidelijk: je hebt lopen slapen, je bent ergens ingetrapt en je hebt de afgelopen vijftien jaar niet opgelet, want dat is de implicatie.

Je hoeft niet in infosec te zitten om de lessen over phishing ergens in je leven voorbij te hebben zien komen. Al anderhalf decennium en misschien nog wel langer zijn de waarschuwingen over verdachte links, onverwachte afzenders en macro's in documenten grotendeels hetzelfde gebleven. De laatste jaren zijn phishers weliswaar iets vernuftiger geworden, maar je hoeft echt geen nation state actor met een gespecialiseerde, individueel toegespitste nepmail te zijn om via een willekeurige onoplettende helpdeskmedewerker een netwerk binnen te komen.

Een phishingtest toont niets aan dat niet al jaren bekend wasEen phishingtest toont dan ook niets aan dat nog niet bekend was. En het slachtoffer leert na het falen van een test iets dat hij eigenlijk al lang wist, maar zich even niet herinnerde. Een optie voor de ict-afdeling is sancties opleggen, zoals securitybewustzijn meenemen in een beoordelingsgesprek. Er is echter geen manager ter wereld die dat een goed idee vindt. De andere optie is niets doen en hopen dat de boodschap en de les spontaan al zijn overgekomen. Aangezien iedereen met een pc thuis niet alleen op haar of zijn werk, maar ook privé al die phishinglessen al honderden keren heeft geleerd, heeft ook dat niet heel veel zin. De les blijft na deze test heus niet ineens wél hangen.

En intussen? Je krijgt een werknemer die zichzelf dom voelt en de securityafdeling steeds minder ziet als een belangrijk deel van de ict-infrastructuur, maar steeds meer als die hinderlijke club die eens in het halfjaar begint te zeuren over Nigeriaanse prinsen en bijlages in DHL-mails. De medewerkers die de lessen wél ter harte nemen, worden er ook nog eens onproductiever van. Die worden dan ineens sceptisch over de belangrijkste tool bij hun werk. Het is onrealistisch om te verwachten dat ze ineens anders omgaan met de tientallen e-mails die ze dagelijks nodig hebben om het merendeel van hun werk uit te voeren.

Voordat een ict-afdeling een phishingtest uitvoert, moet het team vragen stellen om de doelstellingen te bepalen. Daarbij komt het erop aan te kijken naar bijvoorbeeld de gebruikersrechten die werknemers hebben, wat de mogelijke scope voor de rest van het netwerk is als één systeem door ransomware wordt getroffen, en tot welke gevoelige data welke werknemers toegang hebben. Dat zijn al meteen de antwoorden die je wil hebben: de echte waarde van de test. Daar heb je helemaal geen phishingtest meer bij nodig. Voer de phishingtest dus gerust voor een deel uit, maar laat het versturen van de daadwerkelijke e-mail achterwege. Daar worden de ciso én de werknemers gelukkiger van.

Reacties (138)

Grannd 7 februari 2021 06:53

Phishingtests zijn niet perfect, maar Tijs stapt wel over de voordelen heen.
Meten is weten, en je meet niet alleen hoeveel mensen er in trappen, dat inderdaad geen heel belangrijk getal is, want een goeie mail trapt iedereen in.
Maar je meet ook hoeveel mensen aan de bel trekken en de mail doorsturen naar ICT. En dat kan je ook weer jaarlijks benchmarken.
Een phishing test is onderdeel van je awareness campagne, de kracht zit hem altijd in herhaling en als security organisatie wil je in de e-learning en/of presentatie terug kunnen vallen op 'weet je nog? X% van ons bedrijf liet z'n inloggegevens achter'.
De phishingtest is als losstaande tool weinig zinvol, maar als onderdeel van een groter pakket aan awarenessmaatregelen denk ik nog steeds vaste koek, mits je geen kadoos belooft in de mailing.

Zarhrezz

@Grannd • 7 februari 2021 13:53

M'n vorige werkgever had een jaarlijkse security-cursus die elke medewerker moest doen. Op zich niet verkeerd, maar voor een IT-er zo basis dat je na het eerste jaar het vernieuwen in 2-3 minuten doorklikt (direct door naar de vragen).

Er is ook een keer een sessie geweest van een externe security-partij die een pen-test gedaan heeft etc. en een erg interessante presentatie / demo gegeven hebben, een mooi kijkje in dat wereldje!...maar daarbij het besef: je kan van alles doen aan training / awareness bij je medewerkers, het gaat een inbraak niet voorkomen als de aanvaller enigszins professioneel is. Als al je medewerkers alles doen dat in de security-cursus behandeld wordt, komt de aanvaller toch binnen.

Wat mijn probleem is met de security-awareness insteek die je veel ziet, is dat het feitelijk niets anders is dan het met hangen en wurgen versterken van de zwakste schakel. In plaats van te zorgen dat die schakel niet meer de zwakste schakel kan zijn; elimineren van het mogelijke entry point i.p.v. hardening ervan.

Als de zwakste schakel in je bedrijfsnetwerk de mailbox van de koffiejuffrouw is, kun je de koffiejuffrouw opleiden tot security expert maar wellicht is een betere benadering als IT / SecOps te zorgen dat wat er ook maar binnenkomt bij die mailbox, dat geen schadelijke gevolgen kan hebben voor het bedrijf.

Het meten van hoeveel mensen die jaarlijkse test-fishing mail doorsturen naar IT is ook zoiets. Is er echt geen manager die beseft dat dat echt een compleet vervormd beeld geeft? Zodra die mail langskwam, klonk het over diverse afdelingen "Oh, de jaarlijkse fishing mail is weer binnen!". Hoe representatief denk je dat "hoeveel mensen hem hebben doorgestuurd naar IT" precies is?
Een jaarlijkse benchmarks op zo'n testmailtje is echt een getal om het getal, het zegt verder niets.

Wil je iets benchmarken op dat gebied? Hou het aantal doorgestuurde verdachte mails naar IT dan bij, met daarbij het aantal echte fishing mails vs. false-positives "vanuit de medewerker". En registreer daarnaast hoe vaak de interne scanners die mail wel opgepikt hebben, wat de wereldwijde activiteit rondom dat fishing netwerk was. In andere woorden: ga benchmarken tegen wat er "op het internet" gebeurt vs. wat er op de interne netwerken gebeurt vs. wat er toch nog bij medewerkers terechtkomt.

Het lijkt me zinnig eens af te stappen van die focus op de medewerker en zijn/haar verantwoordelijkheid: zorg als IT / SecOps nou maar eens dat als de login van medewerker X compromised is, dit geen grote gevolgen voor het gehele bedrijfsnetwerk kan hebben. Als een breach van het account van een helpdeskmedewerker inzage in sales proposities of source code van producten geeft, is er een hele hoop werk te doen voor IT / SecOps!

cdwave @Zarhrezz • 7 februari 2021 16:17

Het grootste security probleem is doorgaans niet de koffiejuffrouw maar de manager.

Ik grapte ooit bij de koffiehoek van een techbedrijf in het zuiden van: "Ja, en in het weekend neemt -de IT manager- zijn laptop mee naar huis om zijn kindertjes ermee te laten spelen". Twee collega's proesten daarop hun koffie over de tafel, omdat precies dat het geval bleek te zijn.

Zarhrezz

@cdwave • 7 februari 2021 19:59

Dat is helaas in de praktijk ook waar ja. En daar komt dan bij dat de affiniteit voor IT / technologie bij hoger management niet bijster hoog is.

En laten we wel wezen: heel vaak heeft hoger management rechten die volstrekt onnodig zijn. Als de manager alleen de rapporten van sales leeft, heeft die absoluut geen toegang tot het ERP systeem nodig. De gemiddelde PO-er hoeft echt geen toegang tot source code te hebben, etc., etc.

Maar ja, al dat soort rechten goed beheren is nogal een hoop werk, zeker als er veel personeel tussen projecten schuift. En rechten geven op aanvraag is nog te overzien, maar wie denkt er ooit aan even te vragen of je rechten op repo X ingetrokken worden omdat je er niet meer aan werkt?

Maar uiteindelijk is het beperken van toegang tot resources op dat niveau het enige dat een bedrijf nog enigszins kan helpen / redden als het dan toch een keer mis gaat.

GrooV @Zarhrezz • 8 februari 2021 00:19

Rechten intrekken hoort natuurlijk ook bij je eigen verantwoordelijkheid

1nsane @Zarhrezz • 8 februari 2021 09:30

Vergeet ook niet dat er in de aanpak en communicatie een hoop winst te behalen valt.

Ik denk in algemene zin dat dat de kern van de boodschap van het artikel is. Hoe meer mensen in een bedrijf je op een positieve manier schaart achter het belang van security, hoe meer dat ook zal landen bij mensen en niet op de traditionele SecOps manier van een tik op de vingers, in hoofdletters mailen door een bedrijf voor aandacht of gewoon maar dingen dichtgooien uit paniek zonder er uberhaupt over te communiceren.

Anekdotisch voorbeeld, bedrijf waar ik werkte (~3000 medewerkers) ging migreren naar W10. Toen dat gebeurde, kwamen er steeds meer mensen achter dat onder W10 ineens vele extensies en andere zaken gewoon niet meer werkten. Uiteindelijk na veel rondvraag bleek dat SecOps voor de zekerheid maar alle extensies geblokkeerd had om schoon schip te maken, dus zonder dit van te voren te communiceren maar, niet getreurd, je kon een aanvraag doen in de hoop dan na een week of 3 SecOps een onderzoek afgerond had zodat je extensie weer beschikbaar werd.

Gewoon niet van te voren uitleg met een procedure om voor datum X jouw extensie goedgekeurd te krijgen (waarschijnlijk omdat SecOps niet te veel gezeur wilde bij het doorvoeren van hun actie). Onderwel slingerden ze daar wel met regelmatig schreeuwerige emails met hoofdletters in de header rond om mensen op zaken te wijzen.

Het gevolg: ergernis, een hele hoop waardoor sommige medewerkers ook weer andere manieren gingen zoeken om toch maar productief te kunnen zijn.

Zo werd het team waar ik inzat stel op sprong gedwongen om ipv een normaal groeps skypeadres, een persoonlijke skype4business te gaan gebruiken ivm Secu en AVG. Op zich natuurlijk een goed idee, lullige was alleen dat ze er achter kwamen dat OfficeAutomation het maar niet voor elkaar kreeg om het goed werkend te krijgen maar een alternatief (voor het doen van internationale videogesprekken met sollicitanten) werd er ook niet geboden en bleef dat team het gemeenschappelijke account gebruiken, eerst ter overbrugging en later clandestine via browser.

Anderhalf jaar later (ik was inmiddels al een jaar oid weg daar), klapte ik een oude laptop thuis open waar skype op stond en ik blijkbaar jaren terug een keer uit nood op het ingelogd, tot mijn verbazing logde Skype in op dat oude account waar nog steeds vrolijk gebruik van werd gemaakt, gevolg: data en securitylek moeten melden.

TL;DR, Security afdelingen kunnen veel meer winnen door mensen op een constructieve, positieve en communicatieve manier te betrekken in het bewustzijn en uitdagingen.

Zarhrezz

@1nsane • 8 februari 2021 19:04

Dat is ook zeker waar. Meedenken met de gebruikers is echt cruciaal, want tenzij je als SecOps alles helemaal dichttimmert (met als vermoedelijk gevolg dat mensen hun werk niet meer kunnen doen, wat voor het gemiddelde bedrijf op termijn een bankroet betekent) gaan medewerkers work-arounds vinden voor de obstakels die ze tegenkomen.

Een browser met extensies niet toegestaan? Prima, zet de handige medewerker die toch stand-alone op een USB-stick? File sharing binnen het bedrijfsnetwerk moeilijk / onmogelijk? Binnen no time is de NAS thuis bij een medewerker de team-share. En zo zijn er tientallen zaken te bedenken die zomaar een security risk kunnen worden omdat er bij IT / SecOps niet (pro-actief) voor en met de medewerkers gewerkt wordt, maar dat er beleid wordt geïmplementeerd.

1nsane @Zarhrezz • 8 februari 2021 20:31

Exact. Het erge is dat SecOps afdelingen dan maar harder gaan schreeuwen dat security niet serieus genomen wordt en er nog net geen lijfstraffen moeten komen voor mensen die de “regels” overtreden..

Ik kan me echter ook nog de manager van die afdeling herinneren die de PO van het Office Automation team zo ongeveer de huid vol stond te schelden omdat een van hun applicaties niet werkte tijdelijk door een upgrade. Dat was namelijk “contra productief”

Daar moest ik dan ook om gniffelen.

Onlangs zijn we bij het bedrijf waar ik nu werk (start-up) ook begonnen met het optuigen van een dedicated SecOps afdeling. Gelukkig is de oprichter het met me eens dat we mensen zoeken die security op een constructieve manier benaderen. Wellicht heb je dan minder snel bepaalde gaten direct dicht maar het gaat in de nabije toekomst veel effectiever zijn.

Fosfor @Grannd • 7 februari 2021 08:00

Hiernaast toon het ook aan naar het management de belangrijkheid aan. Niet dat we dit probleem kunnen negeren en dat het belangrijk is om wel geld in beveiliging te stoppen.

Grannd @Fosfor • 7 februari 2021 08:20

Inderdaad ook een goed punt, als 40% van je organisatie in een phishingtest trapt, dan wordt het dus tijd om de portomonnee te trekken voor technische maatregelen voor als iemand toch klikt.

K-aroq @Grannd • 7 februari 2021 12:45

Denken dat technische maatregelen het oplost is vaak de typische valkuil waar ICT-ers (of eigenlijk technici in het algemeen) in vallen. Als iet zo veilig is gemaakt dat er geen fout meer doorkomt is het systeem zo inflexibel geworden dat je net zo goed iedereen kunt wegautomiseren. Je moet de juisten tussenweg vinden tussen technisch doen wat mogelijk is, maar wat ook er voor zorgt dat de situatie werkbaar blijft.

In geval van phishing zou je iets kunnen maken dat in eerste instantie filtert, maar aangezien dat nooit 100% is kan je controlestappen inbouwen voor het geval iemand een externe website gaat benaderen. Bijvoorbeeld (even heel extreem) dat het op diverse hierarchische lagen moet worden goedgekeurd. Dan krijg je best wel een waterdicht systeem maar ook totaal onwerkbaar. Of gewoon alles naar buiten blokkeren, maar dat is ook niet meer realistisch in de meeste organisaties.

PrismSub7 @K-aroq • 7 februari 2021 13:20

Als iet zo veilig is gemaakt dat er geen fout meer doorkomt is het systeem zo inflexibel geworden dat je net zo goed iedereen kunt wegautomiseren.

Dat is toch het doel van automatiseren? Als je wat besteld op amazon raakt je pakketje weinig mensenhanden aan.

sympa @K-aroq • 7 februari 2021 19:22

De organisatie zo inrichten dat er niet 5 systemen zijn zonder SSO, die allemaal een password reminder mail sturen met een link naar de inlogpagina. Omdat niemand een verzamelpagina heeft gemaakt waar al die legacy dingen veilig vanaf te bereiken zijn.
Of dat je oude TLS versies blokkeert, maar gebruikers aanleert op "doe het toch" te klikken omdat een van die intranetdingen nog op 1.1 zit.
Of je gebruikers mailt over een nieuwe VPN-cliënt die ze moeten installeren, met alle interne en externe gebruikers in de To: zichtbaar, en links naar Dropbox voor download. En als je een melding maakt aan Security, geen enkele feedback: geen "zo hoort dat niet" en ook geen "als je dat gedaan hebt, meld het dan even".
Ik weet nog steeds niet of het een phishing-test was... kan je nagaan hoe ik over IT denk.

fastedje @K-aroq • 7 februari 2021 21:40

Een goede stap zou zijn dat de IT afdeling SPF DKIM goed inregelt en deajls simpelweg niet doorlaat in het spamfilter als niet aan deze regels is voldaan.

joker1977 @fastedje • 8 februari 2021 17:54

Probleem is dat SPF en DKIM goed inregelen (bijna) helemaal niets doet voor de partij die het 'goed inregelt'.

Zolang jouw contacten niet SPF en DKIM gebruiken is het kansloos: Want dan wordt er zoveel geblokkeerd dat het onwerkbaar is. Dus om het goed te laten werken moeten 'al' jouw contacten het goed geconfigureerd hebben.

GrooV @Grannd • 8 februari 2021 00:21

Zolang grote bedrijven zelf nog gebruikmaken van aparte domeinen voor werving,loonstroken of kerstpakketten moet je het niet je werknemers kwalijk nemen als ze in een op maat gemaakte phising aanval trappen

sapphire @Grannd • 7 februari 2021 08:30

En je ziet wellicht patronen Welle afdelingen er vaker 'intrappen' en kun je je awareness campagne daar meer op aanpassen

K-aroq @sapphire • 7 februari 2021 12:48

Ik heb de resultaten bij ons op het werk gezien en die waren best wel opvallend. Bij R&D en IT werd er vaker op phishing links geklikt dan bij de administratieve afdelingen. Misschien zijn techneuten nieuwsgieriger wat er gebeurt*, en administratieve krachten veel meer procesmatig bezig waardoor alles wat daarbuiten valt "eng" is.

*) Ik heb zelf ook wel eens gekeken wat er gebeurt, maar dat doe ik dan wel vanaf een aparte PC, niet vanaf de spullen waar ik mee werk.

Andy Wachelder @sapphire • 7 februari 2021 09:50

"En je ziet wellicht patronen " Alleen oppassen dat je niet beschuldigd kunt gaan worden van "profileren"... Want dat is helemaal fnuikend voor het imago van de ICT-afdeling

FreezeXJ @Andy Wachelder • 8 februari 2021 11:09

Ach, we doen allemaal aan profileren. Ik kijk alleen voor computer-aanbiedingen op Tweakers, dus ik zie maar een deel van de markt. Mijn standaard-zoekmachine profileert (ongewenst) voor me, ik klik op basis van verwachtingen alleen bepaalde links aan, et cetera. Profileren is prima, zo lang je maar weet op basis van welke regels je profileert.

Kabouterplop01 @Grannd • 7 februari 2021 09:06

inderdaad:

"Op technisch gebied blijkt dat er hier en daar toch flink wat mogelijkheden zijn om door het netwerk te manoeuvreren, en dat wordt bij de volgende patchcycle gefikst."

Hier wordt nogal een stap overgeslagen denk ik; dat heeft niets met patchen te maken, maar meer met configuratie werk,
Wat dat betreft moet zo'n reguliere phishingtest exact dát aantonen. (de eerste test zou dit al moeten aantonen)
Het gaat er niet om wie er zakt voor de test, het gaat erom dat je de zwakheden in configuratiewerk aantoont i.c.m. "onoplettendheid". Het is die combinatie die voor een breach zorgt.
Prima zaken om bijvoorbeeld fileless malware te testen, en dan heb ik het over hoe dat door je netwerk fietst. (lateral movement) In het rapport moet dan ook komen te staan hoeveel mensen er hebben geclicked en wat potentieel de schade is die wordt aangericht, dan heb je een zinnig stukje te pakken.
Het is behoorlijk gedurfd om te zeggen dat de interne phishingtest niets meer op levert.

Finraziel

@Kabouterplop01 • 7 februari 2021 09:36

Dat was volgens mij geen claim van het artikel maar een van de uitkomsten die je ook wel had gehad zonder die mails te sturen (is wat het artikel claimt tenminste).

Overigens configuratie werk gaat hier ook gewoon met de patch cycle mee, verreweg het meeste kan (mag) niet zo eventjes tussendoor aangepast worden hoor.

Kabouterplop01 @Finraziel • 7 februari 2021 12:15

@Finraziel Ik denk dat je gelijk hebt. De claim van het artikel zijn een aantal stellingen die niet eenduidig uit elkaar te halen vallen vind ik, daarom heb ik ook die ene zin gequote.
En configuratie werk is behoorlijk wat complexer aangezien dat een change is die wellicht impact veroorzaakt op een "standaard dienst". Denk maar aan bijv Powershell limiteren, dat kan behoorlijk issues geven Een patch, -die ik zie als een onvolkomenheid in de software, alleen zou dat niet moeten veroorzaken.
(uiteraard weten we wel beter)
toffe feedback btw dank.

caipirinha @Grannd • 7 februari 2021 10:49

Een phishingcampagne is alleen effectief als het bedrijf zelf ook geen emails stuurt met klik op deze button om je password te veranderen , aan de interne enquete mee te doen of wat dan ook.
Het zou nog effectiever zijn als alle emails met dit soort buttons of gestript zouden worden of direct in de vuilnisbak terecht zouden komen.
Phishing werkt namelijk alleen maar middels emails die op echte emails lijken.

efari @caipirinha • 7 februari 2021 18:55

Zo heb ik eens ergens gewerkt (3.000 werknemers) waar de IT een mail rondstuurde met de instructies om enkele commando’s in de terminal uit te voeren...
Ik antwoordde hun dat het een super slecht idee is om eindgebruikers te laten wennen aan het idee dat terminal commando’s copypasten en uitvoeren normaal is; men antwoordde dat dit nu eenmaal nodig was...
Dan palmde ik toch even mijn face hoor...

[Reactie gewijzigd door efari op 23 juli 2024 14:22]

Blokker_1999

Beveiliging en antivirus

@Grannd • 7 februari 2021 09:24

Daarnaast gaat Tijs er van uit dat de mensen die getest worden altijd individueel een succes of faal mailtje krijgen. En ook dat is niet correct natuurlijk. De resultaten worden, zoals je aangeeft, meegenomen in de volgende campagne die je security team doet om te bepalen waar men de nadruk moet plaatsen alsook om te bepalen hoeveel tijd (en geld) men wenst te investeren in die campagne. Het ene jaar kan dat gewoon een simpele online training zijn die mensen op hun eigen tempo kunnen volgen, het andere kan het zijn dat je sessies organiseert waarbij aanwezigheid verplicht is.

En zeggen dat je het wel weet is niet genoeg. Er is een reden waarom je iets blijft herhalen en herhalen en herhalen en herhalen en herh... . Iets weten is niet voldoende, je moet er zelfs onbewust ook naar handellen, en dat doe je niet door het er eens 1 keer in te stampen.

En persoonlijk denk ik zelfs dat er niets mis is met kadoos te beloven in een valse phisingmail. Als je dat niet mag meenemen in een test, dan maak je het voor mensen met slechte bedoelingen weer eenvoudiger om wel op phishing te gaan. Ah ja, want een mail waarin zoiets beloofd wordt is al zeker geen test, dus wie weet is het wel waar.

iDennis3D @Grannd • 7 februari 2021 06:56

Helemaal mee eens.

King4589 @Grannd • 7 februari 2021 10:02

Maar je meet ook hoeveel mensen aan de bel trekken en de mail doorsturen naar ICT. En dat kan je ook weer jaarlijks benchmarken.

Hier heb je geen phishing test voor nodig, dit kan je ook met daadwerkelijke phishing campagnes. Je pakt er even de (exchange) mail log bij dan weet je zo wie het allemaal binnen hebben gekregen. Je kijkt welke links in de phishing mail zaten en wie die benaderd hebben wat je uit je proxy en of dns log kunt halen.

Zorg er wel gelijk even voor dat je die urls blokkeert.

@sypie oeps, ik dacht al dat er iets mis ging maar zag het niet...

[Reactie gewijzigd door King4589 op 23 juli 2024 14:22]

sypie @King4589 • 7 februari 2021 14:09

Er zit in ieder geval geen c in phishing, dit uiteraard geheel terzijde en offtopic.

Opperpanter2 @Grannd • 7 februari 2021 10:37

Dat doorsturen, heeft dat nut? Er komt bijna dagelijk wel een phishing mail voorbij. Je ziet ook wel eens dat mensen juist op zo'n doorgestuurde mail gaan klikken en soms zelfs hun credentials invullen.

jimshatt @Opperpanter2 • 7 februari 2021 11:09

Eh je moet de mail natuurlijk niet naar iedereen doorsturen maar naar de ict-afdeling?

Opperpanter2 @jimshatt • 7 februari 2021 11:22

uiteraard, maar dan nog. Ga je voor elke phishing mail voorbij komt dan een waarschuwing sturen? Dan blijf je bezig. Wij gebruiken het tootlje van Microsoft om een phishing mail te rapporteren in de hoop dat ze ooit zo slim worden dan die mail uit ieders mailbox te verwijderen.

SpiceWorm @Grannd • 7 februari 2021 11:01

Kan de mailserver niet gewoon alle hyperlinks omsluiten met een waarschuwing?

Of alle links in emails van een onbekend email adres ontdoen van de hyperlink zodat je hem moet knippen en plakken moet openen?

En als laatste zou het klikken op een link niet direct een security breach moeten opleveren. Zoals een drive by download.

sympa @SpiceWorm • 7 februari 2021 19:24

Ik gebruik alleen maar ultralinks. "Hyperlinks" zijn zooo Windows 95.

Anoniem: 316512 @Grannd • 8 februari 2021 13:25

Inderdaad. Was bijvoorbeeld de universiteit van Maastricht niet simpelweg (initieel) door phishing gehacked? Met wat maatwerk denk ik dat je daar echt wel meer mee tegen kan houden.

De toon die Tijs zet komt mij een beetje over als 'bofh' security medewerkers die totaal geen koppeling hebben met de rest van het bedrijf. Natuurlijk, die zullen er zijn, maar dan is dát het probleem en niet de phishing tests.

Ik ben het er wel mee eens dat rechten etc. periodiek nagekeken moeten worden. Het hoeft alleen niet direct een simulatie uit te sluiten, dat zeker niet.

hiostu 7 februari 2021 09:13

Waar ik mezelf heel erg aan stoor is het gebruik van de URLs in Outlook die de URL laten lopen via een controle mechanisme. Leuk dat het gebeurd en het doel is goed. Maar doordat de originele URL weer encoded zit in de nieuwe URL die naar de safety check gaat, kan ik als gebruiker niet meer zelf inschatten of het een veilige link is.

iDennis3D @hiostu • 7 februari 2021 10:02

Klopt, dat is altijd heel dubbel. Kiezen uit twee kwade...

Voor organisaties is het op die manier wel weer makkelijker om de oorspronkelijke URL achteraf (geautomatiseerd) te blokkeren (indien achteraf blijkt dat de URL toch malicious is).

hiostu @iDennis3D • 7 februari 2021 10:38

Ik snap het doel inderdaad heel erg goed, maar het belet mij als eindgebruiker van een controle. Aan de URL kan ik zien of het naar een legitieme website gaat. Op deze manier moet ik dus eerst zelf een URL decode gaan doen om dat te achterhalen.

Microsoft moet daar wel iets voor kunnen doen in Outlook. Zij kunnen immers de url tonen en de oorspronkelijke URL.

2cents

@hiostu • 7 februari 2021 12:22

Dat doen ze ook, mits je een recente versie van Outlook hebt.
Mogelijk dat dit alleen in de Office 365 Apps versie zit en niet in de MSI versie.

RogerDad @hiostu • 7 februari 2021 14:12

In Outlook web van Office365 krijg je bij "hoover over" netjes de orginele URL te zien, terwijl het een ATP Safe Link URL is. Ik snap de frustratie over de obfuscatie van de link, maar over de hele linie is het echt een goede security verbetering voor de organisatie. Er zijn inderdaad collega's die naar de URL keken voordat ze er op klikten, maar dat is uiteindelijk maar een fractie van de kliks. Dus in de meeste gevallen is die extra bescherming echt een meerwaarde. Ook kan je eigenlijk als je naar de ATP Safe Link kijkt toch al wel zien waar die naar toe leidt, b.v. van

hXXps://eur04.safelinks.protection.outlook.com/?url=https%3A%2F%2Fclick.email.sans.org%2F...

zie je meteen dat die naar sans.org leidt. Er zijn nog een aantal grote voordelen van ATP safelinks, ik kan nl. bepaalde domeinen die veel voor phishing gebruikt worden (weebly.com, wixsite.com, s.id) volledig blacklisten. Dus zelfs als Microsoft ze mist, dan nog komt een klik niet uit op de phishing site. Natuurlijk gaat dit ook wel eens ten koste van legitieme sites, maar dit zijn maar zelden bedrijfsmatige sites. Een ander voordeel is dat ik kan terugkijken of er op een URL geklikt is, dus als iets achteraf phishy blijkt (of malware) kan ik nog steeds terug om te checken wie er op geklikt heeft.
Je zie dat de bad guys ook steeds meer inspelen op deze bescherming, door links te gebruiken in HTML of pdf bijlages; of zoals recent, als QR code in de mail te presenteren die je dan weer met je smartphone zou moeten scannen. 't Blijft een rat-race.

Jorn1986 @hiostu • 7 februari 2021 12:25

Ik zit daarnaast ook meteen te denken aan bedrijven die van die verkorte linkjes gebruiken: je weet niet van tevoren of deze juist verwijzen naar een "echte" pagina. Ook dat zie ik liever niet en liever wel de volledige link waarbij het domein ook te verifiëren is.

rikster

7 februari 2021 07:58

Er zitten m.i. een aantal fundamentele fouten in de meeste phishing tests:

Meten is weten, maar weet je wel wat je meet? In veel gevallen niet. Is iemand even te druk om op te letten? Is iemand altijd onbekwaam? Is je 'test' wel een test als je niet een hele batterij aan verschillende mailtjes rondstuurt (iedereen heeft immers mogelijk verschillende valkuilen)? Heb je je test wel 'dubbel blind' uitgevoerd? Etc., etc.
Is de test wel ethisch verantwoord? Heb je van te voren nagedacht over de consequenties die je aan de uitkomsten koppelt? Is dat afgestemd met je OR ( c.q. Dienstraad)? Heb je (hebben jullie) nagedacht over de weging die je aan de uitkomsten per individu hecht NB! Is het erger dat de baas ergens in tuint (die vaak veel 'mag' (iets dat ik uit den boze vind, maar het komt nu eenmaal voor dat bazen 'voor hun gemak' 'alles' mogen; vergeet zijn/haar secretaresse(s) dan ook niet, want die mag 'even veel ') dan de controller? Heb je zelf de test(s) eigenlijk wel eens ondergaan? (Ik ken heel goedgelovige ICT- ers...)
Heb jij zelf je zaken wel op orde? Hoe lang staan 'vertrokken medewerkers' nog in je gebruikersdatabases? Gebruik jij nooit het 'admin'-account oneigenlijk? Etc., etc.

Als je blind bent voor je eigen valkuilen (zowel methodologisch als werkgerelateerd) en jezelf niet onderwerpt aan dezelfde discipline, hoe wil je dan ooit je collega's overtuigen?

Maar het allerbelangrijkste: Is dit wel de meest efficiënte inzet van middelen om 'veiligheidsbewustzijn' te verbeteren? Kun je niet beter eens met de stofkam (zie 'de baas') door je access-rights gaan? Kun je niet beter tijdens je functioneringsgesprek de baas vragen om de macht om hem/haar tegen te spreken als het over 'beveiliging' gaat? Of om hem/haar 'in te perken'? Om te vragen om een externe 'audit' van het beveiligingsniveau? Om hem/haar 'mede verantwoordelijk te maken' voor het beveiligingsbeleid (lees: de poen te fourneren om het goed aan te pakken)?

Uiteindelijk staat en valt ICT-beveiliging hiermee: Is de omgeving veilig genoeg om fouten te kunnen toegeven? Als er een 'afrekenecultuur' binnen je organisatie bestaat zullen mensen hun fouten altijd verdoezelen (en als niet dan doen ze dat 'soms', want niets menselijks is hen (en ons) vreemd, want schaamte is een gewone menselijke emotie). Leer de lessen uit wat in de luchtvaart CRM (Cockpit Resource Management) heet, zodat 'fouten' gewoon benoemd worden en er (mede daardoor) lessen getrokken kunnen worden.

Maar bovenal: Weest nederig! We maken allemaal fouten. Dus probeer niet de slimste te zijn, met je testje. Want dat is wat dit soort tests (te vaak) is.

Orangelights23 @rikster • 7 februari 2021 08:17

Vergeet niet dat dit soort tests breder zijn dan alleen ict, ook financiële fraude komt veelal voor.

Daarnaast wil ik reageren op een van jouw argumenten, waarin iemand misschien even te druk was om goed op te letten. Dit is juist waarom phishing zo veelvoudig voorkomt: mensen letten niet altijd op bij ‘vreemde’ of ‘ongebruikelijke’ mails. Dit is de reden waarom ik enorm veel gevolgen van phishing heb meegemaakt: mensen letten niet op. Daarnaast zijn de resultaten niet op zichzelfstaand: je doet aanvullend onderzoek.

Overigens vind ik je andere argumenten kant noch wal slaan, zeker als je schrijft of men zelf wel security op orde heeft. Het voelt meer alsof je een slechte band met security hebt, of ben je meerdere malen in phishingtests getrapt?

rikster

@Orangelights23 • 7 februari 2021 10:35

'Mensen letten niet op'. Dat klopt als een zwerende vinger, alleen: helpt de test daartegen? Of is het zo dat bij het volgende moment de geleerde les alweer even zo ver op de achtergrond is geraakt dat de fout alweer gemaakt is? Daar hebben psychologen leuke tests voor ontwikkeld. Vallen die onder jouw 'aanvullend onderzoek'?
Vergelijk b.v. de luchtvaartindustrie: daar is de veiligheid enorm toegenomen, maar de gevallen waarin exact dezelfde fout toch nog een keer gemaakt wordt zijn ook bekend genoeg. Het is mensenwerk!!! en niemand is onfeilbaar. De truc is om de (statistische) kans klein(-er) te maken dat er iets mis gaat zelfs als er een fout gemaakt wordt. Containment, zo u wil.

Dat mijn argumenten kant nog wal slaan mag je gerust vinden. Maar nee, ik heb geen slechte ervaringen met I(C)T en Security-management. Sterker nog: ik was er jaren (mede- en de facto eind-)verantwoordelijk voor in een nogal grote organisatie ( > 30.000 accounts) en man, wat moest ik er ieder jaar weer (soms vruchteloos, maar gun me de frustratie

) voor knokken!

De eerlijkheid gebiedt me ook om te vermelden dat ik al ergens in 1991 (1 april...we hadden toen al e-mail) een vergelijkbaar soort test (al was het toen meer bedoeld als 'prank') uitvoerde (en toen beheerde ik gewoon nog een heel netwerk met wel ca. 35-40 accounts, toch net even wat anders), iets waar ik achteraf niet helemaal met onversneden blijdschap op terugkijk, want niet iedereen zag de grap er van in en terecht.

Ik zal dan ook maar niet onvermeld laten dat ik ooit een commando precies verkeerd om uitvoerde en afbrak waardoor ik een hele mail-database (inmiddels was ik 'opgeklommen' naar ca. 800 accounts) m.o.m. weggooide (laten we het er op houden dat hij inconsistent geworden was). Even mijn eigen regels vergeten (security is meer dan alleen maar dingen 'van buiten'). Gelukkig was dat in een vakantieperiode toen niemand het nog in zijn hoofd haalde om vanuit huis zijn mail te controleren als hij/zij vrij was (lang geleden dus). Ik heb 'ongezien' de database terug kunnen zetten van de backup. Mazzel, noem ik dat, want die was er (dat die backup er was was natuurlijk juist voorzien voor dit soort gevallen) en hij was ook nog eens leesbaar (minder voor de hand liggend dan je zou denken, met de tapes van toen). Ik heb het mijn collega's wel meteen (op 2 januari, als ik het me goed herinner) verteld, want anders leer je er niks van. En zij ook niet. Goed voorbeeld doet goed volgen, hoop je.

Ik ben dus niet onfeilbaar, zelfs niet als ik nog nooit in een phishing-mailtje ben getrapt, want dat is zo itt. wat je vermoedt. Hier in huis kunnen we bewonderend kijken naar de nieuwste phishing-mails, want ze zitten psychologisch tegenwoordig vaak heel slim in elkaar zowel inhoudelijk, als qua beeldtaal.

Lessen m.b.t. security-management uit andere sectoren (luchtvaart, (petro-)chemie, de door jouw genoemde financiële instituties en -medewerkers, etc.) wijzen er steeds weer op dat het vooral 'culturele noodzaak' is om een 'open security mindset' te verkrijgen. Dat mag je gerust onzin vinden, maar ik denk dat je dan heel veel mist.
Het is ontzettend belangrijk om management er van te doordringen dat goed 'veiligheids-beleid' geld kost en dat de 'Return On Investment' (ROI, want tegenwoordig is alles Denglish ) mogelijk miniem of zelfs 0 (nul) is.
'Maar heb jij je huis/inboedel dan niet verzekerd?' is de geheide vraag, aan je baas of als je die zelf bent aan jezelf. Een goed beveiligingsplan (dat heb je toch wel?) vermeldt dan ook wel wat de potentiële schade is die men oploopt als het 'effe niet helemaal goed is gegaan'. Ook het afgelopen jaar waren er weer voorbeelden te over hoe kostbaar het kan worden, al vertellen ze je dat meestal niet (Schaamte is ook heel menselijk).

De dingen die ik noem zijn bedoeld om je er van te overtuigen dat het 'testen van' (iets) veel meer is dan een 'listig' mailtje rondsturen en wat vervolgonderzoek (dat laatste is een soort 'blussen als de brand al is uitgebroken', niet het voorkomen van brand. Nuttig, daar niet van, maar wel wat laat). Je wilt zoiets 'Methodisch' (zoals onze oosterburen dat noemen) aanpakken. Dus de juiste methodieken, de juiste middelen en de juiste gevolgtrekkingen. Daar zijn regels voor, ook uit andere vakgebieden (denk aan b.v. geneeskunde, (medische) statistiek, etc.). Die regels zijn er niet voor niets, te beginnen om een vals gevoel van zekerheid om zeep te helpen. Is een phishing mailtje een nuttig middel? Dat kan best, maar doe het dan goed en niet op de manier zoals in het artikel beschreven. De controller in je bedrijf of instelling heeft (als het goed is) heel andere (netwerk-)rechten dan de voorraadbeheerder, bij wijze van spreken, en moet dus ook een heel ander mailtje krijgen om zijn/haar 'awareness' te testen. En dat is dan nog maar één stap(je). Laat vooral ook jezelf (door iemand anders dus) testen! IT'ers zijn vaak blind voor hun eigen 'gemakzucht'.

Ik zeg het zo vaak: het is de moeite om iets (zo) goed (mogelijk) uit te voeren, want anders kun je het net zo goed nalaten. Dat 'goed doen' kost denkkracht, tijd (c.q. inspanning) en geld.

Ja-Ja-Ja-Ja-Ja @rikster • 7 februari 2021 11:41

'Mensen letten niet op'. Dat klopt als een zwerende vinger, alleen: helpt de test daartegen?

Van wat ik zie bij onze phishingtest: ja. Te zien naar de andere reacties hier, is ons bedrijf duidelijk niet de enige plek waar dat zo is.

Het moet allemaal niet perfect zijn, de bedoeling is het ridico te reduceren. En daar slagen dit soort tests in: dat heeft de praktijk uitgewezen.

rikster

@Ja-Ja-Ja-Ja-Ja • 7 februari 2021 12:51

Voor zo'n uitspraak zou je het moeten kunnen vergelijken met een bedrijf waar ze een andere methode gebruiken om de beveiliging te toetsen, of zelfs niet toetsen. Heb je die ook? 'Anekdotisch bewijs' is nu eenmaal geen bewijs, maar 'gevoel'. Niks mis mee, maar het is gevoel. Dat noem ik geen 'meten'.
Zoals ik al zei: het phishing-mailtje-testgebeuren kan best een functie hebben, maar dan op de juiste manier uitgevoerd en netjes, niet zo uit de losse pols. Want de kans is levensgroot dat je dan alleen maar 'schijnzekerheid' creëert.

Maar jullie moeten het zelf weten hoor, het is mijn brood niet meer! Ik heb nu gewoon een 'twee ZZP'ers' bedrijven situatie, die kunnen al lastig genoeg zijn, in sommige branches (de onze wel iig.).

iDennis3D 7 februari 2021 06:34

Ben ik niet mee eens.

Bij ons is meer dan 70% Credential Phishing en gaat helemaal niet over software kwetsbaarheden. Met dit soort tests heb je de gelegenheid om Phishing te laten ervaren.

1 Phishing Test is veel effectiever dan 100x uitleggen dat men moet “opletten”. We moeten juist af van de onzin dat we denken dat lappen tekst of eLearning training “echt” werken tegen Phishing. Maakt het juist praktisch.

Waar ik het wel mee eens ben, is dat je er vanuit moet gaan dat er altijd mensen zullen zijn die er in trappen. Neem deze gedachten mee in je totale set aan maatregelen.

Wissel je tests wel af, niet alleen mail maar juist focus op SMS,Vishing of via WhatsApp, geeft inzicht in wat er wel of niet kan.

Het gaat niet over het feit “of” je een test doet, maar “hoe” je een test doet. De standaard DHL Phishing mails/test hebben geen enkele zin idd, maar spoof eens een bekend domein zonder DMARC(de meeste mensen weten echt dat je gewoon mail kunt versturen vanuit domeinen zonder de juiste anti-spoofing maatregelen - of dat je een telefoonnummer makkelijk kunt spoofen)

Je hebt allemaal wel een paar klant- of leveranciers domeinen zonder goede anti spoofing maatregelen, probeer die mee te nemen in je tests.

Verder lijkt dit een artikel van een techneut zonder psychologische achtergrond.

[Reactie gewijzigd door iDennis3D op 23 juli 2024 14:22]

Pep7777 @iDennis3D • 7 februari 2021 06:46

Of het artikel echt onzin is laat ik in het midden, het benadert phishing mail vanuit een "andere kant" zeg maar.

Ik ben het wel met je eens, testen heeft wel zin.
Ook al leer je als IT afdeling misschien niet zo heel veel nieuws meer.

De reden in dit artikel lijkt te zijn : Gebruikers vinden het maar irritant.
Volgens deze redenatie zouden we ook niet meer aan passwords moeten doen,
en het veranderen van je password al helemaal moeten afschaffen.
Helaas is security (awareness) nu eenmaal belangrijk als je op een netwerk zit.

Volgens mij valt die irritatie wel mee en is de potentiele schade door een misklik juist enorm.
Dus die belangen vallen zo tegen elkaar weg.

Regelmatig testen houd mensen mijn inziens wel wat scherper.
En als manager zou je juist de mensen in je groep erop moeten kunnen aanspreken als dingen nog wat beter kunnen. Als is het maar in een groeps vergadering : Onze groep doet het nog niet zo goed zeg maar.

Het geeft IT inzicht in waar de zwakste schakels zitten (bijv mensen die er keer op keer "intrappen"), die zou ik zelf toch graag een paar weken van de e-mail afhalen.

Morrar @Pep7777 • 7 februari 2021 08:10

Belangrijk is denk ik vooral hoe je achteraf communiceert over de test. Security heeft in algemene zin vaak de neiging morele superioriteit / "wij doen nooit wat fout" uit te stralen. Lekker voorschrijven wat anderen moeten doen en overigens vaak zelf allerlei uitzonderingen hebbende op beperkende veiligheidsmaatregelen...

Het zou al helpen als iemand die erin trapt niet belerend wordt weggezet als faalhaas. Maar gewoon een vriendelijk bericht; dit keer ben je erin getrapt, kan iedereen een keer gebeuren, je zou ons enorm helpen als je , y en z doet. Security moeten we samen doen, bedankt dat je mee wilt werken.

En een compliment voor de mensen die er niet in stonken; beetje positieve feedback wordt ook vaak vergeten.. Heck breng er een gamification element in.

Wat dat betreft denk ik dat vooral de communicatie rond security echt nog een heel stuk beter kan. Veel minder belerend en meer betrokken.

Pep7777 @Morrar • 7 februari 2021 08:50

Je hebt gelijk wat betreft jezelf als IT moreel superieur wegzetten. Dat is niet OK en gaat niet helpen.

Wat betreft die positieve feedback mailtjes die krijg ik wel. Zelfs kans op prijsjes.
Maar dat is voor mij dan weer niet de grootste drijfveer. Ik vind vooral het blijven leren leuk.

Het is volgens mij vooral een kwestie van goed voor jezelf, je (werk)omgeving en je werkgever zorgen.

99% van de spam/fishing mails er al uit gehaald wordt voordat die onze mailbox bereikt. Mailtjes van onbekende afzenders die er wel doorkomen zijn vaak ook nog of ingepakt in een indirectie mail (weet je zeker dat je deze mail wilt ontvangen?). Dus een geautomatiseerd deel heeft ook nog heel veel zin

Daoka @Morrar • 7 februari 2021 09:10

Ik ben het zeker met je eens dat ze aan de schandpaal hoeven. Maar persoonlijk krijg ik bij

dit keer ben je erin getrapt, kan iedereen een keer gebeuren, je zou ons enorm helpen als je , y en z doet. Security moeten we samen doen, bedankt dat je mee wilt werken.

een beetje het gevoel dat je iemand onbedoeld kleineert. Alsof je een kind wil corrigeren die niet wst dat die iets fout deed. Maar misschien ligt het aan mij hoor. Misschien zou zoiets als de aantal mensen/percentage erbij zetten die er ook ingetrapt zijn dat men het gevoel heeft van gelukkig was ik niet de enigste maar het is dus wel een serieuze mogelijke probleem. En een paar linkjes naar een bekende algemene site zoals nu.nl waar ze een artikel hebben van een ander bedrijf die problemen hadden en de gevolgen ervan. Zoals account gehackt, ransomware met betalen, ransomware zonder betalen waar de data online gezet is. Dan zijn de gevolgen niet alleen maar woorden.

FilipSP @Daoka • 7 februari 2021 11:47

Hoezo kleineert ?

Je kunt in je communicatie achteraf best wat zalvende woorden spreken, maar elkaar aanspreken op de werkvloer (ook cross-disciplinair) is essentieel.

Ik kom regelmatig, als buitenstaander, over de vloer bij bedrijven, ook op productielocaties en het is mij meer dan eens gebeurd dat ik aangesproken werd op het niet juist hanteren van veiligheidseisen, looplijnen of met het openen van een deur (die afgesloten had moeten zijn) een alarm in werking zette. Natuurlijk voel je je dan even lullig, maar lang zo lullig niet als dat er daadwerkelijk iets gebeurd, zoals je systeem dagenlang uit de lucht halen vanwege ransomware. Scherp zijn op elkaar of het nou gaat om veiligheid, ICT of finance is belangrijk.

Daoka @FilipSP • 7 februari 2021 21:58

Zoals ik zei misschien ligt het aan mij. En misschien omdat ik in het echte leven zo onzeker ben en dat men bang is om me mentaal kapot te maken dat ik het gevoel heb dat ik in geval van fouten "anders" behandeld wordt als andere. Het had iedereen kunnen overkomen geeft bij mij in sommige gevallen het gevoel van "Er is een kans dat andere mensen die fout maken (maar eigenlijk is het zo logisch voor andere dat ze deze fout bijna niet zouden maken) en jij was zo dom om die fout echt te maken". Of dat je even een domme fout gemaakt die je eigenlijk normaal niet zou maken en mensen gaan dan alles benoemen wat kan doen doen om te voorkomen dat je het niet weer doet terwijl je het eigenlijk al weet. Dan geeft het mij dan het gevoel alsof je nog even extra op de wond drukt.

Door de percentages / aantal mensen erbij te zetten (of situaties waar men echt een vergelijkbare fout heeft gemaakt/je ben niet de eerste die dit fout doet) dan geeft het mij een gevoel van oke ik heb een fout gemaakt maar de fout is ieder geval niet zo onlogisch dat ik me dom hoeft te voelen.

Zoals de situaties die jij beschrijft als buitenstaander kan je inderdaad niet alles weten, vooral niet bedrijfs specifieke dingen. Dan voelt het al anders als iemand zegt het had iedereen (die niet in het bedrijf werkt) kunnen overkomen.

Maar nogmaals misschien ligt het echt alleen aan mij.

FilipSP @Daoka • 8 februari 2021 01:04

Sorry, het was niet lullig bedoeld. Ik denk niet dat jij er bent als ik simpel zeg: " trek het je niet zo aan", maar uit je reactie valt op te maken dat jij best nog wel wat professionele uitdagingen voor de boeg hebt.

Mijn punt was echter dat scherp blijven op elkaar juist voorkomt dat een stomme fout of een moment van onachtzaamheid echt serieuze consequenties heeft. Soms moet dat direct, maar wel altijd met respect.

Ik bedoel het dan ook met het volste respect dat als deze dingen zo enorm aan je knagen er binnen (grotere) organisaties vaak mensen zijn die je met die onzekerheid kunnen helpen. Bedenk ook dat die stress soms lastig is, maar dat de echte stupiditeiten vooral voortkomen uit misplaatste overmoed.

Daoka @FilipSP • 8 februari 2021 01:16

Ik bedoelde het ook niet dat ik me nu aangevallen/beledigd voelde door je. Ik bedoelde mijn berichten meer in de zin van dat zulke woorden soms ook verkeerd opgevat kunnen worden. Dit is meer hoe het voelt als mensen dit tegen me zeggen in bepaalde situaties. En ik verwacht ook niet dat ik de enigste onzekere persoon zal zijn die zo zal denken. Daarom gaf ik ook de idee van statistieken of voorbeelden erbij dat het minder persoonlijk/zwaar kan voelen.

En ja ik heb inderdaad nog een hoop dingen te overwinnen.

FilipSP @Daoka • 8 februari 2021 19:55

Succes daarmee, komt vast goed. Immers erkenning is de eerste stap naar verbetering.

Qoine @Morrar • 7 februari 2021 10:39

De communicatie kan zeker beter. Een van de problemen met de huidige communicatie is dat de mensen die de phishing test opzetten alleen de mensen die klikken interessant vinden. Die krijgen een extra berichtje of een training aangeboden, terwijl de mensen die niet klikken in veel gevallen worden genegeerd. Het is niet dat als je niet hebt geklikt, dat je dan doorhad dat het een phishingmail was, er kunnen allerlei andere redenen zijn waarom niet werd geklikt. Gezien de voorbeelden in het artikel: misschien heeft iemand geen interesse in een kerstpakket, of kijken ze later wel naar die bonus. Of iemand anders heeft inmiddels geklikt en verteld dat ze erin zijn getrapt, waardoor de collega’s gewaarschuwd zijn. Er wordt nog teveel gedacht in zwart-wit: óf je klikt altijd op phishing e-mails, óf je doet dat nooit.

Jeroenneman @Pep7777 • 7 februari 2021 08:49

en het veranderen van je password al helemaal moeten afschaffen.
Dit is toch allang bekend? Beter één sterk wachtwoord, dan om de drie maanden een flut wachtwoord.

Blokker_1999

Beveiliging en antivirus

@Jeroenneman • 7 februari 2021 09:25

Dat zal spijtig genoeg nog heel wat jaren duren. En ik denk dat we sneller over zijn op andere authenticatievormen dan dat we van wachtwoorden af geraken.

Pep7777 @Jeroenneman • 7 februari 2021 08:51

Klopt ik zat even in sarcasme mode.
Is trouwens bij waar ik werk ook zo, als je wachtwoord sterk genoeg is hoef je het idd niet meer te veranderen.

CEx @Pep7777 • 7 februari 2021 10:41

Het gaat helemaal niet over de sterkte. Het gaat neveneffecten van password sharing tegen. En ja dat gebeurt nog steeds, met name voor systemen zonder SSO.

CAPSLOCK2000

Beveiliging en antivirus
Phishing

@Pep7777 • 7 februari 2021 13:27

De reden in dit artikel lijkt te zijn : Gebruikers vinden het maar irritant.
Volgens deze redenatie zouden we ook niet meer aan passwords moeten doen,
en het veranderen van je password al helemaal moeten afschaffen.

En toch is die irritatie wel iets om rekening mee te houden. Mensen vechten nu eenmaal tegen irritatie.
Het vooraanstaande Amerikaanse National Institute of Standards and Technology (NIST) adviseert tegenwoordig tegen het periodiek veranderen van wachtwoorden. De irritatie van het veranderen resulteert in slechte wachtwoorden en dat is het niet waard. Als je meer veiligheid nodig hebt kun je beter andere middelen inzetten zoals MFA.
https://grahamcluley.com/...eriodic-password-changes/

Ik ben zelf een voorstander van het grotendeels afschaffen van ingewikkelde wachtwoorden als belangrijkste authenticatiemiddel. Ik denk dat een hardware token (zoals een yubikey) in de meeste gevallen beter werkt. Zo'n ding kun je grotendeels behandelen als je huissleutel, insteken, draaien/klikken, klaar. De meeste mensen houden hun huissleutel jarenlang veilig en zonder irritatie.

Mijn punt is vooral dat we rekening moeten houden met die irritatie, want ontkennen in contra-productief.

Volgens mij valt die irritatie wel mee en is de potentiele schade door een misklik juist enorm.
Dus die belangen vallen zo tegen elkaar weg.

Dat ben ik op zich met je eens, maar bij het uitvoeren van zo'n test kan je wel proberen rekening te houden met hoe de deelnemers het ervaren. Je kan misschien beter de goeden belonen dan de slechten voor paal zetten.

Het geeft IT inzicht in waar de zwakste schakels zitten (bijv mensen die er keer op keer "intrappen"), die zou ik zelf toch graag een paar weken van de e-mail afhalen.

Maar dat gaat niet gebeuren, zonder e-mail kunnen mensen niet werken en dat gaat geen enkele manager accepteren. Daarom denk ik dat Tijs wel een punt heeft en dat we verder dan mensen moeten kijken en ook het hele systeem beoordelen. Maar ik denk wel dat echt testen daar een rol in speelt.

Pep7777 @CAPSLOCK2000 • 7 februari 2021 14:00

Goed punt, als je het zonder irritatie kan oplossen prima.

Mensen sluiten nu eenmaal de deur omdat ze anders hun eigen spullen kwijt zijn en/of
de verzekering betaald niet uit bij braak.
Dus nog beter zou zijn als mensen iets uit intrinsieke motivatie zouden doen.

Ik zat nog wel te denken: Misschien moet je mensen een keer laten "schrikken".
Als ze op een test mail een link klikken doet alsof hun hele PC door ransomeware gelocked word.
Belletje naar IT voor unlock. Antwoord deze keer was het een oefening maar zo snel kan het dus gaan.
U kan nu verder met werken.

jjeggink

@Pep7777 • 7 februari 2021 16:00

De helft van mijn collega's zou dan de laptop dichtklappen en naar huis gaan, ict-beheer vanuit de auto bellen.

CAPSLOCK2000

Beveiliging en antivirus
Phishing

@jjeggink • 8 februari 2021 18:12

De helft van mijn collega's zou dan de laptop dichtklappen en naar huis gaan, ict-beheer vanuit de auto bellen.

Als de relatie met je personeel zo slecht is dat ze iedere kans aangrijpen om hun werk niet te hoeven doen dan heb je een groter probleem dat alleen door een goede personeelschef kan worden opgelost.
Niettemin ben ik geen voorstander van moedwillig systemen blokkeren zodat mensen niet kunnen werken alleen om ze een keer te laten schrikken. Je weet nooit wie er net in een crisis zit die dat er niet bij kan hebben en/of wanneer zo iets fout gaat.
--
Casper Gielen

jjeggink

@CAPSLOCK2000 • 8 februari 2021 20:28

Nou weet ik ook zeker dat verreweg de meeste makkelijk hun veertig verplichte uurtjes per week wel halen. Dat is het hem nu juist. Die computer is gewoon een tool, en die moet het dus gewoon doen. Zo niet, ICT-beheer regelt het maar en tot die tijd kan ik mijn tijd wel beter besteden is vaak de houding. Tuurlijk, je hebt je verantwoordelijkheid voor de je aangereikte gereedschappen. Voorzichtig met de koffie, voorzichtig met de mails die je opent. @Pep7777 Maar mensen moedwillig 'laten schrikken' zal zeker een averechts effect hebben bij veel mensen.

Anoniem: 1322 @Pep7777 • 7 februari 2021 09:47

Volgens deze redenatie zouden we ook niet meer aan passwords moeten doen,
en het veranderen van je password al helemaal moeten afschaffen

Je weet dat we daar inderdaad heel druk mee bezig zijn via MFA en FIDO tokens?
Bij Microsoft is passwordless logon tevens al jaren de standaard?

Het probleem hier is dat men waarschijnlijk het slachtoffer is van slechte begeleiding of slechte testen. Men moet mensen aanmoedigen en niet straffen. Als jij een taart stuurt naar iedere afdeling die zaken netjes gemeld heeft of een lage klik score heeft, dan zul je zien dat gebruikers de volgende keer extra opletten.

Waarschijnlijk is het dus gewoon de frustratie van de auteur over een Persgroep faal.

Helsie @iDennis3D • 7 februari 2021 06:48

Helemaal eens. Juist als je denkt 'ik weet dit wel', is de psychologie van 'oeps, desondanks trap ik er wel in' enorm belangrijk. Natuurlijk kun je de test ook gebruiken om meer technisch inzicht te verkrijgen en ook op dat vlak de weerbaarheid te verbeteren. Het inzetten op shamen is echt wel te voorkomen door vooraf na te denken over de toon van evaluatie/terugkoppeling. Dus ik zeg ook 'lekker doorgaan met testen'!

Nystran @Helsie • 7 februari 2021 10:30

Ik ben vaardig in phishing herkennen, maar als ik een mail van mijn baas krijg met "kan je iets voor me doen? Groetjes, Johan" dan is dat conform verwachting (ik verwachtte een mail van hem) en antwoord ik gewoon.

10 seconden na het versturen: k*t asdf2432341@gmail.com is niet het email adres van mijn baas. Sindsdien is de overtuiging: aandacht voor phishing is goed, maar iedereen kan er een keertje in tuinen.

Sowieso is het publiekelijk shamen niet goed, als je per sé een mailtje wilt rondsturen, vertel dan dat xxx een phishingmailtje was, en eventueel wat de resultaten waren. Wat bij onze organisatie veel beter werkte: een wedstrijd wie de mooiste Phishingmail kon ontwerpen, winnaars kwamen bij de koffieautomaat te hangen.

Anoniem: 1302638 @iDennis3D • 7 februari 2021 06:40

We moeten juist af van de onzin dat we denken dat lappen tekst of eLearning training “echt” werken tegen Phishing. Maakt het juist praktisch.

En daarvan zegt Tijs:

Een phishingtest toont dan ook niets aan dat nog niet bekend was. En het slachtoffer leert na het falen van een test iets dat hij eigenlijk al lang wist, maar zich even niet herinnerde. [..] De andere optie is niets doen en hopen dat de boodschap en de les spontaan al zijn overgekomen. Aangezien iedereen met een pc thuis niet alleen op haar of zijn werk, maar ook privé al die phishinglessen al honderden keren heeft geleerd, heeft ook dat niet heel veel zin. De les blijft na deze test heus niet ineens wél hangen.

Wilde ik alleen nog zeggen:

Verder gewoon een onzin artikel van een techneut zonder psychologische achtergrond. Praat geen onzin aub.

Doe niet zo onvolwassen ajb.

iDennis3D @Anoniem: 1302638 • 7 februari 2021 06:48

Eens, ik heb de toon aangepast. Excuses

Ik liet mij even meeslepen in het gevaar van de titel. Dit soort headlines is weer voer voor budgethouders zonder enige kennis om NIET te investeren in Phishingtets.

[Reactie gewijzigd door iDennis3D op 23 juli 2024 14:22]

Pep7777 7 februari 2021 06:32

Als ik naar mezelf kijk vind ik het eigenlijk altijd wel leuk om ze te spotten.
Ik ben redelijk security bewust, en ik pik ze er meestal ook prima uit.
Wat ik vooral interessant vind te merken is dat ze en heel verschillend kunnen zijn,
en dat er toch wel mailtjes tussen zitten waar je een klik-neiging van krijgt
totdat je de waar gaat deze link nu eigenlijk heen check doet.

Maar over het algemeen is het toch zo, is het een mailtje van een afzender
waar je geen mail van verwacht dan is het waarschijnlijk spam.

Hoe dan ook tijd voor een ander e-mail systeem/protocol.
Maar dat lijkt maar niet te willen doorbreken

(Edit:)
Ik bedenk me net dat regelmatig testen ook goed is om mensen bewust te laten worden van nieuwe phishing strategieen. Er worden soms echt creatieve (in negatieve zin) manieren bedacht om je te verleiden toch te klikken

[Reactie gewijzigd door Pep7777 op 23 juli 2024 14:22]

Blokker_1999

Beveiliging en antivirus

@Pep7777 • 7 februari 2021 09:35

Het probleem is dat je het verschil niet ziet tussen een phishingmail en een testmail.

Pep7777 @Blokker_1999 • 7 februari 2021 10:19

Ehr, is dat nu juist niet de bedoeling?

Reactie hoort hetzelfde te zijn:
- Niet op klikken
- Raporteren
- Deleten

Blokker_1999

Beveiliging en antivirus

@Pep7777 • 7 februari 2021 10:36

Als ik naar mezelf kijk vind ik het eigenlijk altijd wel leuk om ze te spotten.

Hangt natuurlijk van je definitie van "ze" af, ik dacht dat je refereerde naar de test mails

SPee @Pep7777 • 7 februari 2021 13:29

Ik ben 1 keer in een phising mail getrapt.

Die ging over je mailbox die vol zat.
Dus ben ik mijn mailbox gaan schonen

Pas later kwam ik erachter dat ik dat niet had hoeven doen, want zoveel ruimte had onze mailbox uberhaupt niet. Waarom zou je op links moeten klikken om je mailbox te schonen?

Daoka @SPee • 8 februari 2021 01:24

Waarom zou je op links moeten klikken om je mailbox te schonen?

Tegenwoordig zal het niet zo gauw gebeuren een rede zou kunnen zijn is dat je mail op pop3 ingesteld staat. Omdat je ze dan niet van de server wist kan de mailbox dus vollopen. Als mensen dan niet weten hoe ze op de webmail kunnen komen kan een linkje naar de webmail wel helpen.

Uiteraard zijn tegenwoordig de meeste mailboxen wel groot genoeg dat het niet gauw kan gebeuren en worden telefoons vaak genoeg automatisch wel op imap gezet.

m00d 7 februari 2021 08:09

Ik vind het een beetje een erg melodramatisch betoog voor zoiets kleins. Met dit soort argumenten kun je ook net zo goed de jaarlijkse brandtest in scholen en bedrijven afschaffen, omdat het meer hinderlijk is dan helpt.

Ik heb niet het idee dat mensen zo'n jaarlijks mailtje echt als verschrikkelijk ervaren en dat medewerkers sowieso wel een manier vinden om boos te zijn op security, want meestal zijn ze boos om blame te kunnen verschuiven.

jpfx @m00d • 7 februari 2021 08:32

Eens. En aangezien in bijna elk bedrijf phishing mails sowieso meerdere keren per jaar binnen komen, is er niets mis met zo'n test.

Shaming is alleen een probleem wanneer je bewust met de resultaten te koop loopt en en de nieuwsbrief gaat melden dat Jantje en Pietje er in zijn getrapt. Dat werkt uiteraard contra productief.

Blokker_1999

Beveiliging en antivirus

@m00d • 7 februari 2021 09:33

Een column wordt vaak geschreven aan de hand van wat de autheur ervan recent heeft bezig gehouden. Ik vraag me dan ook af of er ofwel binnen Tweakers/DPG recent zo een test is geweest en Tijs mogelijks zelfs gefaald heeft danwel of iemand in zijn directe omgeving het heeft meegemaakt.

Recent stond onder een ander artikel hier nog door een andere redacteur dat de meeste mensen op de redactie geen technische achtergrond hebben maar een achtergrond in journalistiek en dus vraag ik mij ook af: welke achtergrond heeft Tijs? Hij heeft recht op zijn mening, maar op een techsite zou hij die toch ook moeten kunnen onderbouwen. Ik zie evenwel een column zonder enige verwijzing.

Het is de tweede column dit jaar waarbij er blijkbaar voor gekozen wordt om gewoon een rant op te zetten tegen iets dat de autheur zelf niet aanstaat. Opnnieuw iets dat beter op tweakblogs past dan een redactioneel artikel te zijn. En dat vind ik dan weer spijtig. Want dit heeft geen meerwaarde voor premium plus.

MaffeMaarten @m00d • 8 februari 2021 08:49

Ik vind ze altijd wel stom. Maar dat ligt ook een beetje aan het aantal en de manier dat we ze kregen op een bepaald moment. Totaan : je heb een e-card die je vrolijk pasen wenst, klik hier. Ze komen ook altijd bij iedereen tegelijkertijd aan, dus als je een beetje met je collega's praat weet je ook snel genoeg wat er aan de hand is.

Ik zie net dat ik er afgelopen half jaar weer twee heb gehad. Gelukkig heb ik daar geen last van gehad:

Apply this rule after the message arrives
with mail.phishme.co.uk in the message header
move it to the fake phishing folder
and mark as read

Orangelights23 7 februari 2021 08:10

Ex-security consultant hier. Compleet mee oneens. Interne test laten perfect zien wie training nodig heeft. Ook laat het zien wie juist voldoende is getraind/bewust is.

Elk volwassen securityprogramma moet meetbaar zijn, elk aspect. Het houden van dit soort tests geeft inzicht om je programma eventueel bij te sturen. Wel moet het een totaalpakket zijn, alleen phishingtests houden en alleen deze antwoorden gebruiken om je programma richting te geven, is weer onvoldoende.

Social engineering is hetgeen waar het grootste deel van de cyberincidenten door plaatsvindt. Je medewerkers niet testen is hetzelfde als jaarlijks geen brandoefening houden en zeggen dat iedereen toch wel weet wat diegene moet doen.

[Reactie gewijzigd door Orangelights23 op 23 juli 2024 14:22]

Nimja @Orangelights23 • 7 februari 2021 08:27

Geen brandoefeningen gehad in 2020, hoor

Voor de rest heb je helemaal gelijk. Hoeveel het wordt teruggerapporteerd is ook belangrijk.

Blokker_1999

Beveiliging en antivirus

@Nimja • 7 februari 2021 09:34

Die was er waarschijnlijk wel, en het gebouw was nog nooit zo snel leeg

warhamstr 7 februari 2021 07:07

Bij 'ons' kregen de users pas na dit soort mails door wat phising was. Tig memo's daarvoor hadden geen effect.

Mag ik het helemaal maar een bevooroordeeld stuk vol aannaames vinden?

Waarom is het verkeerd om gebruikers op hun domme en klakkeloze werkwijze te wijzen? En als een testmailtje al te ver gaat, hoe zou je iemand dan in een functioneringsgesprek wél op diezelfde fout kunnen beoordelen?

[Reactie gewijzigd door warhamstr op 23 juli 2024 14:22]

ShellGhost @warhamstr • 7 februari 2021 12:05

Het is ook een bevooroordeeld stuk vol met aannames. Het klinkt bijna alsof hij, de schrijver, er meerdere keren in getrapt is.

Zarhrezz

@warhamstr • 7 februari 2021 14:04

Als ik de toon van je bericht zo lees, denk ik "ja, met die instelling gaat de gemiddelde kantoormedewerker nooit begrip hebben voor 'die horken op IC'".

Die gebruikers zijn de klanten van een IT afdeling. Die klanten doen hun best hun werk zo goed mogelijk te doen en dat is dus geen "domme en klakkeloze werkwijze". Het functioneringsgesprek hoort te gaan over het werk / de functie van de betreffende medewerker, niet over het falen van het IT / SecOps team in het voorkomen dat schadelijke mails / content bij de medewerkers komt waar zij verantwoordelijk voor zijn.

RuudVisser 7 februari 2021 08:34

Deze tests zitten niet realistisch in elkaar. Want op een link klikken is niet voldoende om besmet te worden. Je moet je gegevens invullen of een bijlage/executable openen. Dat zit niet in de tests die ik tot nu toe heb gezien, alleen de verlokking om op een link te klikken. Uit nieuwsgierigheid heb ik in echte phishing mails eens verder geklikt. Totaal onschuldig als je maar geen gegevens invult of een bijlage opent. Dus de uitslag van zon slechte test zegt 0,0. Beetje zielig en achterlijk.

hiostu @RuudVisser • 7 februari 2021 09:17

https://www.zdnet.com/art...xploited-chrome-zero-day/

Ruw ER 7 februari 2021 09:31

Vorige maand ook gezakt. Ik opende de mail, las de mail, zag dat het phishing was, heb de bijlage niet geopend en de afzender geblocked, mail verwijderd. Krijg je later doodleuk te horen dat je gezakt bent want je hebt de mail geopend. Hou toch op zeg, wat een onzin.

FreshMaker @Ruw ER • 7 februari 2021 10:00

Vorige maand ook gezakt. Ik opende de mail, las de mail, zag dat het phishing was, heb de bijlage niet geopend en de afzender geblocked, mail verwijderd. Krijg je later doodleuk te horen dat je gezakt bent want je hebt de mail geopend. Hou toch op zeg, wat een onzin.

Ik kreeg een koffiebeker, maar ook het verzoek om te stoppen met alles door te sturen als FWD: {SPAM - Fishing ?} xxx naar de verantwoordelijke van die groep 'onderzoekers'
Na 10 mails in een week tijd herkennen we de structuur ( en het tijdstip - mails kwamen altijd rond 9:30 )

En dat terwijl ik gewoon de instructies volgde, alles wat je niet vertrouwd, doorzenden ...

Op dit item kan niet meer gereageerd worden.

Column - Interne phishingtests leveren niets meer op