Neppe phishing mail maken voor je bedrijf

Als je bijvoorbeeld Office 365 hebt van Microsoft dan kun je dit doen met Microsoft Defender.
Zie https://learn.microsoft.c...arted?view=o365-worldwide

Haha, dat heeft mijn baas ook een keer geprobeerd. Die mail was zo overduidelijk nep dat ik met een gerust hart op de link durfde te klikken. En ja hoor, een preek over hoe onveilig dat kan zijn.

Echt, neem even mee hoe dit overkomt op je collega's. Ultieme betutteling. Zorg dat je mailsysteem mails met verdachte links er tussenuit haalt, dat is de enige goede oplossing.

Wij gebruiken sindskort HOXHUNT en mensen hier worden daar gek van...maar het helpt wel als je elke week wel 1 nep-mail krijgt.

PhilipsFan schreef op woensdag 9 november 2022 @ 11:47:
Zorg dat je mailsysteem mails met verdachte links er tussenuit haalt, dat is de enige goede oplossing.

Natuurlijk moet je hier zorgvuldig mee omgaan, maar alleen op techniek vertrouwen is echt niet genoeg. Awareness onder personeel is een belangrijke factor in cybersecurity.

P_de_B schreef op woensdag 9 november 2022 @ 11:50:
[...]

Natuurlijk moet je hier zorgvuldig mee omgaan, maar alleen op techniek vertrouwen is echt niet genoeg. Awareness onder personeel is een belangrijke factor in cybersecurity.

Dat ben ik ook wel met je eens, maar een nep-phishingmail is wel serieus betuttelend, zeker als je medewerkers daarop afrekent. Volgens mij kun je beter een paar voorbeelden laten zien in een security-awareness training. Dan kunnen mensen er interactief mee bezig en hebben ze niet het idee dat ze door hun eigen baas voor de gek worden gehouden.

PhilipsFan schreef op woensdag 9 november 2022 @ 11:47:
...
Echt, neem even mee hoe dit overkomt op je collega's. Ultieme betutteling. Zorg dat je mailsysteem mails met verdachte links er tussenuit haalt, dat is de enige goede oplossing.

Eens met je oplossing hoor, voorkomen is altijd beter, maar ik zie het als een soort "brandoefening". Daar is ook wel duidelijk dat je rustig moet blijven, waar je de uitgangen vindt etc, maar toch doen we het.

In mijn vorige organisatie werd ook een keer een dergelijke mail gestuurd (70% niet-technisch personeel), en ondanks dat voor iedereen duidelijk was dat je niet zomaar op links moest klikken, waren er heel veel mensen die dit wel deden, en zelfs ook nog inlogden (en daarna hun wachtwoord moesten wijzigen).

Overigens kreeg ik ook de mail "je hebt geklikt op XXX". Ik had wel meteen door dat het phishing was, maar ik "hoverde" met mijn muis over de link om de volledige URL te bekijken, niet beseffende dat mijn mail client dan de pagina rendert in een klein venster. Dit maar direct uitgezet

Vanuit gebruikers perspectief kan ik aangeven dat niets me zo verveelt als de zoveelste nep Phising mail die onze eigen IT loopt te versturen.
Training prima (alhoewel ik de 45 min training in 2 min doorloop door alles te skippen) maar actief ook nog eens lopen te vervelen is gewoon gruwelijk irritant.

Maar vanuit de andere kant heeft mijn directe collega het al 2x voor elkaar gekregen om wel erin te trappen en dus 2x een extra cursus moeten volgen daarvoor.

PhilipsFan schreef op woensdag 9 november 2022 @ 11:47:
Haha, dat heeft mijn baas ook een keer geprobeerd. Die mail was zo overduidelijk nep dat ik met een gerust hart op de link durfde te klikken. En ja hoor, een preek over hoe onveilig dat kan zijn.

Echt, neem even mee hoe dit overkomt op je collega's. Ultieme betutteling. Zorg dat je mailsysteem mails met verdachte links er tussenuit haalt, dat is de enige goede oplossing.

De kwaliteit van phishing test emails is niet altijd even goed inderdaad, maar denken dat welk filteringsysteem dan ook 100% van de malafide links er uit kan vissen is, met alle respect, naïef. Je ziet steeds vaker dat er een relay via een valide website gebruikt wordt, of dat de phishing content op Azure/Google websites gehost wordt.
Daarnaast heb je nog zaken als BEC / CEO fraud, waarbij URL's totaal geen rol spelen, maar die je bedrijf filnke financiele schade toe kunnen brengen, zekers als de "accounts payable" processen niet voldoende volwasssen zijn

Een tijdje terug kreeg ik op mijn werk ook weer zo'n phishing-mail, als nieuwsgierige Tweaker (die allang doorhad dat het phishing was met "Dear employee, typfout, please urgently log-in, blabla") heb ik op de link geklikt om te kijken wat voor onzin het was. Helaas tel je dan meteen mee in de dombo-statistieken. Misschien even kijken of er een optie is om false-positives zelf door je medewerkers aan te laten geven

Hij zei tegen mij, iedereen weet dat je niet door rood mag rijden, maar toch doen we dat. Het zelfde als iedereen weet dat je niet op de link hoort te klikken, maar toch doen we dat.

Dit gaat wel een beetje mank. Iets strafbaars vergelijken met een verleidingstechniek...

En zelfs dan, op een link of knop klikken is één. Inzien dat waar je op uitkomt fout is en vervolgens niets invullen, direct weg-klikken en de beheerder op de hoogte stellen dat er phishing rondgaat is alsnog een goede reactie. Dus dat je pertinent fout zit als je op die link klikt is wel erg makkelijk gesteld en mijn inziens incorrect.

Maar ja, tuurlijk zijn er tools voor. Heb je zelf al gezocht op bijvoorbeeld open-source phishing-test tools? Er zijn er genoeg.

Anders is een website opzetten natuurlijk ook zo gedaan tegenwoordig. Genereer een unieke urls en verzenden maar. Kijk dan per unieke-url/variabele of er iets is ingevuld of niet, ... het is niet zo lastig.

PhilipsFan schreef op woensdag 9 november 2022 @ 11:47:
Echt, neem even mee hoe dit overkomt op je collega's. Ultieme betutteling. Zorg dat je mailsysteem mails met verdachte links er tussenuit haalt, dat is de enige goede oplossing.

Het is een combinatie van. Niet alles is met techniek 100% te filteren, je zult ook gebruikers moeten opvoeden.

Dat het voor jou als IT-er betuttelend overkomt, wil niet zeggen dat dit ook voor de Truus van de balie als betuttelend overkomt.

PhilipsFan schreef op woensdag 9 november 2022 @ 11:47:
Haha, dat heeft mijn baas ook een keer geprobeerd. Die mail was zo overduidelijk nep dat ik met een gerust hart op de link durfde te klikken. En ja hoor, een preek over hoe onveilig dat kan zijn.

Echt, neem even mee hoe dit overkomt op je collega's. Ultieme betutteling. Zorg dat je mailsysteem mails met verdachte links er tussenuit haalt, dat is de enige goede oplossing.

Zo dacht ik er 'vroeger' ook ongeveer over, maar bij ons in het bedrijf (100+ medewerkers, 50% ict-ers) heeft men vorig jaar toch ook 2x een nep-phishing de deur uit gedaan. Deze mails leken mij overduidelijk phishing, maar toch... ten eerste waren er vrij veel mensen die er op hadden geklikt, maar het was vooral schrikbarend hoeveel mensen hun credentials vervolgens hebben ingevuld naar aanleiding van deze phishing mail; zelfs ict-ers waarvan je het niet zou verwachten. Dit is voor het bedrijf natuurlijk een zeer goede strategie om na te gaan hoe goed/slecht de medewerkers er mee omgaan. Mensen die erop klikten werden niet gestraft of aan de schandpaal genageld, maar een mail 'u heeft naar aanleiding van een phishing-mail uw gegevens achtergelaten' zou toch een goede les voor de medewerker moeten zijn.

Beveiliging is zo sterk als de zwakste schakel. Hier werd een zeer zwakke schakel dus duidelijk blootgelegd. Gelukkig is binnen onze organisatie 2FA verplicht; dus dat ik nog een extra barrière.

eric.1 schreef op woensdag 9 november 2022 @ 11:54:


En zelfs dan, op een link of knop klikken is één. Inzien dat waar je op uitkomt fout is en vervolgens niets invullen, direct weg-klikken en de beheerder op de hoogte stellen dat er phishing rondgaat is alsnog een goede reactie. Dus dat je pertinent fout zit als je op die link klikt is wel erg makkelijk gesteld en mijn inziens incorrect.

Dat is niet geheel waar natuurlijk. Het feit dat jij op een phishing link klikt (met unieke identificatie er in verstopt) zorgt er bij échte phishing ook voor dat je daarna veeeel meer mails gaat ontvangen, omdat je gezien wordt als 'makkelijk doelwit'.

Het bezoeken van unieke tracking links is daarbij dus per definitie onverstandig, ook als je weet dat het phishing is.
Als je écht wil weten wat het is kan je het unieke deel uit een link verwijderen en dan eens kijken waar je uitkomt, maar dan zou ICT ook niet weten dat je op die link hebt geklikt (en word je dus ook niet gestraft)

PhilipsFan schreef op woensdag 9 november 2022 @ 11:47:
Haha, dat heeft mijn baas ook een keer geprobeerd. Die mail was zo overduidelijk nep dat ik met een gerust hart op de link durfde te klikken. En ja hoor, een preek over hoe onveilig dat kan zijn.

Echt, neem even mee hoe dit overkomt op je collega's. Ultieme betutteling. Zorg dat je mailsysteem mails met verdachte links er tussenuit haalt, dat is de enige goede oplossing.

Uiteraard ben jij, en iedere andere Tweaker hier, zo technisch bedreven, dat het bijna een belediging is, maar misschien ben jij dan ook wel niet de doelgroep waarvoor het bedoeld is

Er zijn zat mensen die niet zo technisch onderlegd zijn, en die er wel wat van leren. Mijn ouders van in de 60 zijn de andere kant op (gelukkig), en die vragen bij legitieme mails geregeld "kan ik dit vertrouwen?" of "wat moet ik hiermee, is dit echt?" en zijn als de dood om iets fout te doen, maar er zijn ook ontelbaar veel mensen die nergens erg in hebben en gewoon doen wat gevraagd wordt.

Morelleth schreef op woensdag 9 november 2022 @ 11:53:
Vanuit gebruikers perspectief kan ik aangeven dat niets me zo verveelt als de zoveelste nep Phising mail die onze eigen IT loopt te versturen.

Hoeveel nep-phishing mails in hoeveel tijd ontvang jij dan?

Want er is natuurlijk een groot verschil tussen eenmalig het een keer als test te doen, om te kijken of het een groot probleem is, of 52x per jaar getest worden.

Zelf lijkt het me wel interessant om wat cijfers erachter te horen. Dat hoeft verder ook niet direct gevolgen te hebben in de vorm van op gesprek komen/cursussen moeten volgen.

Ik denk dat als je 1000 mensen een nep-mail stuurt, en je stuurt later een samenvatting met dat je dat gedaan hebt en dat van de 1000 mensen er (ik roep maar wat) 600 de mail hebben geopend, en 150 mensen ook daadwerkelijk op de link hebben geklikt, dat al die mensen prima weten wie ze zijn, en er een volgende keer wel iets meer op letten.

Het is weer “klik hier om je kerstpakket uit te zoeken en login met je bedrijfsaccount"-tijd 🙈

[Voor 3% gewijzigd door BCC op 09-11-2022 14:11]

Typosquatting domein registreren, pagina kopieren van een dienst die jouw bedrijf vaak gebruikt (misschien zelfs jullie eigen loginpage of zo). Dan met een stukje php code (of iets anders) zorgen dat na het invullen van credentials opgeslagen wordt (in een txt bestand of zo) wie zij/haar gegevens heeft ingevuld.

Let wel goed op met het opslaan van wachtwoorden. Die wil je het liefst niet meesturen, anders moet men meteen hun wachtwoord resetten. Liever sla je alleen het emailadres op van je collega's. Eventueel nog een source IP adres.

Als je een page van een externe provider wil kopieren, vraag dan wel even toestemming. Anders gaan er misschien alarmbellen rinkelen.

PhilipsFan schreef op woensdag 9 november 2022 @ 11:47:
Haha, dat heeft mijn baas ook een keer geprobeerd. Die mail was zo overduidelijk nep dat ik met een gerust hart op de link durfde te klikken. En ja hoor, een preek over hoe onveilig dat kan zijn.

Echt, neem even mee hoe dit overkomt op je collega's. Ultieme betutteling. Zorg dat je mailsysteem mails met verdachte links er tussenuit haalt, dat is de enige goede oplossing.

Tot je als bedrijf toch een keer door een APT compleet gelocked wordt. En die gebruiken vaak genoeg social engineering aanvallen. Goed, je zal misschien zelf bij een MKB clubje werken maar TS misschien niet.

[Voor 34% gewijzigd door hmmmmmmmmmpffff op 09-11-2022 12:24]

dragonhaertt schreef op woensdag 9 november 2022 @ 12:07:
[...]


Dat is niet geheel waar natuurlijk. Het feit dat jij op een phishing link klikt (met unieke identificatie er in verstopt) zorgt er bij échte phishing ook voor dat je daarna veeeel meer mails gaat ontvangen, omdat je gezien wordt als 'makkelijk doelwit'.

Het bezoeken van unieke tracking links is daarbij dus per definitie onverstandig, ook als je weet dat het phishing is.
Als je écht wil weten wat het is kan je het unieke deel uit een link verwijderen en dan eens kijken waar je uitkomt, maar dan zou ICT ook niet weten dat je op die link hebt geklikt (en word je dus ook niet gestraft)

Ik zeg ook niet dat het verstandig was.

Daarnaast is het een bijzondere simplificatie dat de gebruiker dan ook echt meer mails gaat ontvangen. Een beetje degelijke omgeving houdt het gros tegen. De gebruiker heeft, bij die ene die er toch doorheen glipte, opgemerkt dat het niet klopte. Dus uiteindelijk is er niets aan de hand. Ga je zo'n gebruiker aanspreken alsof er een bom is ontploft, dan maak je het alleen maar erger.

Wij doen dat met een professionele dienst en hebben ook een Outlook knop om phishing mails te rapporteren. Die worden dan beoordeeld en als het inderdaad phising is kunnen er direct maatregelen genomen worden, bijvoorbeeld kijken wie de mail nog meer gekregen hebt of een url dichtzetten.

Met de simulaties kun je goed meten waar de zwakke plekken zitten en door te rapporteren hoe elke afdeling scoort kun je er zelfs een soort competitie van maken. Het resultaat is gewoon meetbaar en heel concreet.

Zelf een losse phishing mail in elkaar flansen lijkt me niet zo zinvol. Hoe meet je de resultaten en wat ga je daar vervolgens mee doen?

Hahn schreef op woensdag 9 november 2022 @ 12:11:
[...]
Hoeveel nep-phishing mails in hoeveel tijd ontvang jij dan?

Hier eens per maand. Dat er een enkele gebruiker tussen zit die het irritant vind zal mij absoluut worst zijn. Als organisatie weten we heel goed waarvoor we het doen en de resultaten onderstrepen dat dit belangrijk is.

[Voor 23% gewijzigd door Jazzy op 09-11-2022 12:30]

Je moet je echt afvragen met welk doel je een phishing mail verstuurd en wat je als KPI gaat hanteren. Of dat mensen klikken zegt vaak meer over de kwaliteit van je phishing mail dan je gebruikers. Daarnaast is klikken op een link over het algemeen geen risico. Het risico zit in het downloaden en runnen van malware of het enabelen van Macro's. Dat laatste moet je dus willen trainen en mogelijk testen.

En wat ga je aan de gebruikers vertellen? Dat er consequenties zijn als je er in bent getrapt? Dan durven ze nooit meer melding te maken van een phish en ergens op klikken blijven ze toch wel doen. Hoe wil je anders facturen vewerken of CV's lezen.

Ik zou even op deze pagina naar beneden scrollen en de talk van Fleur kijken voor je ergens aan begint: https://emagazine.one-con...21/keynotes-and-webinars/

Je maakt jezelf echt niet populair in de organisatie als je een mailtje uitstuurt met: "Klik hier voor je kerst bonus". Dan zijn mensen boos en is de awareness nul. Daarnaast is er ook wel onderzoek gepubliceerd dat een enkele keer zo'n campagne doen geen nut heeft. Minder dan 1x per 4 maanden en het effect is niet blijvend.

BCC schreef op woensdag 9 november 2022 @ 12:14:
Het is weer “klik hier om je kerstpakket uit te zoeken en login met je bedrijfsaccount tijd” 🙈

Hoewel dat voor ons duidelijk een phishingmail is, kan je je garanderen dat er (zeker bij grotere organisaties!) heel veel mensen zullen zijn die daar in trappen!

Net zoals ik op WhatsApp nog steeds berichtjes doorgestuurd krijg van kennisen met: "vul hier je gegevens in en maak kans op een tegoedbon van 100euro/gratis gevulde heineken koelkast"

En als je dan zegt dat het overduidelijk fake/phising is: "Ja maar wat als het toch echt is!"

Bor schreef op woensdag 9 november 2022 @ 12:01:
[...]


Ook dit lijkt mij een typisch voorbeeld dat er nog het e.e.a. te doen is aan awareness.

Bedoel je dan het skippen van de trainingsvideo's (met extreem voor de hand liggende zaken en algemene gezond verstand dingen) en wel alle vragen van de training 100% goed beantwoorden?
Of het feit dat mijn collega er wel in trapt. (En tegenwoordig gelukkig bij verdachte zaken maar even vraagt wat die er mee moet)

Snap heel goed dat bedrijven awereness voor phising willen en dat gebruikers de zwakke schakel blijven.

Maar de manier waarop ze het nu peilen (om te kijken of je wel oplet) is echt te achterlijk voor woorden.
Ze sturen bijna wekelijks phising mails vanuit een bepaald domein, maar vervolgens ook de verplichte training vanuit het zelfde externe domein met alle kenmerken van phisinig (inclusief afzender [external, een vage link buiten het bedrijf en dwingende boodschap, zonder zelfs maar onze bedrijfsnaam erbij ).
Weigerde uit principe de training te doen tot ik de vanuit IT bedrijfsmail melding kreeg dat mij de toegang tot het systeem omdat ik de training nog niet gevolgd.

Oftewel, dit is de manier waarop je het volgens mij juist niet moet doen.

Hahn schreef op woensdag 9 november 2022 @ 12:11:
[...]


[...]

Hoeveel nep-phishing mails in hoeveel tijd ontvang jij dan?

Want er is natuurlijk een groot verschil tussen eenmalig het een keer als test te doen, om te kijken of het een groot probleem is, of 52x per jaar getest worden.

Zelf lijkt het me wel interessant om wat cijfers erachter te horen. Dat hoeft verder ook niet direct gevolgen te hebben in de vorm van op gesprek komen/cursussen moeten volgen.

Ik denk dat als je 1000 mensen een nep-mail stuurt, en je stuurt later een samenvatting met dat je dat gedaan hebt en dat van de 1000 mensen er (ik roep maar wat) 600 de mail hebben geopend, en 150 mensen ook daadwerkelijk op de link hebben geklikt, dat al die mensen prima weten wie ze zijn, en er een volgende keer wel iets meer op letten.

Tot nu toe staat de teller op volgens mij iets van 30 dit jaar. heb de helft nog netjes mee gedaan en als phising gemeld, de rest direct weg geknikkerd.


Maar gezien het voor een bedrijf met volgens mij een goede 2000 werknemers in nederland en wereldwijd nog veel meer, zullen er genoeg collega's zijn die er wel intrappen. Dus de trainingen snap ik in dat opzicht wel.

En zelfs consequenties verbinden aan niet opletten (in de zin van verplichte awareness training) snap ik.
Maar de hoeveelheid is gewoon te hoog.

[Voor 35% gewijzigd door Morelleth op 09-11-2022 13:51]

Puc van S. schreef op woensdag 9 november 2022 @ 12:57:
[...]

Hoewel dat voor ons duidelijk een phishingmail is, kan je je garanderen dat er (zeker bij grotere organisaties!) heel veel mensen zullen zijn die daar in trappen!

Net zoals ik op WhatsApp nog steeds berichtjes doorgestuurd krijg van kennisen met: "vul hier je gegevens in en maak kans op een tegoedbon van 100euro/gratis gevulde heineken koelkast"

En als je dan zegt dat het overduidelijk fake/phising is: "Ja maar wat als het toch echt is!"

Dit heeft de ABN een keer gedaan en dat heeft toen erg veel kwaad bloed gezet bij het personeel - https://www.rtlnieuws.nl/...ege%20de%20interne%20test.

oak3 schreef op woensdag 9 november 2022 @ 12:51:
Daarnaast is klikken op een link over het algemeen geen risico.

Denk dat men bij jouw bedrijf ook nog even wat meer aan training moet doen.

Bij ons op de zaak word je er zelfs op afgerekend als je een phishing mail (al dan niet nep) niet meldt met de 'vishaak' knop in Outlook...

Jazzy schreef op woensdag 9 november 2022 @ 14:52:
[...]

Denk dat men bij jouw bedrijf ook nog even wat meer aan training moet doen.

Kun je een recent voorbeeld geven waarbij alleen het klikken op een linkje tot enige schade heeft geleid? Ik niet, maar werk graag aan mijn eigen bewustwording.

Uit de losse pols een phishing mail versturen is niet heel zinvol en met een beetje pech zelfs contraproductief. Als je hier serieus mee aan de slag wil gaan moet je budget regelen en een programma opzetten.

Even wat vragen die je jezelf alvast moet stellen.

• Weten mensen wel waar en hoe ze een phishing mail moeten rapporteren?
• Heb je ze aleens meegenomen in wat een phishing mail is en wat ze kunnen verwachten?
• Weten ze al waarom dit zo belangrijk is voor jouw organisatie specifiek?
• Wat gebeurt er met de mensen die toch klikken? Hoe ga je die dan trainen?
• Hoe rapporteer je de resultaten naar de medewerkers?

Als je wil dat mensen iets leren van een phishing test, moet je ze meenemen. Bijvoorbeeld:

Dag 1: morgen krijgen jullie een phishing mail van DHL. Die is nep want hij staat vol met spelfouten enzo. Mensen die hem herkennen en rapporteren maken kans op een prijsje.
Dag 2: de DHL phishing mail gaat rond.
Dag 3: goedzo! we kregen wel 400 rapportjes. Volgende week maandag krijg je een nieuwe phishing mail. Dit keer uit naam van onze CEO Chef Henkie, die wil dat je inlogt op onze nieuwe portal. Is natuurlijk nep, zijn foto staat er niet bij en het emailadres is verkeerd. Alvast succes en fijn weekend!
Na het weekend: phishing mail van de CEO.

Op die manier neem je ze constant mee in wat er komt, de moeilijkheidsgraad gaat omhoog en ze leren wat ze kunnen verwachten en hoe ze phishing herkennen.

Want dat is je doel, toch? Educatie?

Leuk idee, bij ons doen ze dit ook, juist om je er bewust van te maken. Voor één test ben ik wel gevallen en dat waren de meeste die er normaal ook opletten en dat was met de vraag van.

Wij [bedrijf] gaan voor een nieuw koffie automaat, stem mee om voortaan de beste koffie te krijgen.

Die werkte best goed want iedereen klikte er op

martijn.vw schreef op woensdag 9 november 2022 @ 15:01:

Als je wil dat mensen iets leren van een phishing test, moet je ze meenemen. Bijvoorbeeld:

Dag 1: morgen krijgen jullie een phishing mail van DHL. Die is nep want hij staat vol met spelfouten enzo. Mensen die hem herkennen en rapporteren maken kans op een prijsje.
Dag 2: de DHL phishing mail gaat rond.
Dag 3: goedzo! we kregen wel 400 rapportjes. Volgende week maandag krijg je een nieuwe phishing mail. Dit keer uit naam van onze CEO Chef Henkie, die wil dat je inlogt op onze nieuwe portal. Is natuurlijk nep, zijn foto staat er niet bij en het emailadres is verkeerd. Alvast succes en fijn weekend!
Na het weekend: phishing mail van de CEO.

Op die manier neem je ze constant mee in wat er komt, de moeilijkheidsgraad gaat omhoog en ze leren wat ze kunnen verwachten en hoe ze phishing herkennen.

Want dat is je doel, toch? Educatie?

Waar baseer je dit op..?

Vertellen dat je een phishing mail gaat krijgen lijkt me juist totaal niet de manier om het te doen. Net zoals je brandoefeningen ook niet moet gaan aankondigen, omdat je dan niet de echte reactie krijgt. Natuurlijk moet je het ook niet laten bij "jullie hebben gisteren een phishing mail gekregen en 10% heeft gefaald", uiteraard is het handig om je werknemers op te leiden over hoe je ze kan herkennen, etc.

Maar vooraf iedereen overal in alles tot in detail meenemen gaat alleen maar zorgen dat mensen het echte werk niet gaan herkennen, want bij echte phishing mails weet je niet dat ze eraan komen en staat het er ook niet in koeienletters bij.

Hahn schreef op woensdag 9 november 2022 @ 15:08:
[...]

Waar baseer je dit op..?

Vertellen dat je een phishing mail gaat krijgen lijkt me juist totaal niet de manier om het te doen. Net zoals je brandoefeningen ook niet moet gaan aankondigen, omdat je dan niet de echte reactie krijgt. Natuurlijk moet je het ook niet laten bij "jullie hebben gisteren een phishing mail gekregen en 10% heeft gefaald", uiteraard is het handig om je werknemers op te leiden over hoe je ze kan herkennen, etc.

Maar iedereen overal in alles tot in detail meenemen gaat alleen maar zorgen dat mensen het echte werk niet gaan herkennen, want bij echte phishing mails weet je niet dat ze eraan komen en staat het er ook niet in koeienletters bij.

Dit baseer ik op eigen ervaring. In tegenstelling tot een brandoefening (iedereen weet wat brand is), weten mensen gewoon niet wat phishing is en wat ze daarmee aanmoeten.

Iedereen die nadenkt over phishing tests is namelijk technisch veel meer onderlegd dan de mensen die ze gaan testen. En die mensen moet je vanaf nul komma nul opleiden tot herkenner van phishing tests. Dat begint bij "wat is een phishing mail in jezusnaam"?

Mensen uit het niets gaan testen en dan doorsturen naar een pagina die zegt "haha kneus ben je er ingetrapt" werkt niet. Hoe vriendelijk de tekst ook is, mensen voelen zich op de pik getrapt en gaan niet in de meewerkstand.

Als je dit gaat opzetten in een organisatie begin je vanaf nul anders wordt het nooit wat.

remmuz schreef op woensdag 9 november 2022 @ 14:53:
Bij ons op de zaak word je er zelfs op afgerekend als je een phishing mail (al dan niet nep) niet meldt met de 'vishaak' knop in Outlook...

Zo'n zelfde knop (rode kleur voor de verduidelijking) wordt in onze organistatie en bij onze klanten ook gebruikt in Outlook. Makkelijker kun je het niet maken.

1x klikken en vervolgens wordt deze door de analisten onderzocht of het daadwerkelijk phising is, bij ja wordt deze in de deny list opgenomen, bij nee wordt deze vrijgegeven met een system-generated rapport terug naar de gebruiker met de bevindingen van de analist er in (zodra die op 'nee' drukt is die verplicht om een reden om te geven).

Overigens gebruikt de tool die wij daarvoor gebruiken ook een tussenlaag die de link opent in een offsite sandbox en de pagina eerst scant en 'volgt', bij gevaar krijg je de daadwerkelijke pagina al niet te zien maar kom je uit op een landingpage die uitlegt wat er gebeurd is.

Dit allemaal is maar één van de aspecten, samen met awareness en training van je personeel en klanten kun je een hoop schade voorkomen.

Hierboven lekker off-topic uiteraard. Nu on-topic

Mensen meenemen in een phising test: ja, maar pak het zoals vele aangeven goed aan.
Begin met een basis uitleg wat phising is en wat het doel van de afzender is, laat voorbeelden zien die overduidelijk fake zijn, maar pak ook de moeilijke voorbeelden die bijna niet van echt te onderscheiden zijn.

Neem de mensen mee, laat het ze zien en ga daarna zodra mensen snappen wat het is, onaangekondig te werk met de test. Begin makkelijk met wat taalvouten en incorrecte zinnen en maak het daarna met gradaties moeilijker.

Tools integreren zoals ik ze hierboven noem zijn uiteraard een 2e stap om het de mensen makkelijker te maken phising te melden en om bij het (per ongeluk) klikken op een echte phisinglink het risico te mitigeren. Maar dat is een volgende (en met een prijs gemoeide) stap.

Ik ben overigens sowieso een voorstander van een basistraining security awareness voor alle mensen in een organisatie die een computer moeten gebruiken, zelfs voor Mientje de receptioniste die alleen maar gebruik maakt van een computer om interne mensen op te zoeken/bereiken.

[Voor 33% gewijzigd door reneetjuhh1991 op 09-11-2022 15:31. Reden: On-topic aanvullen]

martijn.vw schreef op woensdag 9 november 2022 @ 15:13:
[...]

Dit baseer ik op eigen ervaring. In tegenstelling tot een brandoefening (iedereen weet wat brand is), weten mensen gewoon niet wat phishing is en wat ze daarmee aanmoeten.

Iedereen die nadenkt over phishing tests is namelijk technisch veel meer onderlegd dan de mensen die ze gaan testen. En die mensen moet je vanaf nul komma nul opleiden tot herkenner van phishing tests. Dat begint bij "wat is een phishing mail in jezusnaam"?

Mensen uit het niets gaan testen en dan doorsturen naar een pagina die zegt "haha kneus ben je er ingetrapt" werkt niet. Hoe vriendelijk de tekst ook is, mensen voelen zich op de pik getrapt en gaan niet in de meewerkstand.

Daarom zei ik ook al eerder: niet met vingers gaan wijzen en dus ook niet mensen bij naam publiek gaan shamen. Maar als jij mij vandaag vertelt "morgen krijg je een phishing mail" en ik krijg morgen een raar mailtje en kom dan tot de conclusie "Raar mailtje, dat zal dan wel dat phishing mailtje wat Martijn gisteren noemde zijn", wat heb ik dan precies geleerd

Als je dit gaat opzetten in een organisatie begin je vanaf nul anders wordt het nooit wat.

Vanaf nul beginnen ben ik met je eens, alleen denk ik dat de nul niet zit bij eerst vertellen wat je moet weten, maar bij bewust (gemaakt) worden dat het mij ook kan overkomen.

Want als ik in de veronderstelling ben dat ik nooit zal vallen voor een phishing mail, dan kan je mij wel van alles gaan uitleggen over wat phishing mails zijn en hoe ze te herkennen, maar dat gaat dan het ene oor in en andere oor eruit.

Hahn schreef op woensdag 9 november 2022 @ 15:26:
[...]

Daarom zei ik ook al eerder: niet met vingers gaan wijzen en dus ook niet mensen bij naam publiek gaan shamen. Maar als jij mij vandaag vertelt "morgen krijg je een phishing mail" en ik krijg morgen een raar mailtje en kom dan tot de conclusie "Raar mailtje, dat zal dan wel dat phishing mailtje wat Martijn gisteren noemde zijn", wat heb ik dan precies geleerd

[...]

Vanaf nul beginnen ben ik met je eens, alleen denk ik dat de nul niet zit bij eerst vertellen wat je moet weten, maar bij bewust (gemaakt) worden dat het mij ook kan overkomen.

Want als ik in de veronderstelling ben dat ik nooit zal vallen voor een phishing mail, dan kan je mij wel van alles gaan uitleggen over wat phishing mails zijn en hoe ze te herkennen, maar dat gaat dan het ene oor in en andere oor eruit.

Sorry, ik kan er niet meer van maken zonder in herhaling te vallen. Het enige dat ik nog kan toevoegen dat je met deze methode 100% zeker weet dat mensen tenminste 1x die gekke "meld phishing"-knop hebben gebruikt. En dat verlaagt de drempel om het nog een x te doen.

Verder, trek vooral je eigen plan. Ik weet dat dit werkt. 🤷‍♀️

Bij ons in de organisatie krijgen wij ook regelmatig wel eens z'n test spam email, deze is als ik me niet vergis via Proofpoint. Wij hebben namelijk van Proofpoint ook een outlook plugin 'PhishAlarm' om phishing emails te rapporteren en als wij dan de test email rapporteren, dan is iedereen weer blij blijkbaar.

https://www.proofpoint.co...hishalarm-email-reporting

[Voor 13% gewijzigd door Ijsklont op 09-11-2022 15:55]

oak3 schreef op woensdag 9 november 2022 @ 14:56:
[...]


Kun je een recent voorbeeld geven waarbij alleen het klikken op een linkje tot enige schade heeft geleid? Ik niet, maar werk graag aan mijn eigen bewustwording.

Er zijn legio risico's aan het klikken op links. Van bevestigen dat een mailbox actief is tot het exploiten van een vulnerability. Hier een mooi voorbeeldje van zo'n scenario: https://www.coinbase.com/...irefox-0-days-in-the-wild

Mijn werkgever gebruikt hier Foxhunt voor. Krijg je uitgelegd hoe je kon zien dat het phishing was voor degene die het niet snappen, en je krijgt wat statistieken voor degene die high score willen halen.

Ik zie wel dat er redelijk wat meningen zijn, de ene vindt het betutteling, de ander vindt het veel te complex (vraag ik mij weer af hoe je in hemelsnaam in het wild overleefd als je op elke link klinkt die je ziet). Sommige hebben liever een verplichtte cyber security cursus waar je doorheen slaapt.

Ik vind het zelf wel prima, zelf komt het redelijk triviaal over, maar goed druk je op knopje en ga je verder met je werk (of je negeert het hele mailtje). Liever dat dan een cursus te moeten gaan doen, terwijl ik denk dat zulk soort voorbeelden, inclusief uitleg hoe je het had kunnen zien, een stuk effectiever zijn dan een theoretische cursus.

Ik begrijp de kritiek ook niet helemaal. Vorige week nog van heel dichtbij meegemaakt dat iemand in een phishing mail stonk en credentials ingevoerd had op een nepsite. We waren er snel bij gelukkig en konden impact voorkomen, maar zo zie je maar dat dit een echt probleem is. Alleen technische maatregelen zijn niet voldoende en achteraf reageren is vaak te laat. Training is bewezen zinvol en simulaties maken het resultaat meetbaar.

Cofense heeft een aantal diensten om phishing te detecteren, rapporteren en maakt slimme campagnes om phishing te simuleren. https://cofense.com/product-services/phishme/

Sissors schreef op woensdag 9 november 2022 @ 18:40:
........... Liever dat dan een cursus te moeten gaan doen, .......

Jij bent als ik het zo lees enigzins bedreven om het op je eigen manier te herkennen en er op te acteren.
Helaas geldt dat niet voor iedereen.

Bij een vorige werkgever werkte we met trainingssoftware (naam moet ik even over uitblijven want die weet ik zo niet meer) die begint met 10 vragen stellen die je binnen 1 minuut hebt beantwoord, er is geen goed of fout en je wordt er niet op "afgerekend".

Die 10 vragen bepalen echter wel je "awareness"-level en algehele IT kennisniveau. Op basis daarvan krijg je de daadwerkelijke training voorgeschoteld. Heb je een hoog awareness level en veel IT kennis? Dan ben je in een paar minuten klaar met je hele training. Is het awareness level laag, dan doe je er ~15 minuten over en afhankelijk van je IT kennis zijn de vragen geforumleerd.

Zo forseer je dus de "kenners" niet om die taaie koek te eten en de leek geef je extra kennis. Werdt destijds in de organisatie altijd goed ontvangen, zowel door de IT-ers als door het kantoorpersoneel. Het inrichten van de training is echter wel een proces geweest waar je heel lang U tegen moet zeggen, want alles is op basis van eigen input en AI was toen nog ver te zoeken.

Legio's aan opties om het proberen 'goed' te doen voor iedereen dus

[Voor 0% gewijzigd door reneetjuhh1991 op 10-11-2022 08:07. Reden: Voutjes corrigeren]

Jazzy schreef op woensdag 9 november 2022 @ 16:20:
[...]
Er zijn legio risico's aan het klikken op links. Van bevestigen dat een mailbox actief is tot het exploiten van een vulnerability. Hier een mooi voorbeeldje van zo'n scenario: https://www.coinbase.com/...irefox-0-days-in-the-wild

Thanks. We zullen allebei een ander beeld hebben, maar je bevestigt mijn beeld. Voor het risico van klikken heb je bijna altijd een 0-day in een browser nodig. En die zijn vrij zeldzaam. Ik probeer ook goed bij te houden wat actuele veelvoorkomende dreigingen zijn t.a.v Business Email Compromise en Ransomware, en ook daar zie ik 0-days in browsers niet voorbij komen. Wil niet zeggen dat ze er niet zijn, maar heeft zeker niet mijn focus t.a.v. awareness.
In het grote plaatje van risico's vind ik het bevestigen van een mailbox niet zo'n risico.

Jazzy schreef op woensdag 9 november 2022 @ 21:07:
Ik begrijp de kritiek ook niet helemaal. Vorige week nog van heel dichtbij meegemaakt dat iemand in een phishing mail stonk en credentials ingevoerd had op een nepsite. We waren er snel bij gelukkig en konden impact voorkomen, maar zo zie je maar dat dit een echt probleem is. Alleen technische maatregelen zijn niet voldoende en achteraf reageren is vaak te laat. Training is bewezen zinvol en simulaties maken het resultaat meetbaar.

Cofense heeft een aantal diensten om phishing te detecteren, rapporteren en maakt slimme campagnes om phishing te simuleren. https://cofense.com/product-services/phishme/

Omdat ik er vanuit ga dat je klikken, maar bovenal ook het invullen van credentials, downloaden van malware of enabelen van macro's nooit naar 0 gaat krijgen, zul je andere maatregelen moeten treffen. Zoals hierboven al gezegd, detectie en tijdig reageren is super belangrijk om vervolgschade te voorkomen.
- Als preventie is MFA belangrijk, dan heb je alleen nog maar het wachtwoord vrijgegeven en kan een aanvaller nog niets. Helaas zijn er hackers die ook die kunnen omzeilen en wordt dat populairder.
- Detectie op afwijkende logins, vaak volgt er een inlog vanuit een land waar de gebruiker op dat moment niet is (impossible travel) en/of combinatie met een onbekend/nieuw device.
- Combinatie van zaken, mail die als phishing wordt getagd door iemand in de organisatie en waarna je AV aangeeft dat iemand op de link geklikt heeft.
- Een AV die monitort op de websites die je bezoekt en daar ook verdachte url's uithaalt en dat combineert met ontvangen email.

Awareness rondom phishing is echt niet nutteloos, maar het moet één van de vele maatregelen zijn en heeft m.i. minder prio dan detectie op bijvoorbeeld afwijkende logins en het implementeren van MFA. Punt is ook dat als iemand er echt moeite in steekt, ze vrijwel iedereen kunnen verleiden om in een phishing mail te trappen. Ik heb de meest security minded professionals voor gaas zien gaan.

Ik zie awareness dan ook meer om de organisatie en het management bewust te maken van het probleem en dat het niet snel weg gaat in de hoop dat ze daarmee makkelijker instemmen met het implementeren maatregelen of het vrijmaken van budget voor detectie.

Als je Awareness doet met deze nuance en gebruikers echt wilt opleiden is het super goed, maar zie te vaak dat het alleen maar om de klik ratio's gaat en dat het doel is die naar 0 te krijgen. Of ethisch zeer twijfelachtige phising emails. Zelfs het Digital Trust Center (onderdeel van de overheid / NCSC) heeft zich daar mijn idee schuldig aan gemaakt. Alleen rapporteren op klik ratio's en een twijfelachtige ethiek t.a.v. de uitgezonden e-mails.
https://www.rijksoverheid...apportage-mkb-phisingtest

[Voor 13% gewijzigd door oak3 op 10-11-2022 11:54]

oak3 schreef op donderdag 10 november 2022 @ 11:31:
[...]


Thanks. We zullen allebei een ander beeld hebben, maar je bevestigt mijn beeld. Voor het risico van klikken heb je bijna altijd een 0-day in een browser nodig. En die zijn vrij zeldzaam.

Wat ik niet zo goed begrijp is hoe je aan de ene kant benadrukt dat je security van meerdere kanten moet benaderen en dat een combinatie van technieken de beste beveiliging biedt. Maar aan de andere kant bepaalde risico's bagatelliseert omdat ze zeldzaam zouden zijn, terwijl talloze analyses zoals die van Coinbase juist aantonen dat aanvallers gebruik maken van een combinatie van misschien wel tientallen zwakheden.

Zero days in browsers zeldzaam? Kunnen we lang en breed over discussiëren. Als je in die Coinbase case nu leest dat aanvallers andere technieken inzetten om gebruikers over te halen om een browser te installeren die juist die kwetsbaarheid bevat waarna één klik op een link voldoende is om controle te krijgen over de computer. Hoe kun je dan nog zeggen dat het klikken op een link "over het algemeen geen risico is"?

Als security een keten is dan is elk gebied waarvan je denkt dat het wel meevalt een zwakke schakel.

PhilipsFan schreef op woensdag 9 november 2022 @ 11:47:
Haha, dat heeft mijn baas ook een keer geprobeerd. Die mail was zo overduidelijk nep dat ik met een gerust hart op de link durfde te klikken. En ja hoor, een preek over hoe onveilig dat kan zijn.

Echt, neem even mee hoe dit overkomt op je collega's. Ultieme betutteling. Zorg dat je mailsysteem mails met verdachte links er tussenuit haalt, dat is de enige goede oplossing.

De beveiligingsketen is zo sterk als de zwakste schakel. Alles 100% eruit filteren kan gewoonweg niet. Er is altijd wel iemand die vervolgens aan de spamfilter verteld dat de e-mail door naar de gebruiker kan, de gebruiker klikt op het link je en.... De rest kan je wel invullen, denk ik zo.

Jazzy schreef op donderdag 10 november 2022 @ 12:08:
[...]
Zero days in browsers zeldzaam? Kunnen we lang en breed over discussiëren. Als je in die Coinbase case nu leest dat aanvallers andere technieken inzetten om gebruikers over te halen om een browser te installeren die juist die kwetsbaarheid bevat waarna één klik op een link voldoende is om controle te krijgen over de computer. Hoe kun je dan nog zeggen dat het klikken op een link "over het algemeen geen risico is"?

We hebben een andere beleving. Hierboven beschrijf je naar mijn idee precies wat ik bedoel. Een klik is niet erg, want je moet eerst iemand overhalen om een kwetsbare browser te downloaden. In een organisatie zou dat niet moeten werken omdat je niet zelf wat mag installeren (hopelijk) of dat browsers in ieder geval beheerd zijn.

Dat is precies mijn punt. Gehackt worden na alleen een klik is echt zeldzaam, want dat staat vrijwel gelijk aan gehackt worden na alleen het bezoeken van een website. Er moet vrijwel altijd een stap achter zitten. Invullen van credentials, downloaden van malware, autoriseren van iets etc. Alleen die klik is bijna nooit genoeg. En zelfs die klik iets download, moet je nog steeds de download dubbelklikken.

Die nuance maakt voor mij echt een groot verschil, zeker als je kijkt naar phishing campagnes waar mensen rapporteren op hoe vaak geklikt wordt. Ps de tool die wij gebruiken maakt daar ook onderscheid in. Mensen die geklikt hebben en mensen die 'compromised' zijn.

pvink schreef op woensdag 9 november 2022 @ 11:49:
Wij gebruiken sindskort HOXHUNT en mensen hier worden daar gek van...maar het helpt wel als je elke week wel 1 nep-mail krijgt.

+1 voor HoxHunt, maar dat is wel een betaalde service.

Het irriteert veel mensen mateloos "moet ik nu weer tijd verspillen aan een (30 seconden durende) training over digitale veiligheid"

Maar tegelijkertijd klikken er wel ongelofelijk veel mensen op die mails - die echte phishing enorm goed nabootsen. En in elke "les" weer een stukje tactiet uitleggen.

oak3 schreef op donderdag 10 november 2022 @ 12:17:
[...]


We hebben een andere beleving. Hierboven beschrijf je naar mijn idee precies wat ik bedoel. Een klik is niet erg, want je moet eerst iemand overhalen om een kwetsbare browser te downloaden. In een organisatie zou dat niet moeten werken omdat je niet zelf wat mag installeren (hopelijk) of dat browsers in ieder geval beheerd zijn.

Dat is precies mijn punt. Gehackt worden na alleen een klik is echt zeldzaam, want dat staat vrijwel gelijk aan gehackt worden na alleen het bezoeken van een website. Er moet vrijwel altijd een stap achter zitten. Invullen van credentials, downloaden van malware, autoriseren van iets etc. Alleen die klik is bijna nooit genoeg. En zelfs die klik iets download, moet je nog steeds de download dubbelklikken.

Die nuance maakt voor mij echt een groot verschil, zeker als je kijkt naar phishing campagnes waar mensen rapporteren op hoe vaak geklikt wordt. Ps de tool die wij gebruiken maakt daar ook onderscheid in. Mensen die geklikt hebben en mensen die 'compromised' zijn.

Remote code execution leaks/hacks/hoe je ze ook noemt, zijn anders nog altijd schering en inslag. Een browser of een actie daarin, is echt niet meer vereist hiervoor. Dat hier nog best een perceptie is dat dit wel zo is, vind ik eigenlijk schrikbarender.

Jazzy schreef op donderdag 10 november 2022 @ 12:08:
[...]
Wat ik niet zo goed begrijp is hoe je aan de ene kant benadrukt dat je security van meerdere kanten moet benaderen en dat een combinatie van technieken de beste beveiliging biedt. Maar aan de andere kant bepaalde risico's bagatelliseert omdat ze zeldzaam zouden zijn, terwijl talloze analyses zoals die van Coinbase juist aantonen dat aanvallers gebruik maken van een combinatie van misschien wel tientallen zwakheden.

Ik benader het vanuit risico. Waar zijn de meeste organisaties bang voor? Meestal ransomware. Als je je daarin verdiept is phishing een belangrijke aanvalsroute. Echter altijd in combinatie met een bijlage aan de mail of iemand verleiden iets te downloaden en uit te voeren (iso, excel met macro etc). Zie voor voorbeelden bijvoorbeeld https://thedfirreport.com/ of de case van universiteit Maastricht.
Alleen klikken zie ik daar niet voorkomen en vandaar dat ik het bagetaliseer of beter, lager op mijn prio lijst zet.

Het coinbase voorbeeld is goed, maar een phishing campagne doe je in een bedrijf. Dus ik richt met ook op de risico's die relevant zijn voor een bedrijf.

CH4OS schreef op donderdag 10 november 2022 @ 12:24:
[...]
Remote code execution leaks/hacks/hoe je ze ook noemt, zijn anders nog altijd schering en inslag. Een browser of een actie daarin, is echt niet meer vereist hiervoor. Dat hier nog best een perceptie is dat dit wel zo is, vind ik eigenlijk schrikbarender.

Super relevant, en iets wat je in de gaten moet houden. Maar niet iets wat bij mij in relatie staat tot Phishing.

Ik zie vooral phishing mailtjes voor de KVK, cadeau kaarten, bank rekening nummer wijzigen en er is een bestand gedeeld via Teams. Als ik awareness zou doen, zou ik me daar op richten.

[Voor 25% gewijzigd door oak3 op 10-11-2022 12:36]

martijn.vw schreef op woensdag 9 november 2022 @ 15:01:
Want dat is je doel, toch? Educatie?

Educatie wordt meestal eerder gedaan middels trainingen, de phishing test is vooral een middel om te testen hoe effectief die trainingen zijn en om mensen scherp te houden. Maar je zou (zeker in een wat kleinere organisatie waar het opzetten van realistische online trainingen wellicht niet haalbaar is) inderdaad op de manier die jij omschrijft ook je educatie gedeelte kunnen doen.

Ik zie ook wat klachten over hoe vaak zoiets gedaan wordt: door het vaker te doen kan je dus bijvoorbeeld ook variëren met kenmerken en zo een beeld krijgen welke kenmerken gebruikers wel oppikken en welke ze over het hoofd zien. Wat dan weer nuttige informatie is om je volgende ronde trainingen op aan te passen.

Maar alles valt of staat uiteraard wel met mandaat en acceptatie door gebruikers. Als je de verkeerde snaar raakt door een belerend toontje aan te slaan, irritatie opwekt of dit soort zaken vanuit IT gaat doen zonder dat de bedrijfsleiding er van af weet, dan is dat wel een recept voor gezeik.

Een anekdote over dit onderwerp: Een ICT bedrijf in het zuiden van Nederland heeft eerder dit jaar een email van mij aan een medewerker van een bedrijf waarvoor ze de ICT regelen (mijn contactpersoon daar) omgebouwd tot nep-phishingmail en verspreid binnen die organisatie als "test". Ik kwam erachter omdat mijn contactpersoon het doorhad en mij belde om te zeggen dat ik was gehacked. Ik was hier niet blij mee.

Erwin schreef op donderdag 10 november 2022 @ 12:57:
Een anekdote over dit onderwerp: Een ICT bedrijf in het zuiden van Nederland heeft eerder dit jaar een email van mij aan een medewerker van een bedrijf waarvoor ze de ICT regelen (mijn contactpersoon daar) omgebouwd tot nep-phishingmail en verspreid binnen die organisatie als "test". Ik kwam erachter omdat mijn contactpersoon het doorhad en mij belde om te zeggen dat ik was gehacked. Ik was hier niet blij mee.

[Afbeelding]

Ethiek is echt zo onderschat met dit soort e-mails, ik blijf me er over verbazen

Je kan echt mooie voorbeelden vinden, bijvoorbeeld deze van GoDaddy: https://www.engadget.com/...iday-bonus-220756457.html
$650 aan vakantiebonus beloven, en als je geklikt hebt, krijg je extra werk.

Zo wordt security echt een onderwerp waar mensen enthousiast over worden.

Erwin schreef op donderdag 10 november 2022 @ 12:57:
Een anekdote over dit onderwerp: Een ICT bedrijf in het zuiden van Nederland heeft eerder dit jaar een email van mij aan een medewerker van een bedrijf waarvoor ze de ICT regelen (mijn contactpersoon daar) omgebouwd tot nep-phishingmail en verspreid binnen die organisatie als "test". Ik kwam erachter omdat mijn contactpersoon het doorhad en mij belde om te zeggen dat ik was gehacked. Ik was hier niet blij mee.

[Afbeelding]

Ongelooflijk, wat een tekst. De betutteling en neerbuiging druipt er werkelijk vanaf. "JE hebt op een link geklikt", "JE hebt niet goed genoeg gelezen". Met andere woorden: JIJ hebt een fout gemaakt.

In mijn ogen zijn dit allemaal fouten van de ICT-afdeling. Een mail met een malafide link zou nooit door de spamfilters moeten komen. Dat kan natuurlijk een keer fout gaan, maar dan nog, de gebruiker klikt op een link en dat zou niet direct catastrofale gevolgen moeten hebben. Dan heb je echt je beveiliging van je webbrowser niet in orde.

Natuurlijk kan een malafide site om je wachtwoord vragen en kan het zijn dat de gebruiker die heeft ingetypt. Dat kun je een fout van de gebruiker vinden, maar then again. Veel bedrijven gebruiken verschillende websites met SSO. Ik moet in mijn organisatie bijvoorbeeld inloggen in Jira, SAP, Gitlab, Microsoft 365, allemaal met m'n Windows wachtwoord. Heel handig, maar als ik nu een mail krijg dat bijvoorbeeld ook een ander systeem is overgeschakeld op SSO en ik daar dus met m'n Windows wachtwoord kan inloggen, dan zou ik dat zo doen. En daarmee is mijn Windows wachtwoord dus behoorlijk phishbaar.

Het gaat veel verder dan alleen gebruikers voorlichten. Je moet als bedrijf ontzettend goed nadenken over je strategie. SSO is handig, maar geeft wel aanleiding tot extra mogelijkheden voor phishing en ik vind niet dat je gebruikers daar zomaar de schuld van kunt geven.

Erwin schreef op donderdag 10 november 2022 @ 12:57:
Een anekdote over dit onderwerp: Een ICT bedrijf in het zuiden van Nederland heeft eerder dit jaar een email van mij aan een medewerker van een bedrijf waarvoor ze de ICT regelen (mijn contactpersoon daar) omgebouwd tot nep-phishingmail en verspreid binnen die organisatie als "test". Ik kwam erachter omdat mijn contactpersoon het doorhad en mij belde om te zeggen dat ik was gehacked. Ik was hier niet blij mee.

Hier gebruikt men HoxHunt om af en toe namaak-phishing-mails te sturen. Hierbij probeert men om dit alles een beetje een spel-vorm te geven: leaderboards, shields die je kan verdienen en meer van dat soort spel-eigenschappen.

Op zo'n leaderboard kan je dan zien hoe hoog jij staat t.o.v. collega's - maar, je komt default anoniem in die scorelijst dus collega's kunnen niet zien hoe hoog/laag jij staat.

Drie maanden geleden kwam er dan ook een mail van IT langs met dat je die anoniem-mode ook uit kan zetten:

When the anonymous mode is OFF:
1. Your name will be used in simulation emails that try to mislead your colleagues by including your name (co-worker impersonations).
2. Your name will be visible on the Hoxhunt leaderboard. Other users can see your name on the leaderboard, as shown in the right picture.

...die eerste bullet, daar werd ik niet blij van en was voor mij de reden om anoniem te blijven: ik zit er niet op te wachten dat collega's denken dat IK hun tijd verkwist hiermee. Maar vind het wel weer netjes dat je hier zelf voor kan kiezen.

overigens is het wel weer leuk om uit te zoeken hoe je Outlook automatisch die Hoxhunt-mailtjes kan laten detecteren ...

Mocht je van plan zijn zelf wat te gaan versturen, ik kwam onlangs op Reddit een lijstje met wat leuke ideeën voor nep phishing mails tegen:
https://www.reddit.com/r/...as_how_to_make_them_hard/

reneetjuhh1991 schreef op donderdag 10 november 2022 @ 08:04:
[...]


Jij bent als ik het zo lees enigzins bedreven om het op je eigen manier te herkennen en er op te acteren.
Helaas geldt dat niet voor iedereen.

Maar zoals ik schreef in de rest van de post die je niet in je quote stopte, voor degene die het niet herkennen wordt gewoon door de software uitleg gegeven hoe ze het hadden kunnen herkennen.

hmmmmmmmmmpffff schreef op woensdag 9 november 2022 @ 12:22:
Typosquatting domein registreren, pagina kopieren van een dienst die jouw bedrijf vaak gebruikt (misschien zelfs jullie eigen loginpage of zo). Dan met een stukje php code (of iets anders) zorgen dat na het invullen van credentials opgeslagen wordt (in een txt bestand of zo) wie zij/haar gegevens heeft ingevuld.

Ik zou het wachtwoord niet eens loggen. Als dit naar buiten komt, ook al is het voor een test bedoeld, dan maak je jouw bedrijf al schandelijk of een lachertje.

Misschien is het leuk om die via een AD te doen, en dan een extra recht of app/snelkoppeling op de desktop te zetten die doet als of je gehacked bent. Of een document aan te maken in hackersfeer met dreigende taal over het bedrijf met daaronder:

Dit was onderdeel van een test of je veilig bezig bent. Helaas, je hebt geklikt op een scammail.
Bel onze IT-Crowd voor meer informatie..

PhilipsFan schreef op donderdag 10 november 2022 @ 14:28:
[...]

Ongelooflijk, wat een tekst. De betutteling en neerbuiging druipt er werkelijk vanaf. "JE hebt op een link geklikt", "JE hebt niet goed genoeg gelezen". Met andere woorden: JIJ hebt een fout gemaakt.

Direct gevolgd door: Dit kan zo in alle drukte gebeuren, dus wij gaan hier verder je mee helpen. (Samengevat). Ik zie niet echt in wat het probleem is.

In mijn ogen zijn dit allemaal fouten van de ICT-afdeling. Een mail met een malafide link zou nooit door de spamfilters moeten komen. Dat kan natuurlijk een keer fout gaan, maar dan nog, de gebruiker klikt op een link en dat zou niet direct catastrofale gevolgen moeten hebben. Dan heb je echt je beveiliging van je webbrowser niet in orde.

En ik heb genoeg kritiek op IT. Maar dit is ook wel heel makkelijk. Welk spamfilter heeft 100% succesrate? Of nou ja, 99.9% is ook goed, zolang de laatste 0.1% maar nul impact heeft als je je credentials intikt. Want daar gaat het bij phishing om, niet op klikken van een link (al kan dat natuurlijk impact hebben via zero-days, maar ook die moet IT blijkbaar voorkomen), maar omdat vervolgens op een andere manier toegang wordt gegeven tot je netwerk.

Veel bedrijven gebruiken verschillende websites met SSO. Ik moet in mijn organisatie bijvoorbeeld inloggen in Jira, SAP, Gitlab, Microsoft 365, allemaal met m'n Windows wachtwoord. Heel handig, maar als ik nu een mail krijg dat bijvoorbeeld ook een ander systeem is overgeschakeld op SSO en ik daar dus met m'n Windows wachtwoord kan inloggen, dan zou ik dat zo doen. En daarmee is mijn Windows wachtwoord dus behoorlijk phishbaar.

En anders is je beveiliging all over the place verdeeld, en een ieder die op een phishing link klikt heeft toch één wachtwoord voor de hele handel (en ik voel me redelijk zeker dat ik dat niet snel zou doen, maar alsnog ga ik niet 10 verschillende wachtwoorden voor mijn werkgever onthouden).


Onder de streep is het natuurlijk logisch dat dit niet je enige verdediging tegen phishing is. Maar het is ook wel heel makkelijk te zeggen dat de gebruiker alles moet mogen kunnen doen zonder enige impact. Dat is gewoon niet realistisch, zeker als je wil dat diezelfde gebruiker nog enige vorm van productiviteit heeft, en niet dat voor beveiliging alles zo dichtgetimmerd is, dat er ook geen werk meer gebeurd.

Ik begrijp de kritiek hier wel. Veel phishing simulaties gaat om tricken, niet teachen.
Als mensen gaan rapporteren op clicks ipv credentials achtergelaten dan is dat al een rode flag dat het om het tricken gaat en niet om het teachen...

Wat je vaak ziet bij bedrijven is dat de IT en email etiquiette slecht geregeld is:
- Weinig SSO, nieuwe systemen waar mensen meerdere keren per dag moeten inloggen
- Slechte email etiquette. Mails vanuit @surveymonkey, @Fileshare services, @onmicrosoft etc
- Niet communiceren aan gebruikers wat legitieme links zijn. (wij kennen login.microsoftonline.com, de gebruiker ook?)

Dan kan een gebruiker wel aware zijn, maar het is volstrekt logisch dat hij niet kan handelen.

Ik vind het dan wel bijzonder dat een gebruiker wel wordt afgerekend op klikken op de nep kerstmail, maar een maand later is de sinterklaas mail vanaf $randomAfzender wel legitiem.....

Ik weet het, dkim inregelen en al die partijen die HR/communicatie gebruikt netjes onboarden en laten mailen vanaf je @domain.suffix is een klote werk maar toch is het net zo goed een onderdeel van security.

Phishing simulaties zijn belangrijk en zeker doen, tegelijk zal er altijd wel een gebruiker zijn die toch klikt en zijn credentials afgeeft. Vanuit je andere plannen moet je daar gewoon rekening mee houden en zeker niet al je geld zetten op security awareness dmv phishing simulatie

[Voor 9% gewijzigd door laurens0619 op 10-11-2022 21:02]