SNS

Vissen naar (inlog) gegevens (phishing)

  • 24 november 2017
  • 7 Reacties
  • 603 Keer bekeken

Vandaag weer 2 opmerkelijke berichten;
https://nos.nl/artikel/2204316-abn-fopt-eigen-personeel-met-nepcadeau.html
ook hier is wel een duidelijke cultuurverschil binnen de verschillende afdelingen / lagen bij ABN te herkennen. Zou zoiets ook bij de SNS kunnen?

https://nos.nl/artikel/2204309-klanten-knab-opgelicht-via-google.html
het wordt steeds moeilijker / ingewikkelder om goed of fout te onderscheiden. Google is welhaast te groot geworden, om nog voldoende controle over de inhoud te hebben.
Groet,
Ben 🆒

7 reacties

Hoi Ben,

Zo’n soort test is bij ons ook een keer gedaan. Even los van de gevoeligheden over een cadeau, is het in mijn beleving wel een goede manier om de bewustwording te vergroten. Je mag van een medewerker bij een bank verwachten dat hij of zij eerst goed kijkt en niet zomaar op een link klikt.
Ik vond dat de bank een geweldige test had gedaan. Klanten worden immers op dezelfde wijze bestookt, lekker gemaakt of bang gemaakt. Ook dan is de frustratie dubbel, als het beloofde niet waar blijkt te zijn, en ook zijn je gegevens nog eens gestolen. (Al sta je bij een test natuurlijk hooguit op de "Wall of shame"). Ik vond het raar dat iemand bij abnamro er de media over heeft ingelicht. De test bij ons was destijds ook op ongeveer dezelfde wijze ingestoken trouwens. Ik sta er in elk geval helemaal achter.
Als je wilt testen of je zelf voldoende kunt inschatten of je phishing mails herkent; kan ik https://www.certifiedsecure.com/ van harte aanraden. Je kunt hier diverse testjes doen om te zien of je voldoende op de hoogte bent van de verschillende bedreigingen op internet. Ook het kunnen herkennen van phishing mails is een van de "Challenges" die je kunt doen.
@MarcelR, leuke website (https://www.certifiedsecure.com/). 3x ruim voldoende op de testen. Ben jij nog achter het WW gekomen op de pagina: Internet Relay Chat (IRC)?
Ook niet netjes om geen privacy statement link bij registratie te vermelden...
Ook wij moeten via werkgever internet veiligheidscursussen doen inclusief Social Engineering.
Hoi Ben,

Zo’n soort test is bij ons ook een keer gedaan. Even los van de gevoeligheden over een cadeau, is het in mijn beleving wel een goede manier om de bewustwording te vergroten. Je mag van een medewerker bij een bank verwachten dat hij of zij eerst goed kijkt en niet zomaar op een link klikt.

Die "gevoeligheden" zijn natuurlijk wel een punt.
Volgens mij neemt phishing (en derg. trucs) nog steeds toe en zouden bedrijven (dus ook banken) meer vooruit moeten denken. Waarom bijv. geen nieuwsbrief zonder verwijzende links er in, maar met een verwijzing; ga naar de hoofdpagina van bijv. de SNS. Daar kan dan simpel nieuwsbrief staan en kunnen wel links gebruikt worden naar onderwerpen.
Wat is er op tegen?
Dus SNS aan ´t werk.
Er zou eigenlijk veel vaker getest moeten worden.
Groet,
Ben 🆒
@MarcelR, leuke website (https://www.certifiedsecure.com/). 3x ruim voldoende op de testen. Ben jij nog achter het WW gekomen op de pagina: Internet Relay Chat (IRC)?
Ook niet netjes om geen privacy statement link bij registratie te vermelden...
Ook wij moeten via werkgever internet veiligheidscursussen doen inclusief Social Engineering.

Uiteraard weet ik dat 🙂 (En het leuke is om hier zelf achter te komen. Al heb ik het vrijwel nooit gebruikt, doorpuzzelen kost vaak minder tijd dan wachten op iemand die een hint geeft) De challenges die je hier kunt doen gaan namelijk véél verder uiteindelijk, er worden ook challenges aangeboden waarbij je door technische truukjes (hacks dus), vaak gecombineerd met social engineering, een van de geprepareerde sites moet hacken. Als dat lukt kan je uiteindelijk bepaalde certificaten behalen.
Certified Secure maakt ook hackwedstrijden.
http://webwereld.nl/security/44830-ministerie-van-obfuscatie-volledig-gekraakt

De gedachte hierachter is natuurlijk dat je hierdoor als ict specialist meer bewust bent van de gevaren die op de loer liggen. Als je kunt denken als een hacker, kan je jezelf er veel beter tegen wapenen.
Badge +1
Goedemiddag,

We hebben een reactie van onze internetbeveiligingsspecialist: als bank proberen we inderdaad vooruit te denken en nemen we jullie input op dit gebied altijd mee in de overwegingen.

Spear-phishing gericht aan bedrijven is inderdaad steeds lastiger te herkennen. Zelfs het getrainde oog kan daar nog wel eens intrappen. Criminelen proberen een zo goed mogelijke mail specifiek op jou af te stemmen. Het trainen van medewerkers is dan ook van groot belang en onze collega’s worden met enige regelmaat weer alert gemaakt. We proberen daarbij onze medewerkers niet te ‘foppen’ maar juist de risico’s van mail (en alle andere communicatiemiddelen) te laten inzien. Omdat mensen beter onthouden wanneer ze het ervaren dan wanneer het ze alleen wordt verteld, gebruiken wij ook phishingoefeningen. Deze aanpak wordt positief ervaren bij SNS.

We kijken ook naar de mails die we zelf versturen aan klanten. Zo hebben we meegewerkt aan de factsheet ‘Goede bulkmail lijkt niet op phishingmail’ van het Nationaal Cyber Security Centrum (NCSC). Alle punten daaruit volgen we op zoals je als het goed is hebt gemerktt.
We hebben overwogen om helemaal geen verwijzende links op te nemen in de mail, zoals bijvoorbeeld 'Mijn overheid' doet. De uitkomst van de afweging tussen gebruikersvriendelijkheid en beveiliging is dat we inderdaad verwijzingen maken in onze mails naar de juiste plek op onze website en hierbij vooralsnog voor het gemak de link vermelden. De links die we gebruiken starten altijd met https://www.snsbank.nl/. Als je een bericht ontvangt met een link die op een andere manier start, dan is het phishing.

Je voorkomt phishing overigens niet met het verwijderen van links door 1 bedrijf. Neem bijvoorbeeld de frauduleuze CJIB-mails die effectief blijven, terwijl het CJIB al jaren aangeeft dat ze geen mails verzenden. Een ander voorbeeld is dat klanten van SNS een tijd terug een SMS kregen met linkjes, terwijl wij nooit SMS'jes met linkjes sturen. Phishing komt soms zelfs per post en daar zitten vanzelfsprekend geen linkjes in.

Hoe graag we het ook anders zien, blijft phishing op alle mogelijke manieren actueel. Het werk van onze fraudeafdeling die vervolgstappen onderneemt, blijft dan ook hard nodig. De advertenties naar valse internetbankierwebpagina’s in Google houden we in de gaten. Criminelen verzinnen telkens iets nieuws en wij staan 24/7 klaar om daar een stokje voor te steken.
Dank voor de toelichting.
Mij stoort toch altijd weer "gebruiksvriendelijkheid". Natuurlijk moet je daar rekening mee houden, maar ... Dat kun je op heel veel manieren. Probleem is dat we er nog niet echt aan toe zijn om anders te denken.
Bij links in een mail bijv.. Volgens mij is het geen gebruiksgemak, eerder "opvoeden tot...".
Klanten met enige ervaring gebruiken (bijna) nooit zulke links (of ze zijn er zeker van dat ze kloppen).
Klanten met minder ervaring zullen hier (waarschijnlijk) wel gebruik van maken, ook al weten ze niet of de link goed is.
Per definitie zadel je dus onervaren gebruikers met een groter risico op (soms moet je uit voorzorg keuzes beperken).
Groet,
Ben 🆒

Reageer