Cybercrime en security zitten in een ratrace die de gewone gebruiker niet kan bijhouden. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
De gewone gebruiker van ict-middelen krijgt maar al te vaak het verwijt dat hij of zij domme dingen doet. Ondertussen neemt de complexiteit van ict toe en spelen economische belangen een aanjagende rol voor cybercrime. Technische ontwikkelingen om malware en phishing effectiever te laten zijn, zitten in een ratrace met ict-security.
Ondertussen is de gewone gebruiker het haasje: die kan het niet bijbenen en gaat nogal eens voor de bijl. Het phishen van inloggegevens voor bijvoorbeeld Facebook gebeurt tegenwoordig té geavanceerd. Het is geen reële optie om diepgaande ict-kennis te verwachten of zelfs te eisen van die gewone gebruikers. Het debuggen van iframes met developertools als Firefox plug-in Firebug of Chrome DevTools gaat te ver. De gewone gebruiker heeft meer bescherming nodig, maar hoe? Wat vind jij?
Wij zijn momenteel een gratis (online) cursus aan het ontwikkelen (als demo voor onze leeromgeving) die op diverse niveaus gebruikers bewustwording bij brengt. Bij de inventarisatie daarvan kwamen we erachter dat het de hoeveelheid materiaal aanzienlijk is. De basis is simpel, maar om daadwerkelijk een gebruiker “weerbaar” te maken vergt nogal wat. Wel een leuk onderwerp om mee bezig te zijn.
Ach en wat de ratrace betreft. Ook hier zie je evolutie. De schemes worden steeds knapper met goede vormgeving en sterke tekst, toch zie je dat de bescherming ertegen ook steeds beter word en mensen toch bewuster worden doordat ze steeds vaker verhalen horen van mensen in de buurt.
Ik denk dat het net als met SPAM op een gegeven moment wel weer effectief bestreden word.
Dat iedere zichzelf respecteren ICT professional zich ver van bedrijven als Facebook dienen te houden. Dan heb je ook geen last van phishing emails.
Er zijn ook bedrijven die de email gegevens van hun klanten doorverkopen en de koper ook wel eens een (spear)phisher blijkt te zijn. Wat dat betreft horen ook die bedrijven wat meer verantwoordelijk om te gaan met wie zij zaken doen omdat ze zo zichzelf in hun voet schieten.
Een onderzoek van de overheid (Kwetsbaarheden INTernet) dd. 9 Juli 2001 constateerde dit al, toen werd geconstateerd dat ongeveer 80% van de ICT incidenten veroorzaakt werd door gebruikers als gevolg van ontoereikende kennis. 15 jaar later is dit gestegen tot 90% omdat ondertussen een generatie de arbeidsmarkt betreden heeft die weinig kennis hebben aangaande het ontwerpen en beheren van informatiesystemen.
Ik roep natuurlijk maar wat over het risico van onbedoelde ketenafhankelijkheden – zoals we al in 2001 hadden – welke met cross-site scripting van iFrames alleen maar verschoven naar de gebruiker, iets dat al in 2005 bekend was maar omdat verandering geld kost werd hard geroepen dat IT-ers niet kunnen communiceren. IT zit namelijk toch vooral in de ‘rat race’ met de business omdat ‘privacy-by-design’ niet noodzakelijk werd geacht omdat het lekken van gegevens straffeloos gedaan kon worden.
Helemaal eens. Reden waarom we bij https://www.phishingtest.nl/ niet alleen kijken naar het bewustzijn van de gebruikers, maar ook naar de robuustheid van de IT-omgeving bij bedrijven. Hoe kan je de impact beperken van een succesvolle phishing-aanval op een medewerker? Dat is de vraag waarvoor bedrijven en overheden zich gesteld zien.
Phishing en social media staan los van elkaar; ook zonder Facebook account kun je phishing mails krijgen!
Veel ICT professionals staan geregistreerd bij organisaties als Oracle, Atlassian en Github. Het lijkt niet op Facebook, maar op die manier maak je jezelf net zo goed kwetsbaar voor phishing.
Phishing mails worden steeds beter, en dat houdt in dat je als argeloze gebruiker ook steeds beter moet gaan opletten. Aanbiedingen die te mooi zijn om waar te zijn, zijn ook niet waar, ook al is de mail in foutloos Nederlands. Gratis boodschappen en geblokkeerde passen deblokkeren: niet doen, trap er niet in.
Ik krijg sinds kort mails over mijn pensioenopbouw, of ik op een link ga klikken. Ik heb gebeld, de mails zijn echt, maar ik heb ze ook verteld dat ik dat niet ga doen, want de volgende mail lijkt vast op de vorige, maar komt niet van mijn pensioenfonds, en bevat waarschijnlijk een neplink, en dan hang ik. Ik verwacht dus gewoon een ouderwetse brief van mijn pensioenspaarder, met daarin de benodigde gegevens om veilig, bv via Digid met SMS verificatie vereist, in te loggen. Iets anders accepteer ik niet.
Ik moet zeggen, gezien hetgeen ik dagelijks binnen krijg, dat er een stijgende lijn in perfectionering van ‘het gilde’ te bewonderen is en ik soms echt wel twee keer moet lezen en kijken. Het Nederlands word steeds vlekkelozer.
Het is dat je weet als IT professional waar zo ongeveer naar te kijken. Het is duidelijk wanneer iemand stelt dat mijn ICS rekening is geblokkeerd omdat, en je dan geen ICS card houder bent. Ik kan me dus in de stelling wel vinden. En natuurlijk is het voor de IT professionals altijd een stapje te laat acteren. Dat heb je nu eenmaal bij cybercrime.
Het blijft opletten en de ‘ouwetjes’ blijven vertellen dat ze nooit hun pas, digid, bankreader naar wie dan ook op moeten sturen en banken zullen hen nooit mailen om t vertellen dat hun rekening of pas is geblokkeerd.