We klikken nog steeds op phishingmails, omdat banken en verzekeringsmaatschappijen die naar ons versturen!
Deze week kregen we het volgende nieuws van de NOS:
We klikken nog steeds op phishingmails, dus komt er een nieuwe campagne
En vandaag ontdek ik dat deze nieuwe campagne betreffende “phishingmails” ons niet gaat helpen. Ik schrok van die ontdekking. Dit weekend (zondag!) kreeg ik ineens twee e-mails van CZ met daarin oproepen om bepaalde rekeningen te betalen. Volgens de e-mail stond de uitleg in de bijlage (pdf) en verder stond er een mooie button in de mail waar ik op moest klikken om de rekeningen direct te kunnen voldoen. De bijlage voorzagen helaas niet in extra informatie maar wel was er een sommatie om vooral snel te betalen.
Wat (niet) te leren van anti-phishing campagne
Zo, en nu even terug naar de anti-phishing campagne. Wat leerden we daar? Vooral om niet te klikken op linken in e-mails. Kijk, de NOS maakt zich zorgen:
Alle bewustwordingscampagnes ten spijt, klikt een op de vijf mensen nog steeds op linkjes in phishing-mailtjes. Dat melden beveiligingsbedrijven Fox-IT en Motiv. Die bedrijven voeren vaak tests uit bij bedrijven om te kijken hoe alert medewerkers zijn.
Tja, de CZ wil dat ik klik, de overheid niet. De overheid doet het overigens goed met “mijnoverheid”. E-mails van hen bevatten inderdaad geen linken meer. De CZ doet het dus slecht. Nog een advies uit de campagne: geen inloggegevens invullen na klikken op een link uit de email:
Mensen klikken niet alleen op linkjes, ze vullen vervolgens ook heel vaak hun wachtwoorden in: dat doet 69 procent van de mensen die op een phishing-linkje klikte.
Tja, maar de CZ wil dat ik dit dus wel doe. Tenminste, als die twee e-mails ook werkelijk van de CZ zijn. Dus ik besluit te bellen op maandag. Ja, die e-mails zijn van de CZ. Daar was ik al bang voor. Ik leg aan de vriendelijke medewerkster uit dat dit soort e-mails tegenwoordig echt niet meer kan. Het kost mij 15 minuten om de email te kopiëren, de link achter de button aan te passen en die te laten verwijzen maar mijn nep-login pagina, om vervolgens deze email naar een lijst met CZ gebruikers te versturen. Die lijst heb ik zo samengesteld. En dan stop ik die nietszeggende PDF gewoon in de bijlage met logo van CZ. En als ik dan toch bezig ben, doe ik dit ook voor Menzis, VGZ en de andere groten der aarden. Ach, waarom ook niet voor de ING, Rabobank en de ABN-AMRO. Zo, ik krijg het nog druk maar dan ben ik wel binnen een maand multi-miljonair en zit ik ergens om een privé eiland. Niet dus, want ik ben DEwebmeester. Maar lieve banken en andere instellingen, zorg er alsjeblieft voor dat er geen enkele e-mail met betalings-linken de deur uitgaan. Pas dan heeft een eventuele extra campagne effect.
Mocht u advies willen, als instelling of als particulier, en vragen hebben over phishing strategieën? Schroom dan niet om contact met me op te nemen of om je reactie hier achter te laten.
Je moet ingelogd zijn om een reactie te plaatsen.