Herkenbaarheid en betrouwbaarheid van websites en e-mails...2019/01/31 · Herkenbaarheid van en...
Transcript of Herkenbaarheid en betrouwbaarheid van websites en e-mails...2019/01/31 · Herkenbaarheid van en...
Herkenbaarheid van en
vertrouwen in websites en
e-mails van de overheid
Een onderzoek naar de herkenning van echte en
vervalste websites en e-mails van de overheid
Uitgevoerd in opdracht van:
Directie Informatiesamenleving en Overheid (DI&O)
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Januari 2019
H6048
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Inhoud
2
1 Inleiding en onderzoeksspecificaties 3
2 Digivaardigheid en eigen ervaringen 10
3 Beoordeling van vervalste websites en e-mails 14
4 Beoordeling van echte websites en e-mails 23
5 Digideskundigen en digi-onvaardigen 32
6 Houding ten aanzien van maatregelen 37
Bijlagen:
Screenshots van voorgelegde websites en e-mailberichten
Memo resultaten kwalitatief onderzoek
Inleiding en onderzoeksspecificaties
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Phishing is een serieus beveiligingsrisico, ook de overheid heeft
hiermee te maken. Een recent voorbeeld is de phishingmail van
MijnOverheid die werd gebruikt om DigiD-inloggegevens te ontfutselen.
De vraag is: hoe kan een gebruiker een legitieme e-mail of website van
de overheid herkennen?
De Directie Informatiesamenleving en Overheid (DI&O) van het
ministerie van Binnenlandse Zaken en Koninkrijsrelaties wil de
herkenbaarheid en de betrouwbaarheid van overheidswebsites en e-
mails bevorderen om phishing en spoofing* te voorkomen. Door middel
van onderzoek wil zij inzichten verwerven die helpen om deze
doelstellingen te realiseren.
In dit kader wil zij ook een goed beeld krijgen van de wensen,
behoeften en verwachtingen van burgers op het gebied van online
overheidscommunicatie. Om deze inzichten te verkrijgen heeft Kantar
Public kwalitatief en kwantitatief onderzoek onder burgers uitgevoerd.
* Phishing is een vorm van internetfraude waarbij de oplichter het slachtoffer naar een valse webpagina lokt
en ze daar persoonlijke gegevens afhandig maakt. Spoofing is nabootsen van een e-mailadres of
domeinnaam zodat de gebruiker denkt een echte website te bezoeken of een mail te ontvangen, terwijl deze
van een bedrieger is.
In dit rapport worden de resultaten van het kwantitatieve onderzoek
beschreven. Hierbij worden de volgende vragen beantwoord:
1. Digivaardigheid en eigen ervaringen. Hoe digivaardig zijn
burgers? Wat zijn de ervaringen van burgers met phishing,
oplichting, diefstal van gegevens etc.?
2. Beoordeling van websites en e-mails. Op welke kenmerken van
websites en e-mails letten burgers om de authenticiteit te
beoordelen? Welke kenmerken zorgen hierbij voor verkeerde
beoordelingen? Wat is de rol van communicatie vooraf hierbij? Om
dit in kaart te brengen zijn echte en vervalste websites en e-mails
aan burgers voorgelegd. De vervalste websites en e-mails zijn
gebaseerd op praktijkcasussen die zijn aangeleverd door de
Fraudehelpdesk.
3. Houding ten aanzien van maatregelen. Hoe kijken burgers aan
tegen maatregelen (zoals de uniforme extensie / terugdringen van
aantal overheidswebsites)?
Als bijlage bij dit rapport zijn de resultaten van het kwalitatieve
vooronderzoek opgenomen.
Inleiding
4
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Doelgroepen
Het onderzoek is uitgevoerd onder burgers van 18 jaar en ouder.
Steekproefbronnen
Uit het NIPObase panel zijn n = 2.340 burgers van 18 jaar en ouder
uitgenodigd om deel te nemen aan het onderzoek. Onder deze burgers waren
170 personen die (in een screening die voorafgaand aan het onderzoek is
uitgevoerd) aangaven niet in staat te zijn om zelfstandig online zaken te
verrichten zoals informatie opzoeken, een online aankoop doen of
internetbankieren. Zij hebben de vragenlijst ingevuld met hulp van een andere
persoon die hier wel toe in staat is.
Online vragenlijst
Op basis van de onderzoeksvragen en de uitkomsten van de kwalitatieve fase,
zijn de vragenlijsten opgesteld. Na goedkeuring door BZK is de vragenlijst
definitief gemaakt. De gegevens zijn online verzameld. Respondenten
ontvingen een e-mail met daarin informatie over het onderzoek en een link
naar de online vragenlijst.
Veldwerkperiode
Het veldwerk is uitgevoerd van woensdag 21 november t/m woensdag 28
november 2018. Het invullen van de vragenlijst duurde gemiddeld 10 minuten.
Respons
In totaal hebben 1.423 burgers (respons van 59%) de vragenlijst ingevuld.
Waaronder 34 personen die niet zelfstandig de vragenlijst konden invullen en
daarbij hulp van iemand anders hebben gekregen.
Onderzoeksverantwoording
Incentive
Als dank voor hun deelname ontvangen onze panelleden een incentive in de vorm van NIPOpunten.
Representativiteit van de resultaten
Na afronding van het veldwerk is de steekproefsamenstelling vergeleken met normcijfers. Voor afwijkingen is gecorrigeerd door middel van herweging. De steekproef van burgers is herwogen op de kenmerken sekse, leeftijd, opleidingsniveau, sociale klasse, werkzaamheid en regio. Door middel van ‘werkzaamheid’ wordt gewaarborgd dat 8% van de burgersteekproef bestaat uit zelfstandig ondernemers, zodat deze groep kan worden uitgesplitst in de resultaten.
Afrondingsverschillen
In sommige gevallen tellen percentages niet op tot het totaal. Dit wordt veroorzaakt door afrondingsverschillen.
5
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Digivaardigen en digi-onvaardigen
6
In het onderzoek zijn zowel digivaardige als digi-onvaardige burgers
vertegenwoordigd. Er bestaan geen ‘harde’ criteria om iemand als
digi(on)vaardig te beschouwen. In dit onderzoek wordt iemand als
digivaardig beschouwd wanneer deze persoon de basisvaardigheden
heeft om zelfstandig deel te nemen aan het digitale verkeer.
Hieronder verstaan we:
- Kunnen internetbankieren
- Een online aankoop te kunnen doen
- Een zoekmachine kunnen gebruiken
- Kunnen e-mailen
Van de ondervraagde burgers is 88% in staat alle vier handelingen
zelfstandig te verrichten. Deze personen zijn als ‘digivaardig’
gedefinieerd. De 12% die tenminste een van deze taken niet
zelfstandig kan uitvoeren beschouwen we in dit rapport als digi-
onvaardig.
Digivaardig digi-onvaardig
% %
▪ 18- 34 jaar 28 4
▪ 35-49 jaar 26 13
▪ 50-64 jaar 26 22
▪ 65+ 19 61
▪ Lager opgeleid (t/m mavo) 29 58
▪ Middelbaar opgeleid (mbo t/m vwo) 41 29
▪ Hoger opgeleid (hbo+ 30 13
Digi-onvaardigen zijn gemiddeld ouder en hebben over het
algemeen vaker een lagere opleiding genoten. Daarnaast zien we
dat digi-onvaardigen vaker niet werkzaam zijn (niet afgebeeld): ze
geven vaker aan arbeidsongeschikt, gepensioneerd of
huisvrouw/huisman te zijn.
Leesvoorbeelden: Van de digivaardigen is 19% 65 jaar of ouder. 58% van de digi-
onvaardigen is lager opgeleid.
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Ervaringen met phishing
Bijna driekwart van de deelnemers aan dit onderzoek (van 18 jaar en
ouder) geeft aan ervaring te hebben phishing e-mails en/of vervalste
websites. En vier op de tien hebben weleens een phishing e-mail uit
naam van een overheidsdienst ontvangen. Eén op de zes heeft
daadwerkelijk schade geleden als gevolg van phishing e-mails en
vervalste websites (16%, omgerekend ca. 2,2 miljoen personen). Dit
maakt duidelijk dat het belangrijk is dat burgers vervalste communicatie
herkennen. Daarnaast is het voor een adequaat functionerende digitale
overheid van belang dat de websites en e-mailberichten van de
overheid als authentiek worden herkend en worden vertrouwd.
Herkenbaarheid echte en vervalste websites en e-mailberichten
In dit onderzoek zijn zowel echte als vervalste e-mailberichten en
websites aan burgers ter beoordeling voorgelegd. Uit de resultaten
blijkt dat burgers slecht in staat zijn om onechte websites te
ontmaskeren. De vervalste websites worden niet herkend door 50% tot
60% (afhankelijk van het voorbeeld). Bij vervalste e-mails zijn de
resultaten wat gunstiger: deze worden door 10% tot 30% niet
ontmaskerd.
Met het herkennen van echte (overheids)websites en e-mailberichten is
het niet beter gesteld. Slechts 30% tot 50% herkent de voorgelegde
websites als echt. Ook hier worden de e-mailberichten vaker juist
beoordeeld (48% tot 74% correct)*.
Waarop let men?
Vervalste websites herkent men vooral aan de hand van de
domeinnaam. Het slotje zorgt daarentegen voor verwarring, omdat
zowel echte als vervalste websites voorzien zijn van een slotje. Door
alleen op het slotje te letten, denken mensen ten onrechte dat een
website ‘echt’ is. Men zal waarschijnlijk beter in staat zijn om vervalste
websites te herkennen als men weet dat men op de combinatie van
domeinnaam en slotje moet letten.
Samenvatting (1/2)
7
* Bij deze cijfers merken we op dat de (on)herkenbaarheid van websites en e-mails ook te maken heeft met
de mate van bekendheid van de deelnemers met de betreffende (overheids)diensten. Daarnaast speelt het
gegeven dat deelnemers vanwege de opzet van het onderzoek gespitst zijn op het ontdekken van
vervalsingen een rol. Reguliere bezoekers van de websites en ontvangers van e-mails van betreffende
(overheids)diensten zullen minder snel genegen zijn deze te vermijden, ook wanneer er redenen zijn om
hun echtheid in twijfel te trekken. Wel duiden de onderzoeksresultaten erop, dat er voor bezoekers van
websites en ontvangers van e-mails weinig aanknopingspunten zijn om echte van valse te onderscheiden.
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
De focus op de domeinnaam, zorgt er bij een aantal echte websites van
overheidsdiensten voor dat men deze niet herkent, omdat men niet
bekend is met de afzender van de overheidsdienst.
Uniforme regels voor de procedure van e-mailberichten (denk aan: in e-
mailberichten van overheidsdiensten zijn nooit links opgenomen) en
communicatie hierover zouden meer duidelijkheid kunnen scheppen
rondom het herkennen van overheidscommunicatie via e-mail.
Vervalste e-mails worden vooral herkend door wat er wordt gevraagd
en de procedure (bijvoorbeeld: klik op deze link) die moet worden
gevolgd. Hier wordt nu dus minder goed op de domeinnaam gelet.
Deelnemers die de vervalste e-mails onterecht als ‘echt’ bestempelen
letten ook op de procedure: alleen denken zij dat wat wordt gevraagd
gebruikelijk is. Dit betekent dat er momenteel nog niet altijd
duidelijkheid bestaat over wat gebruikelijke procedures zijn bij e-
mailberichten van overheidsdiensten.
Net als bij websites, worden echte e-mailberichten soms niet als
zodanig herkend omdat men niet bekend is met de afzender. Een
uniforme extensie (zie ook de volgende paragraaf) zou de herkenning
kunnen vergroten.
Houding ten aanzien van maatregelen
Circa twee derde (63%) van de ondervraagden verwacht gemakkelijker
websites en e-mails van de overheid te herkennen wanneer deze zijn
voorzien van een uniforme domeinextensie. Driekwart van de
ondervraagden (75%) is voorstander van zo’n uniforme extensie. Bijna
negen op de tien ondervraagden (86%) geven hierbij de voorkeur aan
de extensie “.overheid.nl”.
Veel ondervraagden vinden dat overheidscommunicatie zoveel mogelijk
via de portal MijnOverheid.nl moet verlopen (66%). Uit het kwalitatieve
onderzoek blijkt dat er ook zorgen zijn over de mogelijke consequentie
dat overheidsdiensten daardoor minder toegankelijk zijn voor personen
die minder digivaardig zijn. Daarnaast vindt men het verstandig om
nooit links naar overheidswebsites op te nemen in e-mails van de
overheid (50%). Het terugdringen van het aantal overheidswebsites
wordt door een minderheid (28%) als nuttige maatregel om
herkenbaarheid van websites te vergroten.
Samenvatting (2/2)
8
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Conclusies:
• Veel burgers hebben moeite om goed te herkennen of een website of e-mailbericht al dan niet van de overheid is.
• Fraudeurs maken hiervan misbruik bij phishing.
• Bovendien zorgt het ervoor dat veel burgers ook echte overheidswebsites/-mails niet vertrouwen.
Aanbevelingen:
Vergroot de herkenbaarheid van websites en e-mailberichten van de overheid door:
• de uniforme domeinnaamextensie .overheid.nl achter alle domeinnamen van de overheid te plaatsen;
• helder te communiceren dat burgers de overheid als digitale afzender aan de uniforme domeinnaamextensie kunnen herkennen;
• aanvullend duidelijk te maken dat overheidswebsites altijd een slotje (HTTPS) dragen, en duidelijk te maken wat overheidsdiensten nooit in e-
mailberichten zullen vragen.
Conclusies en aanbevelingen
9
Digivaardigheid en eigen ervaringen
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
48
51
66
68
72
78
88
89
95
96
22
20
16
19
18
13
5
6
3
3
30
28
18
13
10
9
7
5
2
2
0% 20% 40% 60% 80% 100%
Ik kan de `private` of incognito modus gebruiken van mijn internetbrowser
Ik kan veilig en anoniem internetten via een VPN verbinding
Ik kan muziek en films downloaden van het internet
Ik kan online nepnieuws onderscheiden van echt nieuws
Ik kan de instellingen op social media aanpassen om zo mijn privacy beter te…
Ik kan `phishing` e-mails (waarin ze vissen naar inloggegevens) herkennen
Ik kan foto`s of berichten plaatsen op social media
Ik kan online een vakantie boeken
Ik kan een email openen, een reply op een e-mail sturen
Ik kan op internet een zoekmachine gebruiken
Dat kan ik Dat kan ik met behulp van anderen Dat kan ik niet
De meeste respondenten beschikken over prima digitale vaardigheden, de
vaardigheden op het gebied van veilig internetten schieten echter te kort
11
Bijna alle deelnemers aan het onderzoek kunnen zelfstandig een internet zoekmachine gebruiken en een e-mail openen en beantwoorden. Ook
het boeken van een vakantie en posten op sociale media kan men veelal zelfstandig. Opvallend is dat acht op de tien aangeven in staat te zijn
‘phishing’ e-mails te herkennen.
Q001. De volgende uitspraken gaan over uw digitale vaardigheden. Wat geldt voor u? Basis: n=1.423.
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
4
10
14
41
54
78
Op een nep-overheidswebsiteterechtgekomen
Op een nep-website van een bedrijfterechtgekomen
Ten onrechte een echte website of mailvan de overheid als nep aangezien
Phishing e-mails ontvangen van eenpersoon die mij probeerde op te lichten
Phishing e-mails ontvangen vanafzenders die doen alsof ze een
overheidsdienst zijn
Phishing e-mail ontvangen vanafzenders die doen alsof ze en bedrijf
zijn
Bijna driekwart heeft ervaring met phishing e-mails of vervalste websites
12
Ja, ervaring met
phishing e-mails,
vervalste e-mails of
websites
Geen van deze
72%
28%
Bijna driekwart van de deelnemers aan dit onderzoek heeft ervaring met phishing e-mails en/of vervalste websites. Meestal gaat het om phishing
e-mails van een bedrijf. Van degenen die met phishing te maken hebben gehad geeft 54% aan e-mails te hebben ontvangen van afzenders die
doen alsof ze overheidsdiensten zijn. Op totaalniveau gaat het om 39%. Een lager percentage geeft aan aan op vervalste overheidswebsites
terecht te zijn gekomen (4%).
Q029. Wat geldt voor u? Basis n = 1423. Wat geldt voor u? Basis n = 1014 ( selectie: ervaring met phishing / nep websites)
Digi-onvaardigen geven minder
vaak aan ervaring met phishing
te hebben 60%. Mogelijk wordt
dit veroorzaakt doordat deze
groep dit soort berichten en
websites minder goed herkent.
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Een op de zes heeft weleens schade ondervonden van cybercrime
13
19
7
13
71
Diversen
Mijn persoonsgegevens zijn gestolen
Er is geld gestolen / ik heb geld moetenbetalen
Mijn computer / telefoon / tablet isgeïnfecteerd met een virus of malware
Ja, ik heb schade
ondervonden
Geen van deze
16%
84%
Q029. Op welke van de volgende manieren hebt u weleens schade ondervonden als gevolg van phishing e-mails of nep websites? Basis n = 1014 (ervaring met phishing / nep websites), n = 208 (schade ondervonden).
Van alle deelnemers aan dit onderzoek heeft een op de zes weleens schade ondervonden van cybercrime. Omgerekend naar de Nederlandse
bevolking gaat het om circa 2,2 miljoen personen. In de meeste gevallen gaat het daarbij om een apparaat dat geïnfecteerd was geraakt met een
virus of met malware. Diefstal van geld of persoonsgegevens komt met respectievelijk 13% en 7% minder vaak voor. Doorgerekend gaat het
hierbij om 2% en 1% van alle burgers van 18 jaar en ouder.
Digi-onvaardigen geven iets
vaker aan 19% (significant) aan
schade te hebben ondervonden
van cybercrime.
Herkenning van vervalste websites en e-mails
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Aan de respondenten zijn in totaal vijf websites en vijf e-mailberichten
voorgelegd, met de vraag te beoordelen of deze echt of vervalst waren.
• Van de websites waren er drie authentiek en twee vervalst.
• Van de e-mailberichten waren er twee authentiek en drie vervalst.
Na de beoordeling is gevraagd aan de geven waarop men het oordeel
baseert.
In dit hoofdstuk gaan we in op de beoordeling van de vervalste
websites en e-mailberichten. De resultaten laten zien hoe bedreven
mensen zijn in het herkennen van vervalste websites en e-
mailberichten. Daarnaast kan uit de beoordelingen worden afgeleid
waarop personen letten die de websites terecht als vervalst
beoordelen. Deze good practices kunnen mogelijk aandacht krijgen bij
het geven van uitleg over dit onderwerp.
15
Uitleg voorafgaand aan de test
De resultaten die we op de volgende slides laten zien betreft alleen
respondenten die voorafgaand aan de beoordeling geen uitleg hebben
ontvangen over zaken waarmee echte en vervalste websites van elkaar
kunnen worden onderscheiden (n=711).
De andere helft van de respondenten (een willekeurige selectie van
50%) kreeg hier voorafgaand aan de beoordeling wel uitleg over. Deze
informatie is gegeven om te bepalen in welke mate dit zorgt voor het
beter herkennen van websites. Op slide 22 laten we zien in welke mate
de gegeven informatie leidt tot een andere beoordeling.
Beoordeling van de vervalste websites en e-mailberichten
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Website: www.mijnoverheidvoorburgers.nl vervalst
16
2
4
8
4
2
5
3
4
84
2
2
9
11
13
15
18
29
38
43
61
Diversen
De procedure die voorgesteld wordt
Wat er wordt gevraagd
Het onderwerp
De schrijfstijl
De tekst / de gegevens
De logo's
De opmaak/vormgeving
De domeinnaam (URL)
Het slotje
Echt Vervalst
Q012: Waarom denkt u dat deze website echt of nep is? Conditie zonder uitleg voorafgaand aan de test
(n = 716).
• De deelnemers die terecht denken dat deze website vervalst is
kijken vooral naar de domeinnaam (84% vs. 43% echt). De
deelnemers die de website onterecht als echt bestempelen geven
vooral aandacht aan het slotje (61% vs. 2%).
Q011: Deze website is: (echt of nep) Conditie zonder uitleg voorafgaand aan de test (n = 716).
echt vervalst weet niet
▪ Nederlands publiek % 49 40 10
%
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Website: www.mijnoverheid.zcards.nl/digid vervalst
17
3
1
2
7
3
6
3
85
7
3
1
10
12
17
22
25
28
32
41
52
Diversen
De schrijfstijl
Het onderwerp
De tekst / de gegevens
De procedure die voorgesteld wordt
Wat er wordt gevraagd
De logo's
De domeinnaam (URL)
De opmaak/vormgeving
Het slotje
Echt Vervalst
Q014: Waarom denkt u dat deze website echt of nep is? Conditie zonder uitleg voorafgaand aan de test
(n = 716).
• De deelnemers die terecht denken dat deze website vervalst is
kijken vooral naar de domeinnaam (85% vs. 32% echt). De
deelnemers die de website onterecht als echt bestempelen geven
vooral aandacht aan het slotje (52% vs. 3%).
Q013: Deze website is: (echt of nep) Conditie zonder uitleg voorafgaand aan de test (n = 716).
echt vervalst weet niet
▪ Nederlands publiek % 37 53 9
%
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
E-mail: [email protected] vervalst
18
2
14
25
3
25
30
13
52
24
46
4
5
15
16
18
29
30
32
33
53
Het slotje
Diversen
De domeinnaam (URL)
De logo's
De schrijfstijl
De tekst / de gegevens
Het onderwerp
Wat er wordt gevraagd
De opmaak/vormgeving
De procedure die voorgesteld wordt
Echt Vervalst
Q008: Waarom denkt u dat deze website echt of nep is? Conditie zonder uitleg voorafgaand aan de test
(n = 716).
• De deelnemers die terecht denken dat dit bericht vervalst is kijken
vooral naar wat er wordt gevraagd (52% vs. 32% echt).
Daarnaast besteden ze aandacht aan de procedure. deelnemers
die onterecht denken dat de website ‘echt’ is besteden ook veel
aandacht aan de procedure, zij interpreteren deze procedure
onterecht als juist (46% vs. 53%).
Q007: Deze website is: (echt of nep) Conditie zonder uitleg voorafgaand aan de test (n = 716).
Nederlands
publiek (%)
echt 4
vervalst 87
weet niet 10
%
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
E-mail: [email protected] – heractiveer uw digid vervalst
19
2
9
12
21
20
2
21
60
13
37
3
9
13
19
21
23
24
37
39
40
Het slotje
Diversen
De schrijfstijl
Het onderwerp
De tekst / de gegevens
De logo's
De domeinnaam (URL)
Wat er wordt gevraagd
De opmaak/vormgeving
De procedure die voorgesteld wordt
Echt Vervalst
Q022: Waarom denkt u dat deze website echt of nep is? Conditie zonder uitleg voorafgaand aan de test
(n = 716).
Q021: Deze website is: (echt of nep) Conditie zonder uitleg voorafgaand aan de test (n = 716).
• De deelnemers die terecht denken dat deze website vervalst is
kijken vooral naar wat er wordt gevraagd (60% vs. 37% echt).
Daarnaast besteden ze aandacht aan de procedure. deelnemers
die onterecht denken dat de website ‘echt’ is besteden ook veel
aandacht aan de procedure, zij interpreteren deze procedure
onterecht als juist (37% vs. 40%). deelnemers die onterecht
denken dat de website ‘echt’ is letten daarnaast op de opmaak /
vormgeving (39% vs. 13%)
Nederlands
publiek (%)
echt 13
vervalst 71
weet niet 15
%
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Nederlands
publiek (%)
echt 7
vervalst 76
weet niet 17
E-mail: [email protected] vervalst
20
2
8
4
17
19
30
20
36
55
21
0
11
15
18
22
24
30
33
39
40
Het slotje
Diversen
De logo's
Het onderwerp
De schrijfstijl
De domeinnaam (URL)
De tekst / de gegevens
De procedure die voorgesteld wordt
Wat er wordt gevraagd
De opmaak/vormgeving
Echt Vervalst
Q026: Waarom denkt u dat deze website echt of nep is? Conditie zonder uitleg voorafgaand aan de test
(n = 716).
Q025: Deze website is: (echt of nep) Conditie zonder uitleg voorafgaand aan de test (n = 716).
• De deelnemers die terecht denken dat deze website vervalst is
kijken vooral naar wat er wordt gevraagd (55% vs. 39%).
deelnemers die denken dat de e-mail echt is besteden ook veel
aandacht aan wat er wordt gevraagd om de ‘echtheid’ te
beoordelen. Daarnaast letten respondenten die deze e-mail
onterecht als ‘echt’ bestempelen op de opmaak/vormgeving van
de e-mail (40% vs. 21%).
%
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Vervalste websites herkennen gaat over het algemeen slechter (40% tot 50% ontmaskert de vervalste websites) dan het herkennen van vervalste
e-mailberichten (door 70% tot 90% ontmaskerd).
Websites
• Vervalste websites worden vooral ontmaskerd door de domeinnaam. Hieraan herkennen de deelnemers dat de website niet echt is.
• Het slotje zorgt voor verwarring en zorgt ervoor dat deelnemers onterecht denken dat de website ‘echt’ is. Dit komt doordat zowel echte als
vervalste websites voorzien zijn van een slotje. Men zal waarschijnlijk beter in staat zijn om vervalste websites te herkennen als men weet
dat men op de combinatie van domeinnaam en slotje moet letten. Het slotje alleen is misleidend bij het uit elkaar houden van echte en
vervalste websites.
E-mails
• Vervalste e-mails worden door de deelnemers vooral herkend door wat er wordt gevraagd en de procedure die wordt omschreven.
• Deelnemers die de vervalste e-mails onterecht als ‘echt’ bestempelen letten op dezelfde onderdelen. Zij denken dat wat er wordt gevraagd
en de procedure gebruikelijk is. Daarnaast denken zij vaker dat de e-mails ‘echt’ zijn door de opmaak, die zij onterecht als ‘echt’
bestempelen.
Conclusies over vervalste websites en e-mails
21
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
% correct
Met uitleg
voorafgaand aan
de test
Zonder uitleg
voorafgaand aan
de test
echt vervalstweet
nietecht vervalst
weet
niet
Website 2overheidvoorburgers
58 32 10 49 40 10
Website 3Zcards/digid
46 46 8 37 53 9
E-mail 1justitieelincassobureau
4 89 8 4 87 10
E-mail 2mijndigid
15 73 12 13 71 15
E-mail 4Rdw.mijnomgeving
9 79 12 7 76 17
Communicatie vooraf heeft weinig impact
22
• Websites. Communicatie vooraf heeft weinig impact. Respondenten aan wie
vooraf is uitgelegd hoe ze echt van vervalst kunnen onderscheiden, letten bij
de vervalste websites niet vaker op het webadres dan degenen die geen
uitleg hebben gehad. Wel letten zij vaker op het slotje. Dit leidt in sommige
gevallen tot verkeerde conclusies. Respondenten die geen uitleg hebben
gehad, beoordelen de echtheid vaker op basis van de opmaak.
• E-mailberichten. Ook hier heeft uitleg vooraf weinig invloed. Respondenten
die e-mails terecht als vervalst bestempelen letten vaker op wat er wordt
gevraagd. Wie de e-mails ten onrechte voor ‘echt’ aanzien letten vaker op de
opmaak en de procedure.
Onze conclusie is dat het bij het geven van uitleg over het herkennen van vervalste
websites van belang is te benadrukken dat men dient te letten op de combinatie
van webadres en slotje. Daarnaast neemt de waarde van het advies ‘let op
domeinnaam’ toe wanneer de overheid ervoor kiest om domeinnamen meer
uniform vorm te geven, zodat het duidelijk is waar mensen op moeten letten. Bij e-
mailberichten is het naast het controleren van de afzender good practice om stil te
staan bij wat er wordt gevraagd en zich af te vragen of dit gebruikelijk is.
Uitleg voorafgaand aan de test
Voordat we u de websites en e-mails laten zien willen we u de volgende uitleg geven.
1: De afzender kunt u herkennen aan het websiteadres ofwel de URL (zoals
www.overheid.nl) of het e-mailadres (zoals [email protected]).
2: Aan het slotje linksboven in uw browser kunt u zien dat u een beveiligde
verbinding heeft met de website die hoort bij de domeinnaam.
3: Alle andere elementen, zoals logo of tekst, zijn na te maken door een
internetcrimineel.
Herkenning van echte websites en e-mails
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Op de volgende slides gaan we in op de beoordeling van de drie
authentieke websites en de twee authentieke e-mailberichten.
Deze resultaten geven inzicht in wat gedaan kan worden in wat gedaan
kan worden om de herkenbaarheid van websites en e-mailberichten
van overheidsdiensten te vergroten.
Net als in het vorige hoofdstuk, laten we eerst de resultaten zien van de
respondenten die vooraf geen uitleg hebben ontvangen. Daarna gaan
we in op de effecten van communicatie vooraf.
24
Beoordeling van authentieke websites en e-mailberichten
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Website: www.energielabelvoorwoningen.nl echt
25
5
16
9
12
29
20
23
8
44
7
3
12
14
15
16
21
27
32
49
64
Diversen
De tekst / de gegevens
De schrijfstijl
Het onderwerp
Wat er wordt gevraagd
De procedure die voorgesteld wordt
De opmaak/vormgeving
De logo's
De domeinnaam (URL)
Het slotje
Echt Vervalst
Q006: Waarom denkt u dat deze website echt of nep is? Conditie zonder uitleg voorafgaand aan de test
(n = 716).
• De deelnemers die terecht denken dat deze website echt is kijken
vooral naar het slotje, de domeinnaam en de logo’s. De
deelnemers die de website onterecht als vervalst bestempelen
geven vooral aandacht aan de domeinnaam.
Q005: Deze website is: (echt of nep) Conditie zonder uitleg voorafgaand aan de test (n = 716).
echt vervalst weet niet
▪ Nederlands publiek % 54 25 20
%
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Website: www.barendrecht.nl echt
26
4
6
6
2
6
4
21
10
66
38
5
6
15
19
19
20
27
36
40
49
De logo's
Diversen
De schrijfstijl
Het onderwerp
De procedure die voorgesteld wordt
De tekst / de gegevens
Wat er wordt gevraagd
De opmaak/vormgeving
Het slotje
De domeinnaam (URL)
Echt Vervalst
Q018: Waarom denkt u dat deze website echt of nep is? Conditie zonder uitleg voorafgaand aan de test
(n = 716).
• De deelnemers die terecht denken dat deze website echt is kijken
voornamelijk naar de domeinnaam. De deelnemers die de website
onterecht als vervalst bestempelen geven vooral aandacht aan het
slotje.
Q017: Deze website is: (echt of nep) Conditie zonder uitleg voorafgaand aan de test (n = 716).
echt vervalst weet niet
▪ Nederlands publiek % 31 47 22
%
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Website: www.huisvoorklokkenluiders.nl echt
27
7
16
7
22
21
26
23
25
26
10
1
5
5
12
13
15
19
24
54
64
Diversen
De procedure die voorgesteld wordt
De logo's
Wat er wordt gevraagd
De schrijfstijl
Het onderwerp
De tekst / de gegevens
De opmaak/vormgeving
De domeinnaam (URL)
Het slotje
Echt Vervalst
Q020: Waarom denkt u dat deze website echt of nep is? Conditie zonder uitleg voorafgaand aan de test
(n = 716).
• De deelnemers die terecht denken dat deze website echt is kijken
vooral naar het slotje en de domeinnaam. De deelnemers die de
website onterecht als vervalst bestempelen geven hiervoor
verschillende oorzaken.
Q019: Deze website is: (echt of nep) Conditie zonder uitleg voorafgaand aan de test (n = 716).
echt vervalst weet niet
▪ Nederlands publiek % 61 12 27
%
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
E-mail: [email protected] echt
28
5
12
8
13
27
12
23
23
23
18
4
5
14
15
24
25
31
36
42
44
Het slotje
Diversen
De logo's
De schrijfstijl
De domeinnaam (URL)
Het onderwerp
De tekst / de gegevens
De opmaak/vormgeving
Wat er wordt gevraagd
De procedure die voorgesteld wordt
Echt Vervalst
Q024: Waarom denkt u dat deze website echt of nep is? Conditie zonder uitleg voorafgaand aan de test
(n = 716).
Q023: Deze website is: (echt of nep) Conditie zonder uitleg voorafgaand aan de test (n = 716).
echt vervalst weet niet
▪ Nederlands publiek % 74 16 10
• De deelnemers die terecht denken dat deze e-mail echt is kijken
vooral naar de procedure en wat er wordt gevraagd. De
deelnemers die de website onterecht als vervalst bestempelen
geven hiervoor verschillende oorzaken.
%
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
E-mail: [email protected] echt
29
2
15
3
21
30
19
25
22
32
17
1
2
8
16
19
23
24
30
52
55
Het slotje
Diversen
De logo's
De schrijfstijl
De domeinnaam (URL)
Het onderwerp
De opmaak/vormgeving
De tekst / de gegevens
Wat er wordt gevraagd
De procedure die voorgesteld wordt
Echt Vervalst
Q029: Waarom denkt u dat deze website echt of nep is? Conditie zonder uitleg voorafgaand aan de test
(n = 716).
Q027: Deze website is: (echt of nep) Conditie zonder uitleg voorafgaand aan de test (n = 716).
echt vervalst weet niet
▪ Nederlands publiek % 48 30 22
• De deelnemers die terecht denken dat deze e-mail echt is kijken
vooral naar de procedure en wat er wordt gevraagd. De
deelnemers die de e-mail onterecht als vervalst bestempelen kijken
vooral naar wat er wordt gevraagd en de domeinnaam (URL).
%
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
De voorgelegde authentieke websites worden niet vaak als zodanig herkend: slechts 30% tot 50% herkent de voorgelegde sites als authentiek.
We merken hierbij op dat dit ook te maken heeft met onbekendheid met de overheidsdiensten die bij deze sites horen, en dat men vanwege de
opzet van het onderzoek gespitst is op het ontdekken van zaken die op onjuistheid zouden kunnen duiden. Met andere woorden: in de praktijk
zullen de bezoekers van deze sites vaak bekend zijn met deze diensten, en zullen zij deze sites niet noodzakelijk mijden omdat men ze als
vervalst zien. Wel duiden deze resultaten erop dat men weinig aanknopingspunten heeft om authentieke overheidswebsites te herkennen.
De authentieke e-mailberichten worden vaker juist beoordeelt (48% tot 74%).
Websites
• Echte websites worden herkend aan de domeinnaam, het slotje en de logo’s.
• Deelnemers die onterecht denken dat de website ‘vervalst’ is letten ook op de domeinnaam maar herkennen deze niet. Daarnaast denken
zij soms dat de website vervalst is omdat het slotje niet groen is.
E-mails
• Echte e-mails worden door de deelnemers herkend door wat er wordt gevraagd en de procedure die wordt omschreven.
• Deelnemers die de echte e-mails onterecht als ‘echt’ bestempelen letten op dezelfde onderdelen. Zij denken dat wat er wordt gevraagd en
de procedure ongebruikelijk is. Dit kan te maken hebben met de links die waren opgenomen in het e-mailbericht van DUO. Daarnaast
denken zij vaker dat de e-mails ‘vervalst’ zijn door de domeinnaam, die zij niet kennen.
Conclusies over authentieke websites en e-mails
30
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
% correct
Met uitleg
voorafgaand aan
de test
Zonder uitleg
voorafgaand aan
de test
echt vervalstweet
nietecht vervalst
weet
niet
Website 1energielabelwoningen
65 22 14 54 25 20
Website 4barendrecht
32 54 14 31 47 22
Website 5klokkenluiders
74 9 18 61 12 27
E-mail 3mijn.overheid
75 16 10 74 16 10
E-mail 5DUO
50 33 17 48 30 22
De uitleg vooraf draagt nauwelijks bij aan een juiste beoordeling
31
Communicatie vooraf heeft weinig impact op het correct beantwoorden van de
vragen. Deelnemers die informatie vooraf hebben ontvangen geven vaker aan dat
ze denken dat de website terecht echt is door het slotje, zij besteden daar meer
aandacht aan. Aangezien het slotje niet het enige criterium is om de authenticiteit
te beoordelen, leidt dit niet noodzakelijk tot een betere beoordeling.
Phishing experts en digi-onvaardigen
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Hoeveel goede antwoorden gaf men?
33
20
35
22
22
0-4
5-6
7
8-10
aantal goede antwoorden (%)Er zijn flinke verschillen tussen de respondenten in het aantal websites
en e-mailberichten dat zij juist hebben beoordeeld. Een vijfde van de
respondenten heeft maximaal vier goede antwoorden, terwijl 22% acht
of meer keer een juiste inschatting maakt.
Op de volgende slides gaan we in op de verschillen tussen groepen,
waarbij we stil staan bij de vraag wat we kunnen leren van de
inschattingen van de “phishing-experts”.
We maken bij deze analyse overigens geen onderscheid tussen
respondenten die vooraf wel of geen informatie hebben ontvangen.
“Phishing experts”
Basis: n=1.423
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
26
21
16
16
0-4 goed
5-6 goed
7 goed
8-10 goed
Let op opmaak (%):
29
46
58
72
0-4 goed
5-6 goed
7 goed
8-10 goed
Let op domeinnaam (%):
“Phishing experts” letten bij beoordelen van websites op de domeinnaam
34
Phishing experts (8-10 goede antwoorden) gedragen zich als volgt bij het beoordelen van websites: ze letten vaker op de domeinnaam van
websites en besteden daarentegen iets minder aandacht aan de opmaak.. Bij het ‘slotje’ zijn er nauwelijks verschillen met de andere groepen.
Basis: n=1.423
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Bij het beoordelen van e-mails letten phishing experts vaker op de
domeinnaam en de procedure
35
16
20
27
34
0-4goed
5-6goed
7goed
8-10goed
Let op domeinnaam (%):
27
25
22
18
0-4goed
5-6goed
7goed
8-10goed
Let op opmaak (%):
22
35
44
50
0-4goed
5-6goed
7goed
8-10goed
Let op procedure (%):
Phishing experts (8-10 goede antwoorden) letten bij het beoordelen van e-mails vaker op de domeinnaam en de procedure, aan de opmaak
schenken ze minder aandacht.
Basis: n=1.423
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Wie zijn de deelnemers die moeite hebben met het beoordelen (0-4 goed)?
36
0 – 4 goede antwoorden 5 + goede antwoorden
Digivaardig 64%
digi-onvaardig 36%
Digivaardig 86%
digi-onvaardig 14%
18-34 jaar 18%
35-49 jaar 21%
50-64 jaar 22%
65+ 39%
18-34 jaar 28%
35-49 jaar 26%
50-64 jaar 27%
65+ 18%
44%56% 51%49%
Geen/basisonderwijs 17%
LBO/VBO/VMBO 22%
MAVO, HAVO/VWO 3-
jaar10%
MBO 2-4 32%
HAVO/VWO bovenbouw 3%
HBO/WO bachelor 10%
HBO/WO master 5%
Geen/basisonderwijs 7%
LBO/VBO/VMBO 13%
MAVO, HAVO/VWO 3-
jaar8%
MBO 2-4 32%
HAVO/VWO bovenbouw 9%
HBO/WO bachelor 21%
HBO/WO master 11%Amsterdam, Rotterdam,
Den Haag19%
West 22%
Noord 10%
Oost 19%
Zuid 30%
Amsterdam, Rotterdam,
Den Haag15%
Rest west 31%
Noord 10%
Oost 21%
Zuid 22%
Sociale klasse
A (Hoog) 14%
B1 14%
B2 21%
C 21%
D (Laag) 30%
Sociale klasse
A (Hoog) 26%
B1 27%
B2 20%
C 16%
D (Laag) 11%
Mensen die moeite hebben met het herkennen van echte en vervalste websites en e-mailberichten, zijn vaak ouderen en personen met een lager
opleidingsniveau. We zien ook dat dit vaker personen zijn in de lagere sociale klassen, met minder digivaardigheden.
Houding ten aanzien van maatregelen
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Aan de respondenten is gevraagd in welke mate het toevoegen van
een uniforme domeinnaam zou kunnen helpen bij het herkennen van
overheidswebsites en –mails. Hierbij is de volgende uitleg gegeven.
Er zijn op dit moment veel verschillende websiteadressen en
e-mailadressen die allemaal bij de overheid horen. De overheid denkt
erover na om aan al deze adressen een uniforme domeinnaam toe te
voegen. Hieronder ziet u hoe dat eruit zou komen te zien.
Websites
Huidig Uniform
www.belastingdienst.nl www.belastingdienst.overheid.nl
www.duo.nl www.duo.overheid.nl
www.rivm.nl www.rivm.overheid.nl
www.knmi.nl www.knmi.overheid.nl
Huidig Uniform
[email protected] [email protected]
[email protected] [email protected]
[email protected] [email protected]
[email protected] [email protected]
Zou u door het toevoegen van een uniforme domeinnaam
gemakkelijker herkennen dat het om een echte website of e-mail van
de overheid gaat?
Uniforme extensie
38
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
75
8
17
Toevoegen uniforme domeinnaam aan overheidswebsites en e-mails:
Ja
Nee
Weet ik niet
Driekwart is voorstander van een uniforme extensie
39
6313
24
Gemakkelijkere herkenning d.m.v. uniforme domeinnaam:
Ja
Nee
Weet ik niet
Circa twee derde van de ondervraagden verwacht
gemakkelijker websites en e-mails van de overheid te
herkennen wanneer deze zijn voorzien van de uniforme
extensie .overheid.nl
Driekwart van de ondervraagden is voorstander van het
invoeren van een uniforme extensie.
Q032: Vindt u dat de overheid een zo een uniforme domeinnaam zou moeten toevoegen voor
overheidswebsites en overheidsmails? (n = 1423)
Q031: Zou u door het toevoegen van een uniforme domeinnaam gemakkelijker herkennen dat het om
een echte website of e-mail van de overheid gaat? (n = 1423)
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
Voorkeur voor de uniforme extensie gaat uit naar “.overheid.nl”
40
Bijna negen op de tien deelnemers geeft de voorkeur aan deze uniforme extensie
86
12
37
Uniforme extensie .overheid.nl
.overheid.nl
.ovhd.nl
.gov.nl
Anders, namelijk
Weet ik niet
Q034: Hieronder ziet u als voorbeeld het website-adres van de Belastingdienst met verschillende uniforme extensies. Welke extensie heeft uw voorkeur? (N=1423)
Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid
5
3
24
28
42
50
66
Geen van deze
Diversen
Op alle overheidswebsites en e-mails dezelfde taal gebruiken
Het aantal overheidswebsites terugdringen
Alle overheidswebsites en e-mails hetzelfde vormgeven
In e-mails van de overheid nooit links naar webpagina's opnemen
Alle communicatie via de portal mijn.overheid.nl laten verlopen
Men vindt dat overheidscommunicatie zoveel mogelijk via de portal
MijnOverheid.nl moet verlopen
41
Tot slot is aan de respondenten nog een aantal potentiële maatregelen voorgelegd die de overheid kan nemen om ervoor te zorgen dat beter te
zien is dat websites en e-mails echt zijn.
Q035: Welke maatregelen zouden wat uw betreft moeten worden genomen? (N=1423)
• Het meest wordt genoemd om
communicatie achter het portal
MijnOverheid.nl te laten lopen.
• Daarnaast geeft men aan dat
men het verstandig zou vinden
om nooit links naar overheidssites
op te nemen in e-mails van de
overheid (50%) en om
overheidswebsites en e-mails een
uniforme vormgeving te geven.
(42%).