Herkenbaarheid en betrouwbaarheid van websites en e-mails...2019/01/31 · Herkenbaarheid van en...

Herkenbaarheid van en

vertrouwen in websites en

e-mails van de overheid

Een onderzoek naar de herkenning van echte en

vervalste websites en e-mails van de overheid

Uitgevoerd in opdracht van:

Directie Informatiesamenleving en Overheid (DI&O)

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Januari 2019

H6048

Herkenbaarheid van en vertrouwen in websites en e-mails van de overheid

Inhoud

2

1 Inleiding en onderzoeksspecificaties 3

2 Digivaardigheid en eigen ervaringen 10

3 Beoordeling van vervalste websites en e-mails 14

4 Beoordeling van echte websites en e-mails 23

5 Digideskundigen en digi-onvaardigen 32

6 Houding ten aanzien van maatregelen 37

Bijlagen:

Screenshots van voorgelegde websites en e-mailberichten

Memo resultaten kwalitatief onderzoek

Inleiding en onderzoeksspecificaties


Phishing is een serieus beveiligingsrisico, ook de overheid heeft

hiermee te maken. Een recent voorbeeld is de phishingmail van

MijnOverheid die werd gebruikt om DigiD-inloggegevens te ontfutselen.

De vraag is: hoe kan een gebruiker een legitieme e-mail of website van

de overheid herkennen?

De Directie Informatiesamenleving en Overheid (DI&O) van het

ministerie van Binnenlandse Zaken en Koninkrijsrelaties wil de

herkenbaarheid en de betrouwbaarheid van overheidswebsites en e-

mails bevorderen om phishing en spoofing* te voorkomen. Door middel

van onderzoek wil zij inzichten verwerven die helpen om deze

doelstellingen te realiseren.

In dit kader wil zij ook een goed beeld krijgen van de wensen,

behoeften en verwachtingen van burgers op het gebied van online

overheidscommunicatie. Om deze inzichten te verkrijgen heeft Kantar

Public kwalitatief en kwantitatief onderzoek onder burgers uitgevoerd.

* Phishing is een vorm van internetfraude waarbij de oplichter het slachtoffer naar een valse webpagina lokt

en ze daar persoonlijke gegevens afhandig maakt. Spoofing is nabootsen van een e-mailadres of

domeinnaam zodat de gebruiker denkt een echte website te bezoeken of een mail te ontvangen, terwijl deze

van een bedrieger is.

In dit rapport worden de resultaten van het kwantitatieve onderzoek

beschreven. Hierbij worden de volgende vragen beantwoord:

1. Digivaardigheid en eigen ervaringen. Hoe digivaardig zijn

burgers? Wat zijn de ervaringen van burgers met phishing,

oplichting, diefstal van gegevens etc.?

2. Beoordeling van websites en e-mails. Op welke kenmerken van

websites en e-mails letten burgers om de authenticiteit te

beoordelen? Welke kenmerken zorgen hierbij voor verkeerde

beoordelingen? Wat is de rol van communicatie vooraf hierbij? Om

dit in kaart te brengen zijn echte en vervalste websites en e-mails

aan burgers voorgelegd. De vervalste websites en e-mails zijn

gebaseerd op praktijkcasussen die zijn aangeleverd door de

Fraudehelpdesk.

3. Houding ten aanzien van maatregelen. Hoe kijken burgers aan

tegen maatregelen (zoals de uniforme extensie / terugdringen van

aantal overheidswebsites)?

Als bijlage bij dit rapport zijn de resultaten van het kwalitatieve

vooronderzoek opgenomen.

Inleiding

4


Doelgroepen

Het onderzoek is uitgevoerd onder burgers van 18 jaar en ouder.

Steekproefbronnen

Uit het NIPObase panel zijn n = 2.340 burgers van 18 jaar en ouder

uitgenodigd om deel te nemen aan het onderzoek. Onder deze burgers waren

170 personen die (in een screening die voorafgaand aan het onderzoek is

uitgevoerd) aangaven niet in staat te zijn om zelfstandig online zaken te

verrichten zoals informatie opzoeken, een online aankoop doen of

internetbankieren. Zij hebben de vragenlijst ingevuld met hulp van een andere

persoon die hier wel toe in staat is.

Online vragenlijst

Op basis van de onderzoeksvragen en de uitkomsten van de kwalitatieve fase,

zijn de vragenlijsten opgesteld. Na goedkeuring door BZK is de vragenlijst

definitief gemaakt. De gegevens zijn online verzameld. Respondenten

ontvingen een e-mail met daarin informatie over het onderzoek en een link

naar de online vragenlijst.

Veldwerkperiode

Het veldwerk is uitgevoerd van woensdag 21 november t/m woensdag 28

november 2018. Het invullen van de vragenlijst duurde gemiddeld 10 minuten.

Respons

In totaal hebben 1.423 burgers (respons van 59%) de vragenlijst ingevuld.

Waaronder 34 personen die niet zelfstandig de vragenlijst konden invullen en

daarbij hulp van iemand anders hebben gekregen.

Onderzoeksverantwoording

Incentive

Als dank voor hun deelname ontvangen onze panelleden een incentive in de vorm van NIPOpunten.

Representativiteit van de resultaten

Na afronding van het veldwerk is de steekproefsamenstelling vergeleken met normcijfers. Voor afwijkingen is gecorrigeerd door middel van herweging. De steekproef van burgers is herwogen op de kenmerken sekse, leeftijd, opleidingsniveau, sociale klasse, werkzaamheid en regio. Door middel van ‘werkzaamheid’ wordt gewaarborgd dat 8% van de burgersteekproef bestaat uit zelfstandig ondernemers, zodat deze groep kan worden uitgesplitst in de resultaten.

Afrondingsverschillen

In sommige gevallen tellen percentages niet op tot het totaal. Dit wordt veroorzaakt door afrondingsverschillen.

5


Digivaardigen en digi-onvaardigen

6

In het onderzoek zijn zowel digivaardige als digi-onvaardige burgers

vertegenwoordigd. Er bestaan geen ‘harde’ criteria om iemand als

digi(on)vaardig te beschouwen. In dit onderzoek wordt iemand als

digivaardig beschouwd wanneer deze persoon de basisvaardigheden

heeft om zelfstandig deel te nemen aan het digitale verkeer.

Hieronder verstaan we:

- Kunnen internetbankieren

- Een online aankoop te kunnen doen

- Een zoekmachine kunnen gebruiken

- Kunnen e-mailen

Van de ondervraagde burgers is 88% in staat alle vier handelingen

zelfstandig te verrichten. Deze personen zijn als ‘digivaardig’

gedefinieerd. De 12% die tenminste een van deze taken niet

zelfstandig kan uitvoeren beschouwen we in dit rapport als digi-

onvaardig.

Digivaardig digi-onvaardig

% %

▪ 18- 34 jaar 28 4

▪ 35-49 jaar 26 13

▪ 50-64 jaar 26 22

▪ 65+ 19 61

▪ Lager opgeleid (t/m mavo) 29 58

▪ Middelbaar opgeleid (mbo t/m vwo) 41 29

▪ Hoger opgeleid (hbo+ 30 13

Digi-onvaardigen zijn gemiddeld ouder en hebben over het

algemeen vaker een lagere opleiding genoten. Daarnaast zien we

dat digi-onvaardigen vaker niet werkzaam zijn (niet afgebeeld): ze

geven vaker aan arbeidsongeschikt, gepensioneerd of

huisvrouw/huisman te zijn.

Leesvoorbeelden: Van de digivaardigen is 19% 65 jaar of ouder. 58% van de digi-

onvaardigen is lager opgeleid.


Ervaringen met phishing

Bijna driekwart van de deelnemers aan dit onderzoek (van 18 jaar en

ouder) geeft aan ervaring te hebben phishing e-mails en/of vervalste

websites. En vier op de tien hebben weleens een phishing e-mail uit

naam van een overheidsdienst ontvangen. Eén op de zes heeft

daadwerkelijk schade geleden als gevolg van phishing e-mails en

vervalste websites (16%, omgerekend ca. 2,2 miljoen personen). Dit

maakt duidelijk dat het belangrijk is dat burgers vervalste communicatie

herkennen. Daarnaast is het voor een adequaat functionerende digitale

overheid van belang dat de websites en e-mailberichten van de

overheid als authentiek worden herkend en worden vertrouwd.

Herkenbaarheid echte en vervalste websites en e-mailberichten

In dit onderzoek zijn zowel echte als vervalste e-mailberichten en

websites aan burgers ter beoordeling voorgelegd. Uit de resultaten

blijkt dat burgers slecht in staat zijn om onechte websites te

ontmaskeren. De vervalste websites worden niet herkend door 50% tot

60% (afhankelijk van het voorbeeld). Bij vervalste e-mails zijn de

resultaten wat gunstiger: deze worden door 10% tot 30% niet

ontmaskerd.

Met het herkennen van echte (overheids)websites en e-mailberichten is

het niet beter gesteld. Slechts 30% tot 50% herkent de voorgelegde

websites als echt. Ook hier worden de e-mailberichten vaker juist

beoordeeld (48% tot 74% correct)*.

Waarop let men?

Vervalste websites herkent men vooral aan de hand van de

domeinnaam. Het slotje zorgt daarentegen voor verwarring, omdat

zowel echte als vervalste websites voorzien zijn van een slotje. Door

alleen op het slotje te letten, denken mensen ten onrechte dat een

website ‘echt’ is. Men zal waarschijnlijk beter in staat zijn om vervalste

websites te herkennen als men weet dat men op de combinatie van

domeinnaam en slotje moet letten.

Samenvatting (1/2)

7

* Bij deze cijfers merken we op dat de (on)herkenbaarheid van websites en e-mails ook te maken heeft met

de mate van bekendheid van de deelnemers met de betreffende (overheids)diensten. Daarnaast speelt het

gegeven dat deelnemers vanwege de opzet van het onderzoek gespitst zijn op het ontdekken van

vervalsingen een rol. Reguliere bezoekers van de websites en ontvangers van e-mails van betreffende

(overheids)diensten zullen minder snel genegen zijn deze te vermijden, ook wanneer er redenen zijn om

hun echtheid in twijfel te trekken. Wel duiden de onderzoeksresultaten erop, dat er voor bezoekers van

websites en ontvangers van e-mails weinig aanknopingspunten zijn om echte van valse te onderscheiden.


De focus op de domeinnaam, zorgt er bij een aantal echte websites van

overheidsdiensten voor dat men deze niet herkent, omdat men niet

bekend is met de afzender van de overheidsdienst.

Uniforme regels voor de procedure van e-mailberichten (denk aan: in e-

mailberichten van overheidsdiensten zijn nooit links opgenomen) en

communicatie hierover zouden meer duidelijkheid kunnen scheppen

rondom het herkennen van overheidscommunicatie via e-mail.

Vervalste e-mails worden vooral herkend door wat er wordt gevraagd

en de procedure (bijvoorbeeld: klik op deze link) die moet worden

gevolgd. Hier wordt nu dus minder goed op de domeinnaam gelet.

Deelnemers die de vervalste e-mails onterecht als ‘echt’ bestempelen

letten ook op de procedure: alleen denken zij dat wat wordt gevraagd

gebruikelijk is. Dit betekent dat er momenteel nog niet altijd

duidelijkheid bestaat over wat gebruikelijke procedures zijn bij e-

mailberichten van overheidsdiensten.

Net als bij websites, worden echte e-mailberichten soms niet als

zodanig herkend omdat men niet bekend is met de afzender. Een

uniforme extensie (zie ook de volgende paragraaf) zou de herkenning

kunnen vergroten.

Houding ten aanzien van maatregelen

Circa twee derde (63%) van de ondervraagden verwacht gemakkelijker

websites en e-mails van de overheid te herkennen wanneer deze zijn

voorzien van een uniforme domeinextensie. Driekwart van de

ondervraagden (75%) is voorstander van zo’n uniforme extensie. Bijna

negen op de tien ondervraagden (86%) geven hierbij de voorkeur aan

de extensie “.overheid.nl”.

Veel ondervraagden vinden dat overheidscommunicatie zoveel mogelijk

via de portal MijnOverheid.nl moet verlopen (66%). Uit het kwalitatieve

onderzoek blijkt dat er ook zorgen zijn over de mogelijke consequentie

dat overheidsdiensten daardoor minder toegankelijk zijn voor personen

die minder digivaardig zijn. Daarnaast vindt men het verstandig om

nooit links naar overheidswebsites op te nemen in e-mails van de

overheid (50%). Het terugdringen van het aantal overheidswebsites

wordt door een minderheid (28%) als nuttige maatregel om

herkenbaarheid van websites te vergroten.

Samenvatting (2/2)

8


Conclusies:

• Veel burgers hebben moeite om goed te herkennen of een website of e-mailbericht al dan niet van de overheid is.

• Fraudeurs maken hiervan misbruik bij phishing.

• Bovendien zorgt het ervoor dat veel burgers ook echte overheidswebsites/-mails niet vertrouwen.

Aanbevelingen:

Vergroot de herkenbaarheid van websites en e-mailberichten van de overheid door:

• de uniforme domeinnaamextensie .overheid.nl achter alle domeinnamen van de overheid te plaatsen;

• helder te communiceren dat burgers de overheid als digitale afzender aan de uniforme domeinnaamextensie kunnen herkennen;

• aanvullend duidelijk te maken dat overheidswebsites altijd een slotje (HTTPS) dragen, en duidelijk te maken wat overheidsdiensten nooit in e-

mailberichten zullen vragen.

Conclusies en aanbevelingen

9

Digivaardigheid en eigen ervaringen


48

51

66

68

72

78

88

89

95

96

22

20

16

19

18

13

5

6

3

3

30

28

18

13

10

9

7

5

2

2

0% 20% 40% 60% 80% 100%

Ik kan de `private` of incognito modus gebruiken van mijn internetbrowser

Ik kan veilig en anoniem internetten via een VPN verbinding

Ik kan muziek en films downloaden van het internet

Ik kan online nepnieuws onderscheiden van echt nieuws

Ik kan de instellingen op social media aanpassen om zo mijn privacy beter te…

Ik kan `phishing` e-mails (waarin ze vissen naar inloggegevens) herkennen

Ik kan foto`s of berichten plaatsen op social media

Ik kan online een vakantie boeken

Ik kan een email openen, een reply op een e-mail sturen

Ik kan op internet een zoekmachine gebruiken

Dat kan ik Dat kan ik met behulp van anderen Dat kan ik niet

De meeste respondenten beschikken over prima digitale vaardigheden, de

vaardigheden op het gebied van veilig internetten schieten echter te kort

11

Bijna alle deelnemers aan het onderzoek kunnen zelfstandig een internet zoekmachine gebruiken en een e-mail openen en beantwoorden. Ook

het boeken van een vakantie en posten op sociale media kan men veelal zelfstandig. Opvallend is dat acht op de tien aangeven in staat te zijn

‘phishing’ e-mails te herkennen.

Q001. De volgende uitspraken gaan over uw digitale vaardigheden. Wat geldt voor u? Basis: n=1.423.


4

10

14

41

54

78

Op een nep-overheidswebsiteterechtgekomen

Op een nep-website van een bedrijfterechtgekomen

Ten onrechte een echte website of mailvan de overheid als nep aangezien

Phishing e-mails ontvangen van eenpersoon die mij probeerde op te lichten

Phishing e-mails ontvangen vanafzenders die doen alsof ze een

overheidsdienst zijn

Phishing e-mail ontvangen vanafzenders die doen alsof ze en bedrijf

zijn

Bijna driekwart heeft ervaring met phishing e-mails of vervalste websites

12

Ja, ervaring met

phishing e-mails,

vervalste e-mails of

websites

Geen van deze

72%

28%

Bijna driekwart van de deelnemers aan dit onderzoek heeft ervaring met phishing e-mails en/of vervalste websites. Meestal gaat het om phishing

e-mails van een bedrijf. Van degenen die met phishing te maken hebben gehad geeft 54% aan e-mails te hebben ontvangen van afzenders die

doen alsof ze overheidsdiensten zijn. Op totaalniveau gaat het om 39%. Een lager percentage geeft aan aan op vervalste overheidswebsites

terecht te zijn gekomen (4%).

Q029. Wat geldt voor u? Basis n = 1423. Wat geldt voor u? Basis n = 1014 ( selectie: ervaring met phishing / nep websites)

Digi-onvaardigen geven minder

vaak aan ervaring met phishing

te hebben 60%. Mogelijk wordt

dit veroorzaakt doordat deze

groep dit soort berichten en

websites minder goed herkent.


Een op de zes heeft weleens schade ondervonden van cybercrime

13

19

7

13

71

Diversen

Mijn persoonsgegevens zijn gestolen

Er is geld gestolen / ik heb geld moetenbetalen

Mijn computer / telefoon / tablet isgeïnfecteerd met een virus of malware

Ja, ik heb schade

ondervonden

Geen van deze

16%

84%

Q029. Op welke van de volgende manieren hebt u weleens schade ondervonden als gevolg van phishing e-mails of nep websites? Basis n = 1014 (ervaring met phishing / nep websites), n = 208 (schade ondervonden).

Van alle deelnemers aan dit onderzoek heeft een op de zes weleens schade ondervonden van cybercrime. Omgerekend naar de Nederlandse

bevolking gaat het om circa 2,2 miljoen personen. In de meeste gevallen gaat het daarbij om een apparaat dat geïnfecteerd was geraakt met een

virus of met malware. Diefstal van geld of persoonsgegevens komt met respectievelijk 13% en 7% minder vaak voor. Doorgerekend gaat het

hierbij om 2% en 1% van alle burgers van 18 jaar en ouder.

Digi-onvaardigen geven iets

vaker aan 19% (significant) aan

schade te hebben ondervonden

van cybercrime.

Herkenning van vervalste websites en e-mails


Aan de respondenten zijn in totaal vijf websites en vijf e-mailberichten

voorgelegd, met de vraag te beoordelen of deze echt of vervalst waren.

• Van de websites waren er drie authentiek en twee vervalst.

• Van de e-mailberichten waren er twee authentiek en drie vervalst.

Na de beoordeling is gevraagd aan de geven waarop men het oordeel

baseert.

In dit hoofdstuk gaan we in op de beoordeling van de vervalste

websites en e-mailberichten. De resultaten laten zien hoe bedreven

mensen zijn in het herkennen van vervalste websites en e-

mailberichten. Daarnaast kan uit de beoordelingen worden afgeleid

waarop personen letten die de websites terecht als vervalst

beoordelen. Deze good practices kunnen mogelijk aandacht krijgen bij

het geven van uitleg over dit onderwerp.

15

Uitleg voorafgaand aan de test

De resultaten die we op de volgende slides laten zien betreft alleen

respondenten die voorafgaand aan de beoordeling geen uitleg hebben

ontvangen over zaken waarmee echte en vervalste websites van elkaar

kunnen worden onderscheiden (n=711).

De andere helft van de respondenten (een willekeurige selectie van

50%) kreeg hier voorafgaand aan de beoordeling wel uitleg over. Deze

informatie is gegeven om te bepalen in welke mate dit zorgt voor het

beter herkennen van websites. Op slide 22 laten we zien in welke mate

de gegeven informatie leidt tot een andere beoordeling.

Beoordeling van de vervalste websites en e-mailberichten


Website: www.mijnoverheidvoorburgers.nl vervalst

16

2

4

8

4

2

5

3

4

84

2

2

9

11

13

15

18

29

38

43

61

Diversen

De procedure die voorgesteld wordt

Wat er wordt gevraagd

Het onderwerp

De schrijfstijl

De tekst / de gegevens

De logo's

De opmaak/vormgeving

De domeinnaam (URL)

Het slotje

Echt Vervalst

Q012: Waarom denkt u dat deze website echt of nep is? Conditie zonder uitleg voorafgaand aan de test

(n = 716).

• De deelnemers die terecht denken dat deze website vervalst is

kijken vooral naar de domeinnaam (84% vs. 43% echt). De

deelnemers die de website onterecht als echt bestempelen geven

vooral aandacht aan het slotje (61% vs. 2%).

Q011: Deze website is: (echt of nep) Conditie zonder uitleg voorafgaand aan de test (n = 716).

echt vervalst weet niet

▪ Nederlands publiek % 49 40 10

%


Website: www.mijnoverheid.zcards.nl/digid vervalst

17

3

1

2

7

3

6

3

85

7

3

1

10

12

17

22

25

28

32

41

52

Diversen

De schrijfstijl

Het onderwerp




De logo's

De domeinnaam (URL)


Het slotje

Echt Vervalst


(n = 716).


kijken vooral naar de domeinnaam (85% vs. 32% echt). De

deelnemers die de website onterecht als echt bestempelen geven

vooral aandacht aan het slotje (52% vs. 3%).




%


E-mail: [email protected] vervalst

18

2

14

25

3

25

30

13

52

24

46

4

5

15

16

18

29

30

32

33

53

Het slotje

Diversen

De domeinnaam (URL)

De logo's

De schrijfstijl


Het onderwerp




Echt Vervalst


(n = 716).

• De deelnemers die terecht denken dat dit bericht vervalst is kijken

vooral naar wat er wordt gevraagd (52% vs. 32% echt).

Daarnaast besteden ze aandacht aan de procedure. deelnemers

die onterecht denken dat de website ‘echt’ is besteden ook veel

aandacht aan de procedure, zij interpreteren deze procedure

onterecht als juist (46% vs. 53%).


Nederlands

publiek (%)

echt 4

vervalst 87

weet niet 10

%


E-mail: [email protected] – heractiveer uw digid vervalst

19

2

9

12

21

20

2

21

60

13

37

3

9

13

19

21

23

24

37

39

40

Het slotje

Diversen

De schrijfstijl

Het onderwerp


De logo's

De domeinnaam (URL)




Echt Vervalst


(n = 716).



kijken vooral naar wat er wordt gevraagd (60% vs. 37% echt).

Daarnaast besteden ze aandacht aan de procedure. deelnemers

die onterecht denken dat de website ‘echt’ is besteden ook veel

aandacht aan de procedure, zij interpreteren deze procedure

onterecht als juist (37% vs. 40%). deelnemers die onterecht

denken dat de website ‘echt’ is letten daarnaast op de opmaak /

vormgeving (39% vs. 13%)

Nederlands

publiek (%)

echt 13

vervalst 71

weet niet 15

%


Nederlands

publiek (%)

echt 7

vervalst 76

weet niet 17

E-mail: [email protected] vervalst

20

2

8

4

17

19

30

20

36

55

21

0

11

15

18

22

24

30

33

39

40

Het slotje

Diversen

De logo's

Het onderwerp

De schrijfstijl

De domeinnaam (URL)





Echt Vervalst


(n = 716).



kijken vooral naar wat er wordt gevraagd (55% vs. 39%).

deelnemers die denken dat de e-mail echt is besteden ook veel

aandacht aan wat er wordt gevraagd om de ‘echtheid’ te

beoordelen. Daarnaast letten respondenten die deze e-mail

onterecht als ‘echt’ bestempelen op de opmaak/vormgeving van

de e-mail (40% vs. 21%).

%


Vervalste websites herkennen gaat over het algemeen slechter (40% tot 50% ontmaskert de vervalste websites) dan het herkennen van vervalste

e-mailberichten (door 70% tot 90% ontmaskerd).

Websites

• Vervalste websites worden vooral ontmaskerd door de domeinnaam. Hieraan herkennen de deelnemers dat de website niet echt is.

• Het slotje zorgt voor verwarring en zorgt ervoor dat deelnemers onterecht denken dat de website ‘echt’ is. Dit komt doordat zowel echte als

vervalste websites voorzien zijn van een slotje. Men zal waarschijnlijk beter in staat zijn om vervalste websites te herkennen als men weet

dat men op de combinatie van domeinnaam en slotje moet letten. Het slotje alleen is misleidend bij het uit elkaar houden van echte en

vervalste websites.

E-mails

• Vervalste e-mails worden door de deelnemers vooral herkend door wat er wordt gevraagd en de procedure die wordt omschreven.

• Deelnemers die de vervalste e-mails onterecht als ‘echt’ bestempelen letten op dezelfde onderdelen. Zij denken dat wat er wordt gevraagd

en de procedure gebruikelijk is. Daarnaast denken zij vaker dat de e-mails ‘echt’ zijn door de opmaak, die zij onterecht als ‘echt’

bestempelen.

Conclusies over vervalste websites en e-mails

21


% correct

Met uitleg

voorafgaand aan

de test

Zonder uitleg

voorafgaand aan

de test

echt vervalstweet

nietecht vervalst

weet

niet

Website 2overheidvoorburgers

58 32 10 49 40 10

Website 3Zcards/digid

46 46 8 37 53 9

E-mail 1justitieelincassobureau

4 89 8 4 87 10

E-mail 2mijndigid

15 73 12 13 71 15

E-mail 4Rdw.mijnomgeving

9 79 12 7 76 17

Communicatie vooraf heeft weinig impact

22

• Websites. Communicatie vooraf heeft weinig impact. Respondenten aan wie

vooraf is uitgelegd hoe ze echt van vervalst kunnen onderscheiden, letten bij

de vervalste websites niet vaker op het webadres dan degenen die geen

uitleg hebben gehad. Wel letten zij vaker op het slotje. Dit leidt in sommige

gevallen tot verkeerde conclusies. Respondenten die geen uitleg hebben

gehad, beoordelen de echtheid vaker op basis van de opmaak.

• E-mailberichten. Ook hier heeft uitleg vooraf weinig invloed. Respondenten

die e-mails terecht als vervalst bestempelen letten vaker op wat er wordt

gevraagd. Wie de e-mails ten onrechte voor ‘echt’ aanzien letten vaker op de

opmaak en de procedure.

Onze conclusie is dat het bij het geven van uitleg over het herkennen van vervalste

websites van belang is te benadrukken dat men dient te letten op de combinatie

van webadres en slotje. Daarnaast neemt de waarde van het advies ‘let op

domeinnaam’ toe wanneer de overheid ervoor kiest om domeinnamen meer

uniform vorm te geven, zodat het duidelijk is waar mensen op moeten letten. Bij e-

mailberichten is het naast het controleren van de afzender good practice om stil te

staan bij wat er wordt gevraagd en zich af te vragen of dit gebruikelijk is.

Uitleg voorafgaand aan de test

Voordat we u de websites en e-mails laten zien willen we u de volgende uitleg geven.

1: De afzender kunt u herkennen aan het websiteadres ofwel de URL (zoals

www.overheid.nl) of het e-mailadres (zoals [email protected]).

2: Aan het slotje linksboven in uw browser kunt u zien dat u een beveiligde

verbinding heeft met de website die hoort bij de domeinnaam.

3: Alle andere elementen, zoals logo of tekst, zijn na te maken door een

internetcrimineel.

Herkenning van echte websites en e-mails


Op de volgende slides gaan we in op de beoordeling van de drie

authentieke websites en de twee authentieke e-mailberichten.

Deze resultaten geven inzicht in wat gedaan kan worden in wat gedaan

kan worden om de herkenbaarheid van websites en e-mailberichten

van overheidsdiensten te vergroten.

Net als in het vorige hoofdstuk, laten we eerst de resultaten zien van de

respondenten die vooraf geen uitleg hebben ontvangen. Daarna gaan

we in op de effecten van communicatie vooraf.

24

Beoordeling van authentieke websites en e-mailberichten


Website: www.energielabelvoorwoningen.nl echt

25

5

16

9

12

29

20

23

8

44

7

3

12

14

15

16

21

27

32

49

64

Diversen


De schrijfstijl

Het onderwerp




De logo's

De domeinnaam (URL)

Het slotje

Echt Vervalst


(n = 716).

• De deelnemers die terecht denken dat deze website echt is kijken

vooral naar het slotje, de domeinnaam en de logo’s. De

deelnemers die de website onterecht als vervalst bestempelen

geven vooral aandacht aan de domeinnaam.




%


Website: www.barendrecht.nl echt

26

4

6

6

2

6

4

21

10

66

38

5

6

15

19

19

20

27

36

40

49

De logo's

Diversen

De schrijfstijl

Het onderwerp





Het slotje

De domeinnaam (URL)

Echt Vervalst


(n = 716).


voornamelijk naar de domeinnaam. De deelnemers die de website

onterecht als vervalst bestempelen geven vooral aandacht aan het

slotje.




%


Website: www.huisvoorklokkenluiders.nl echt

27

7

16

7

22

21

26

23

25

26

10

1

5

5

12

13

15

19

24

54

64

Diversen


De logo's


De schrijfstijl

Het onderwerp



De domeinnaam (URL)

Het slotje

Echt Vervalst


(n = 716).


vooral naar het slotje en de domeinnaam. De deelnemers die de

website onterecht als vervalst bestempelen geven hiervoor

verschillende oorzaken.




%


E-mail: [email protected] echt

28

5

12

8

13

27

12

23

23

23

18

4

5

14

15

24

25

31

36

42

44

Het slotje

Diversen

De logo's

De schrijfstijl

De domeinnaam (URL)

Het onderwerp





Echt Vervalst


(n = 716).




• De deelnemers die terecht denken dat deze e-mail echt is kijken

vooral naar de procedure en wat er wordt gevraagd. De

deelnemers die de website onterecht als vervalst bestempelen

geven hiervoor verschillende oorzaken.

%


E-mail: [email protected] echt

29

2

15

3

21

30

19

25

22

32

17

1

2

8

16

19

23

24

30

52

55

Het slotje

Diversen

De logo's

De schrijfstijl

De domeinnaam (URL)

Het onderwerp





Echt Vervalst


(n = 716).




• De deelnemers die terecht denken dat deze e-mail echt is kijken

vooral naar de procedure en wat er wordt gevraagd. De

deelnemers die de e-mail onterecht als vervalst bestempelen kijken

vooral naar wat er wordt gevraagd en de domeinnaam (URL).

%


De voorgelegde authentieke websites worden niet vaak als zodanig herkend: slechts 30% tot 50% herkent de voorgelegde sites als authentiek.

We merken hierbij op dat dit ook te maken heeft met onbekendheid met de overheidsdiensten die bij deze sites horen, en dat men vanwege de

opzet van het onderzoek gespitst is op het ontdekken van zaken die op onjuistheid zouden kunnen duiden. Met andere woorden: in de praktijk

zullen de bezoekers van deze sites vaak bekend zijn met deze diensten, en zullen zij deze sites niet noodzakelijk mijden omdat men ze als

vervalst zien. Wel duiden deze resultaten erop dat men weinig aanknopingspunten heeft om authentieke overheidswebsites te herkennen.

De authentieke e-mailberichten worden vaker juist beoordeelt (48% tot 74%).

Websites

• Echte websites worden herkend aan de domeinnaam, het slotje en de logo’s.

• Deelnemers die onterecht denken dat de website ‘vervalst’ is letten ook op de domeinnaam maar herkennen deze niet. Daarnaast denken

zij soms dat de website vervalst is omdat het slotje niet groen is.

E-mails

• Echte e-mails worden door de deelnemers herkend door wat er wordt gevraagd en de procedure die wordt omschreven.

• Deelnemers die de echte e-mails onterecht als ‘echt’ bestempelen letten op dezelfde onderdelen. Zij denken dat wat er wordt gevraagd en

de procedure ongebruikelijk is. Dit kan te maken hebben met de links die waren opgenomen in het e-mailbericht van DUO. Daarnaast

denken zij vaker dat de e-mails ‘vervalst’ zijn door de domeinnaam, die zij niet kennen.

Conclusies over authentieke websites en e-mails

30


% correct

Met uitleg

voorafgaand aan

de test

Zonder uitleg

voorafgaand aan

de test

echt vervalstweet

nietecht vervalst

weet

niet

Website 1energielabelwoningen

65 22 14 54 25 20

Website 4barendrecht

32 54 14 31 47 22

Website 5klokkenluiders

74 9 18 61 12 27

E-mail 3mijn.overheid

75 16 10 74 16 10

E-mail 5DUO

50 33 17 48 30 22

De uitleg vooraf draagt nauwelijks bij aan een juiste beoordeling

31

Communicatie vooraf heeft weinig impact op het correct beantwoorden van de

vragen. Deelnemers die informatie vooraf hebben ontvangen geven vaker aan dat

ze denken dat de website terecht echt is door het slotje, zij besteden daar meer

aandacht aan. Aangezien het slotje niet het enige criterium is om de authenticiteit

te beoordelen, leidt dit niet noodzakelijk tot een betere beoordeling.

Phishing experts en digi-onvaardigen


Hoeveel goede antwoorden gaf men?

33

20

35

22

22

0-4

5-6

7

8-10

aantal goede antwoorden (%)Er zijn flinke verschillen tussen de respondenten in het aantal websites

en e-mailberichten dat zij juist hebben beoordeeld. Een vijfde van de

respondenten heeft maximaal vier goede antwoorden, terwijl 22% acht

of meer keer een juiste inschatting maakt.

Op de volgende slides gaan we in op de verschillen tussen groepen,

waarbij we stil staan bij de vraag wat we kunnen leren van de

inschattingen van de “phishing-experts”.

We maken bij deze analyse overigens geen onderscheid tussen

respondenten die vooraf wel of geen informatie hebben ontvangen.

“Phishing experts”

Basis: n=1.423


26

21

16

16

0-4 goed

5-6 goed

7 goed

8-10 goed

Let op opmaak (%):

29

46

58

72

0-4 goed

5-6 goed

7 goed

8-10 goed

Let op domeinnaam (%):

“Phishing experts” letten bij beoordelen van websites op de domeinnaam

34

Phishing experts (8-10 goede antwoorden) gedragen zich als volgt bij het beoordelen van websites: ze letten vaker op de domeinnaam van

websites en besteden daarentegen iets minder aandacht aan de opmaak.. Bij het ‘slotje’ zijn er nauwelijks verschillen met de andere groepen.

Basis: n=1.423


Bij het beoordelen van e-mails letten phishing experts vaker op de

domeinnaam en de procedure

35

16

20

27

34

0-4goed

5-6goed

7goed

8-10goed

Let op domeinnaam (%):

27

25

22

18

0-4goed

5-6goed

7goed

8-10goed

Let op opmaak (%):

22

35

44

50

0-4goed

5-6goed

7goed

8-10goed

Let op procedure (%):

Phishing experts (8-10 goede antwoorden) letten bij het beoordelen van e-mails vaker op de domeinnaam en de procedure, aan de opmaak

schenken ze minder aandacht.

Basis: n=1.423


Wie zijn de deelnemers die moeite hebben met het beoordelen (0-4 goed)?

36

0 – 4 goede antwoorden 5 + goede antwoorden

Digivaardig 64%

digi-onvaardig 36%

Digivaardig 86%

digi-onvaardig 14%

18-34 jaar 18%

35-49 jaar 21%

50-64 jaar 22%

65+ 39%

18-34 jaar 28%

35-49 jaar 26%

50-64 jaar 27%

65+ 18%

44%56% 51%49%

Geen/basisonderwijs 17%

LBO/VBO/VMBO 22%

MAVO, HAVO/VWO 3-

jaar10%

MBO 2-4 32%

HAVO/VWO bovenbouw 3%

HBO/WO bachelor 10%

HBO/WO master 5%

Geen/basisonderwijs 7%

LBO/VBO/VMBO 13%

MAVO, HAVO/VWO 3-

jaar8%

MBO 2-4 32%

HAVO/VWO bovenbouw 9%

HBO/WO bachelor 21%

HBO/WO master 11%Amsterdam, Rotterdam,

Den Haag19%

West 22%

Noord 10%

Oost 19%

Zuid 30%

Amsterdam, Rotterdam,

Den Haag15%

Rest west 31%

Noord 10%

Oost 21%

Zuid 22%

Sociale klasse

A (Hoog) 14%

B1 14%

B2 21%

C 21%

D (Laag) 30%

Sociale klasse

A (Hoog) 26%

B1 27%

B2 20%

C 16%

D (Laag) 11%

Mensen die moeite hebben met het herkennen van echte en vervalste websites en e-mailberichten, zijn vaak ouderen en personen met een lager

opleidingsniveau. We zien ook dat dit vaker personen zijn in de lagere sociale klassen, met minder digivaardigheden.

Houding ten aanzien van maatregelen


Aan de respondenten is gevraagd in welke mate het toevoegen van

een uniforme domeinnaam zou kunnen helpen bij het herkennen van

overheidswebsites en –mails. Hierbij is de volgende uitleg gegeven.

Er zijn op dit moment veel verschillende websiteadressen en

e-mailadressen die allemaal bij de overheid horen. De overheid denkt

erover na om aan al deze adressen een uniforme domeinnaam toe te

voegen. Hieronder ziet u hoe dat eruit zou komen te zien.

Websites

Huidig Uniform

www.belastingdienst.nl www.belastingdienst.overheid.nl

www.duo.nl www.duo.overheid.nl

www.rivm.nl www.rivm.overheid.nl

www.knmi.nl www.knmi.overheid.nl

E-mail

Huidig Uniform

[email protected] [email protected]




Zou u door het toevoegen van een uniforme domeinnaam

gemakkelijker herkennen dat het om een echte website of e-mail van

de overheid gaat?

Uniforme extensie

38


75

8

17

Toevoegen uniforme domeinnaam aan overheidswebsites en e-mails:

Ja

Nee

Weet ik niet

Driekwart is voorstander van een uniforme extensie

39

6313

24

Gemakkelijkere herkenning d.m.v. uniforme domeinnaam:

Ja

Nee

Weet ik niet

Circa twee derde van de ondervraagden verwacht

gemakkelijker websites en e-mails van de overheid te

herkennen wanneer deze zijn voorzien van de uniforme

extensie .overheid.nl

Driekwart van de ondervraagden is voorstander van het

invoeren van een uniforme extensie.

Q032: Vindt u dat de overheid een zo een uniforme domeinnaam zou moeten toevoegen voor

overheidswebsites en overheidsmails? (n = 1423)

Q031: Zou u door het toevoegen van een uniforme domeinnaam gemakkelijker herkennen dat het om

een echte website of e-mail van de overheid gaat? (n = 1423)


Voorkeur voor de uniforme extensie gaat uit naar “.overheid.nl”

40

Bijna negen op de tien deelnemers geeft de voorkeur aan deze uniforme extensie

86

12

37

Uniforme extensie .overheid.nl

.overheid.nl

.ovhd.nl

.gov.nl

Anders, namelijk

Weet ik niet

Q034: Hieronder ziet u als voorbeeld het website-adres van de Belastingdienst met verschillende uniforme extensies. Welke extensie heeft uw voorkeur? (N=1423)


5

3

24

28

42

50

66

Geen van deze

Diversen

Op alle overheidswebsites en e-mails dezelfde taal gebruiken

Het aantal overheidswebsites terugdringen

Alle overheidswebsites en e-mails hetzelfde vormgeven

In e-mails van de overheid nooit links naar webpagina's opnemen

Alle communicatie via de portal mijn.overheid.nl laten verlopen

Men vindt dat overheidscommunicatie zoveel mogelijk via de portal

MijnOverheid.nl moet verlopen

41

Tot slot is aan de respondenten nog een aantal potentiële maatregelen voorgelegd die de overheid kan nemen om ervoor te zorgen dat beter te

zien is dat websites en e-mails echt zijn.

Q035: Welke maatregelen zouden wat uw betreft moeten worden genomen? (N=1423)

• Het meest wordt genoemd om

communicatie achter het portal

MijnOverheid.nl te laten lopen.

• Daarnaast geeft men aan dat

men het verstandig zou vinden

om nooit links naar overheidssites

op te nemen in e-mails van de

overheid (50%) en om

overheidswebsites en e-mails een

uniforme vormgeving te geven.

(42%).

Herkenbaarheid en betrouwbaarheid van websites en e-mails...2019/01/31 · Herkenbaarheid van en...

Documents

Transcript of Herkenbaarheid en betrouwbaarheid van websites en e-mails...2019/01/31 · Herkenbaarheid van en...