image

Free Record Shop e-mail waarschuwt klanten *Update*

vrijdag 19 december 2008, 10:35 door Redactie, 19 reacties

De Free Record Shop heeft naar al haar klanten een dubieuze e-mail verstuurd waarin een belangrijke beveiligingsupdate wordt aangekondigd. In het bericht, met als onderwerp "Belangrijke beveiligingsupdate", staat dat er een "belangrijke update die betrekking heeft op het beveiligingsniveau is uitgevoerd." Klanten krijgen daarna het advies om hun wachtwoord te veranderen. "Om er voor te zorgen dat de beveiliging van uw gegevens optimaal is, adviseren wij u om uw wachtwoord te wijzigen".

Niet alleen het onderwerp is onverwacht te noemem, de link naar de eigen website loopt via e-fulfilment.nl en in de tekstversie staat ook nog eens een geheel andere e-mail die de ontvanger laat weten dat die 2 kaartjes voor de 24 Redemption bioscoopvertoning heeft gewonnen. We vroegen de Free Record Shop waarom het klanten adviseert om hun wachtwoord te wijzigen, maar hebben op het moment van schrijven nog geen reactie ontvangen.

Update
Een woordvoerder van de Free Record Shop laat weten dat de brief naar aanleiding van het onderzoek door het AD is gestuurd. Hoewel er geen aanwijzingen zijn dat de gegevens van klanten gecompromitteerd zijn, is er uit voorzorg toch besloten om mensen te adviseren hun wachtwoord te wijzigen. Aangezien de webwinkel vaker klanten mailt, was er besloten om tot een e-mail over te gaan die de aandacht zou trekken. Wat betreft de foute e-mail in de tekstversie was dit een ongelukkige fout.

Reacties (19)
19-12-2008, 10:51 door Anoniem
Beveiliging is een vak, geen kunst.
19-12-2008, 10:53 door [Account Verwijderd]
[Verwijderd]
19-12-2008, 11:08 door Anoniem
Dat zal wel in verband met het AD verhaal zijn.

"De webwinkels zelf zijn geschrokken van het AD-onderzoek. Free Record Shop belooft de problemen vandaag te hebben verholpen. Ook V&D, Kijkshop, Overtoom en Bart Smit hebben direct maatregelen genomen. "
19-12-2008, 12:11 door EnigmaNL
Heb nog geen mailtje van ze ontvangen...
19-12-2008, 12:11 door Anoniem
Ik ging er vanuit dat het een phissing mail was en heb hem toegevoegd aan de blacklist bij Network Solutions. Wie stuurt en nu zo'n mail met koeieletters belangrijke beveiligingsupdate en dan de optie op het wachtwoord te veranderen met een niet freerecordshop link. Ik ben daar niet ingetrapt, maar vindt het nu nog stommer dat het een legitieme e-mail zou kunnen zijn. Wat een stelletje eikels daar. Overigens kan ik wel raden. De server zal wel gehackt zijn waardoor we ineens alle wachtwoorden moeten veranderen.
19-12-2008, 12:24 door Anoniem
Ah vandaar... ik laat al mijn e-mail in tekst weergeven en vond het al vreemd dat subject en body niet overeenkwamen... ter info, dit stond er in mijn tekstversie (zelf mijn naam weggehaald):

Beste [NAAM],

Gefeliciteerd! Je hebt 2 kaartjes voor de 24 Redemption bioscoopvertoning
gewonnen!

Je hebt 24 Redemption besteld bij www.freerecordshop.nl. Hiermee maakte je
automatisch kans op twee bioscoopkaartjes voor de exclusieve en eenmalige
bioscoopvertoning van 24 Redemption.

De bioscoopvoorstelling is op maandag 1 december in bioscoop MustSee Breda.
Vanaf 21:30 uur ben je welkom. De film begint om 22:00 uur.

Kijk hier voor de routebeschrijving:
http://www.mustsee.nl/route/route_breda.asp

Wat moet je doen?
Om je op de gastenlijst te kunnen zetten, horen we graag donderdag 27
november v??r 15:00 uur of je aanwezig kunt zijn! Reageer je later dan
kunnen we helaas niet meer garanderen dat er nog kaartjes beschikbaar zullen
zijn.

Je kunt reageren door simpel een antwoord te sturen op deze mail met in de
tekst:
Ja ik ben er bij (vermeld dan je voor- en achternaam in de mail)
?f Nee, helaas ik ben er niet bij.

Met vriendelijke groet,

Free Record Shop

P.S: Wil je bij de bioscoopvertoning van 24 Redemption zijn, beantwoord dan
deze mail, print deze mail uit en neem hem mee!
19-12-2008, 12:33 door Anoniem
Dacht haast dat het een visexpeditie was ...
19-12-2008, 12:46 door Anoniem
Ik heb hem ook ontvangen. De tekst versie luidt:

Beste heer/mevrouw,

Gefeliciteerd! Je hebt 2 kaartjes voor de 24 Redemption bioscoopvertoning
gewonnen!

Je hebt 24 Redemption besteld bij www.freerecordshop.nl. Hiermee maakte je
automatisch kans op twee bioscoopkaartjes voor de exclusieve en eenmalige
bioscoopvertoning van 24 Redemption.

De bioscoopvoorstelling is op maandag 1 december in bioscoop MustSee Breda.
Vanaf 21:30 uur ben je welkom. De film begint om 22:00 uur.

Kijk hier voor de routebeschrijving:
http://www.mustsee.nl/route/route_breda.asp

Wat moet je doen?
Om je op de gastenlijst te kunnen zetten, horen we graag donderdag 27
november vóór 15:00 uur of je aanwezig kunt zijn! Reageer je later dan
kunnen we helaas niet meer garanderen dat er nog kaartjes beschikbaar zullen
zijn.

Je kunt reageren door simpel een antwoord te sturen op deze mail met in de
tekst:
Ja ik ben er bij (vermeld dan je voor- en achternaam in de mail)
óf Nee, helaas ik ben er niet bij.

Met vriendelijke groet,

Free Record Shop

P.S: Wil je bij de bioscoopvertoning van 24 Redemption zijn, beantwoord dan
deze mail, print deze mail uit en neem hem mee!
Die voorstelling was dus 18 dagen geleden, en je moest 21 dagen geleden reageren. En kennelijk heb ik " 24 Redemption besteld". Vreemd.
19-12-2008, 13:16 door Anoniem
Er zit ook geen (wettelijke verplichte) opt out mogelijkheid in het bericht.

Er staat zelfs dit onderaan het bericht: "Dit is een automatisch gegenereerde mail, waar je niet op kunt reageren."
19-12-2008, 13:16 door Anoniem
Ik heb hem meteen gewist. Een site waarvan je niet weet of die onder beheer van FRS valt, vraagt om je wachtwoord op te geven (ik bedoel, hoe verander je anders je wachtwoord?). Meer phishing als dit wordt het niet voor mij.

Mijn adres gegevens en naam staan wel mooi in hun database! Misschien waard om eens te overwegen mijn account te verwijderen daar...
19-12-2008, 13:26 door Anoniem
De mail op zich komt al niet erg profi over, maar dit is nog mooier: in de tekstversie van de mail staat niet dezelfde tekst als in de HTML versie maar wel het volgende:


Beste heer/mevrouw,

Gefeliciteerd! Je hebt 2 kaartjes voor de 24 Redemption bioscoopvertoning
gewonnen!

Je hebt 24 Redemption besteld bij www.freerecordshop.nl. Hiermee maakte je
automatisch kans op twee bioscoopkaartjes voor de exclusieve en eenmalige
bioscoopvertoning van 24 Redemption.

De bioscoopvoorstelling is op maandag 1 december in bioscoop MustSee Breda.
Vanaf 21:30 uur ben je welkom. De film begint om 22:00 uur.
19-12-2008, 14:27 door Anoniem
deze zelfde procedure heeft Accountants kantoor BDO een aantal maanden geleden ook uitgevoerd, ook met e-fulfilment als provider...

Toen zette ik mijn vraagtekens al bij deze procedure. Wie weet meer over de e-fulfilment provider en hun manier van werken met dit soort partijen?
19-12-2008, 16:13 door Anoniem
Heb die mail ook gehad en zag meteen dat het rotte vis was.
Geen beste beurt van FRS om niet te reageren - het is nu al laat in de middag - op zo'n overduidelijke phishing poging, vooral nu je dus weet dat je bij hun in het bestand staat en dat daarmee gemanipuleerd wordt door derden.
Laten we hopen dat er niemand instinkt.
19-12-2008, 22:44 door Anoniem
Ik heb meteen een mailtje naar de FRS gestuurd, vanmorgen, om te vragen of die mail van hun afkomstig was en dat het op z'n minst niet handig is om klanten te verzoeken om naam en wachtwoord te laten veranderen op een site die niet van hun is.

Dit was hun tenenkrommende antwoord:
Beste klant,

U heeft een vraag gesteld over de e-mail betreffende onze beveiligingsupdate. Deze e-mail is inderdaad afkomstig van ons. Om uw wachtwoord te wijziging verwijzen wij u graag door naar onze website.

We hopen u hiermee voldoende te hebben geïnformeerd.

Met vriendelijke groet,

Free Record Shop

www.FreeRecordShop.nl
(ik heb tussen elk stukje tekst 2 lege regels nog even verwijderd.)
Hoe ongelooflijk dom kun je reageren.
20-12-2008, 11:53 door Anoniem
Door Anoniemdeze zelfde procedure heeft Accountants kantoor BDO een aantal maanden geleden ook uitgevoerd, ook met e-fulfilment als provider...

Toen zette ik mijn vraagtekens al bij deze procedure. Wie weet meer over de e-fulfilment provider en hun manier van werken met dit soort partijen?

Met e-fulfilment kunnen ze meten hoeveel er op advertenties wordt geklikt en zo naar de wensen van de mensen handelen om leuke producten bij hun in de mailbox te voorstellen.
20-12-2008, 11:56 door Anoniem
Door AnoniemDe mail op zich komt al niet erg profi over, maar dit is nog mooier: in de tekstversie van de mail staat niet dezelfde tekst als in de HTML versie maar wel het volgende:


Beste heer/mevrouw,

Gefeliciteerd! Je hebt 2 kaartjes voor de 24 Redemption bioscoopvertoning
gewonnen!

Je hebt 24 Redemption besteld bij www.freerecordshop.nl. Hiermee maakte je
automatisch kans op twee bioscoopkaartjes voor de exclusieve en eenmalige
bioscoopvertoning van 24 Redemption.

De bioscoopvoorstelling is op maandag 1 december in bioscoop MustSee Breda.
Vanaf 21:30 uur ben je welkom. De film begint om 22:00 uur.

Ik had ook gebeld en er bleek een probleem te zijn met hun e-fulfilment mailing programma waardoor er een foute tekst versie mee was gestuurd. Als je de normale mail leest (en niet de tekst versie... trouwens zo 1900) krijg je wel de juiste informatie
20-12-2008, 12:00 door Anoniem
Het is gewoon een reactie van het onderzoek van het AD. Ze waren er dus achter gekomen dat de persoongegevens niet beveiligd waren. Vandaar dat ze deze mail hadden gestuurd om voor je eigen veiligheid je wachtwoord aan te passen.

Er staat staat ook op de website van het AD dat je https:// in je url balk moet zien wanneer deze beveiligd is. Dit is nu wel zichbaar op de site van free record shop. Ze hebben dus woord gehouden wat ze in het AD hebben gezegt
21-12-2008, 01:54 door Anoniem
Ik snap de mensen niet echt die hier phishing roepen, gezien je simpelweg de mogelijkheid hebt om je huidige wachtwoord op te vragen in de link die zij voorzien..

Als het phishers zouden zijn, zouden ze dan in staat zijn om je van een geldig wachtwoord te voorzien die je na gebruik je persoonlijke data toont op free record shop's eigen site (encrypted connection & verification by Entrust!)? Als dat zo zou zijn, dan hebben ze dus *of* al je wachtwoord, *of* volledige controle over alle processen die free record shop's site omvatten (zie verification by Entrust). In beide gevallen zou phishing dus totaal zinloos zijn.

Ik snap dat 'phishing' een populaire term is, maar het dient nog steeds niet gebezigd te worden als vervanging van een logisch gedachtenproces.
21-12-2008, 13:24 door Anoniem
Door AnoniemIk snap de mensen niet echt die hier phishing roepen, gezien je simpelweg de mogelijkheid hebt om je huidige wachtwoord op te vragen in de link die zij voorzien..

Wat moet je doen om het wachtwoord te krijgen? Laten weten dat je de mail leest door op de link te klikken. Daar strand het al, want dat moet je niet doen.

Er is een verschil tussen de weergegeven winkel site en de werkelijke link die leidt naar een derde partij. Dat is misleiding en typisch voor phishing.

Iedereen die zo onverstandig is ongevraagd per email wachtwoordzaken te willen regelen dient ervoor te zorgen dat de verbinding is naar de originele en herkenbare site, en dan graag wel een met een geldig certificaat.

Ik zie ook veel te vaak certificaten die fout zijn ingevuld. Of certificaten die alleen maar zeggen dat www.ispserver.com van ispserver.com is terwijl de ingetypte site naam toch echt www.webshop.com was.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.