Nieuws
image

Bol.com verstuurt "phishing-mail"

vrijdag 17 oktober 2008, 11:19 door Redactie, 15 reacties

Mediawinkel Bol.com lanceerde onlangs haar vernieuwde website en verstuurde daarnaast een e-mail naar 5 miljoen klanten waarin het vroeg om de gegevens te controleren. Het bericht deed bij sommige mensen een phishing-alarm afgaan. Niet alleen waarschuwde een e-mailclient als Thunderbird dat het mogelijk om een "scam" ging, de link om de gegevens te controleren verwees naar bol.e-fulfilment.nl. Om klanten niet ongerust te maken stond onderin het bericht dat "bol.com zal u nooit zomaar via een e-mail om afgifte van uw gegevens vragen."

Toch was een aantal Security.NL lezers verbaasd over deze actie van de mediawinkel. "is dit een phishingmail? Zo niet, dan wel erg dom!" aldus een van de reacties. We namen contact op met Bol.com om te vragen waarom ze juist voor deze e-mail hebben gekozen, terwijl allerlei instanties juist waarschuwen om nooit gehoor te geven aan e-mails die vragen om gegevens te controleren.

"Ik kan de bezorgdheid begrijpen," aldus CRM-manager Patrick Flerackers. Toch had de winkel geen andere keus zegt hij. De klant is namelijk de enige die zijn gegevens kan controleren en wijzigen. Het eigen personeel kan dit niet doen. Vanwege de overgang naar de vernieuwde site wilde men zeker weten dat alles goed was gegaan en dat zouden alleen de klanten kunnen bevestigen. "Er zijn weinig andere manieren om dit te communiceren." Wat betreft de fulfilment link was dit een bewuste keuze van Bol. Het bedrijf verstuurd alle berichten voor de mediawinkel. De link is daarnaast persoonlijk, zodat Bol kon zien dat veel mensen er geen problemen mee hadden. Flerackers laat weten dat van de ongeveer vijf miljoen accounts die een e-mail kregen, er slechts een handjevol dachten dat het om een phishing-mail ging. De CRM-manager voegt eraan toe dat hij al die mensen persoonlijk te woord staat.

Reacties (15)
17-10-2008, 12:08 door wimbo
Ik heb de mail niet gezien/ontvangen. Dus mijn filters zullen het wel tegengehouden hebben.

Wat ik niet helemaal begrijp is dat ze niet gewoon via de website doen.
Als je dan de volgende keer aan kom een melding dat je je gegevens misschien nog een keer kan controleren. Voor de personen die een order uit hebben staan kan een reminder via een orderupdate verstuurt worden met de vraag de gegevens te controleren.

Er hoeft ook geen link meegestuurd te worden. Gewoon de opmerking om in te loggen bij Bol.com moet voldoende zijn.
17-10-2008, 12:14 door Anoniem
[...]Flerackers laat weten dat van de ongeveer vijf miljoen accounts die een e-mail kregen, er slechts een handjevol dachten dat het om een phishing-mail ging.[...]

Waaruit je tevens kunt opmaken dat de security awareness reclames tot op heden weinig nut hebben gehad.
17-10-2008, 13:40 door Anoniem
heb hem wel ontvangen. Heel raar. En dat er zo weinig mensen reageren, is gewoon omdat de overgrote meerderheid sowieso nooit zal reageren. Beseft Bol wel dat als je overal maar op moet reageren, je de hele dag aan het reageren bent zonder je nog ergens anders mee bezig te kunnen houden...
17-10-2008, 13:42 door Anoniem
Mocht het niet in het phising-filter terecht zijn gekomen, dan toch minimaal in het SPAM-filter.
17-10-2008, 13:52 door Lamaar
Ik heb het ook niet ontvangen. Ben op onderzoek uitgegaan en bleek dat Windows Live Mail mij al beschermd had, zodat het er mooi niet doorkwam. Dus voordat we weer kritieken krijgen van: zie je wel? Mozilla beschermt je toch maar mooi, is dus duidelijk dat Windows dat ook doet. Ook al mag dat hier niet gezegd worden.
17-10-2008, 14:30 door Korund
Ik had ze al een e-mail gestuurd:

> Ik ontving een e-mail van "bol.com" <service.info@bol.com> met onderwerp
> "Welkom op de vernieuwde website van bol.com" en ondertekend door
> "Daniel Ropers Directeur bol.com". In deze e-mail wordt mij gevraagd op
> een website mijn klantgegevens te controleren en eventueel aan te
> passen. De website die ik hiervoor moet bezoeken is bol.e-fulfilment.nl
> en niet bol.com. Dit was voor mij reden om aan te nemen dat het hier om
> fishing gaat.
> Het e-mailadres waaraan deze fishing-mail gericht was, is
> <xxxxxxxxx@sneakemail.com>. Dit is een zogeheten "disposable"
> e-mailadres dat ik UITSLUITEND aan bol.com bekend heb gemaakt. Niemand
> anders dan bol.com is op de hoogte van dit e-mailadres. Degene die dit
> adres gebruikt, moet het dus van bol.com ontvangen hebben.
> Hieruit concludeer ik dat uw database met persoonsgegevens (deels) is
> gestolen of op een of andere wijze in verkeerde handen is gevallen.
> Ik wil u dringend verzoeken om actie te ondernemen om de gevolgen van
> deze fishing tegen te gaan: ik zal vast niet de enige zijn die deze
> e-mail heeft ontvangen, maar niet iedereen ziet direct dat dit een scam
> betreft: de e-mail is in goed Nederlands opgesteld.
> Verder bevat de e-mail URLs (onder andere afbeeldingen) met daarin een
> per ontvanger unieke identificatie, zodat de fisher precies kan nagaan
> welke e-mailadressen geldig zijn en welke niet.
17-10-2008, 14:33 door Anoniem
Ik had 'm wel ontvangen (op GMail). Niet gelezen gezien het onderwerp "Welkom op de vernieuwde website van bol.com" wat me niet interessant genoeg leek. Had ik dat wel gedaan dan zouden inderdaad alle phishing-bellen zijn gaan rinkelen. Het grootste probleem is verder niet het feit dat mensen niet op de link geklikt zouden hebben omdat ze dachten dat het een poging to phishing was, maar de mensen die volgende week een soortgelijke email van hun bank kregen en ook braaf klikken.
17-10-2008, 16:20 door Anoniem
Ik heb hem meteen gewist, maar vond wel het Nederlands erg goed.

Er zat nog een link bij naar bol.com, maar als je eroverheen ging in Thunderbird kreeg je e-fulfilment. Met de melding erbij dat je altijd moet checken of bol.com in je URL balk staat.

Zal me niets verbazen als ze een marketting bedrijf hebben ingehuurt waardoor dit soort mailtjes dagelijks opgesteld worden. Ik had iets van, ik wis dit mailtje maar voor de zekerheid en ga mijn gegevens wel checken de volgende keer dat ik wat bestel bij ze.
17-10-2008, 16:31 door Anoniem
Ik heb hem ontvangen en vond hem ook verdacht. Daarom gewoon ouderwets (dus niet via de link) naar bol.com gegaan en ingelogd. Dat lukte, dus nix mis met mijn gegevens. Gelijk ook maar weer even een boek besteld..
17-10-2008, 17:01 door spatieman
als ze een marketing bedrijf ingehuurt hebben, dan hebt dat bedrijf nu een leuke database die ze voor veel geld kunnen doorverkopen..
17-10-2008, 18:55 door Anoniem
Ik heb ditzelfde mailtje gekregen en er natuurlijk niet op gereageerd. Het zag er veel te verdacht uit!
Wel ben ik vanmiddag naar bol.com gegaan en heb via de website een mailtje aan de klantenservice gestuurd met de vraag of het mailtje wel echt van bol.com afkomstig was. Op een automatisch gegenereerd bevesitgingsmailtje na, heb ik nog niets gehoord. Ik wacht maar af. Voorlopig bestel ik maar even niets bij bol.com...
17-10-2008, 18:59 door Anoniem
een handje vol mensen heeft maar geklaagd.
van de rest heeft een deel:
-de mail niet gelezen;
-de mail niet ontvangen (spamfilter)
-de mail wel ontvangen maar hanteerde de tactiek dat de beste beveiliging tegen spam is deze te negeren.
17-10-2008, 19:09 door rob
Door AnoniemIk heb hem ontvangen en vond hem ook verdacht. Daarom gewoon ouderwets (dus niet via de link) naar bol.com gegaan en ingelogd. Dat lukte, dus nix mis met mijn gegevens. Gelijk ook maar weer even een boek besteld..

Lol, daar was het zo ook om te doen :D
17-10-2008, 23:28 door Anoniem
Het was mij ook opgevallen dat de mail nogal verdacht was.
Ik heb ook het volgende gemailed naar bol.com:

Beste Bol.com,

Ik kreeg vandaag onderstaande mail toegezonden.
Hierin staat dat ik mijn gegevens moet controleren op een pagina op
een compleet ander domein dan bol.com
Om het geloofwaardig te maken, staat eronder ook nog dat bol.com nooit
zal vragen om gegevens af te staan en het "te herkennen websiteadres"
staat in tekst wel "www.bol.com", maar wijst naar een compleet andere
site (e-fulfilment.nl, ook nog eens foutief gespeld). Tevens staat er
geen https voor, maar gewoon http.

Kortom dit heeft er alle schijn van een phishing-mail te zijn.
(weliswaar een zeer goed opgezette)


Er domme actie van bol.com
20-11-2008, 01:46 door Anoniem
Van selexyz boekhandels ontving ik een soortgelijke mail overigens ook met verwijzingen naar e-fulfilment.nl.
Ik heb nog geen antwoord ontvangen op mijn klacht van 15 oktober.
Het is dat ik de boeken van mijn dochter daar moet bestellen, anders was ik klant af.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search