image

'Evernote blundert met link in e-mail'

maandag 4 maart 2013, 09:51 door Redactie, 9 reacties

De makers van notitiesoftware Evernote stuurden dit weekend 50 miljoen gebruikers een e-mail dat ze hun wachtwoord moesten wijzigen na een succesvolle inbraak op het netwerk, maar het bericht laat nogal te wensen over. In de e-mail adviseert Evernote ontvangers dat ze nooit op resetlinks in e-mails moeten klikken, maar het bericht bevat meerdere klikbare links.

Links die niet direct naar evernote.com wijzen, maar naar een website van e-mailmarketeer Silverpop, die geklikte links in e-mailberichten monitort. Het gaat om het domein links.evernote.mkt5371.com, gevolgd door een unieke trackingcode. Volgens anti-virusbedrijf Sophos zouden geadresseerden kunnen denken dat het om een phishingaanval gaat.

Het gaat hier om een veelgebruikte techniek om in kaart te brengen hoe succesvol e-mailcampagnes zijn. In een e-mail over een beveiligingsincident lijkt het niet op z'n plaats, zo merkt de Britse virusbestrijder op.

Reacties (9)
04-03-2013, 10:49 door Neusbeer
Heb daar ook niet opgeklikt. vertroude het niet. lol.
als ze waren gehacked, had de hacker ook zo'n phising mailtje kunnen sturen.
Dus gewoon via de site ingelogd en gewijzigd. -- hebben daar een snellink voor de mensen die deze mail
hebben ontvangen. (Die overigens in mijn Spambox terecht kwam)
04-03-2013, 11:30 door Anoniem
waarom is het de schuld van de spamverstuurders dat hun mail op spam lijkt?
04-03-2013, 13:43 door Anoniem
Door Neusbeer: als ze waren gehacked, had de hacker ook zo'n phising mailtje kunnen sturen.

Ook als ze niet gehacked waren, had een phisher zo'n mail kunnen sturen. Niemand controleert of de mail echt van een mailserver van Evernote afkomstig is. Verder komen dit soort mailtjes vaak helemaal niet van de organisatie maar dan de marketeer. Dus is ook de versturende server niet van Evernote.

Peter
04-03-2013, 17:07 door Anoniem
Door Anoniem:
Door Neusbeer: als ze waren gehacked, had de hacker ook zo'n phising mailtje kunnen sturen.

Ook als ze niet gehacked waren, had een phisher zo'n mail kunnen sturen. Niemand controleert of de mail echt van een mailserver van Evernote afkomstig is. Verder komen dit soort mailtjes vaak helemaal niet van de organisatie maar dan de marketeer. Dus is ook de versturende server niet van Evernote.

Peter

Nou ik zie dat evernote.com een keurige SPF policy heeft waaraan je kunt zien dat ze aan dit probleem gedacht
hebben. Als je als ontvanger niet die SPF score gebruikt om het als spam of onbetrouwbaar te markeren dan is
dat natuurlijk je eigen zaak.
Wieweet doen ze ook wel DKIM signing. Een DMARC policy hebben ze helaas niet, dat zou er ook nog bij kunnen.

Als je als organisatie de kans loopt dat phishers mail namens jou sturen, dan moet je bovenstaande dingen gewoon
regelen. En als je een maildienst aanbiedt dan moet je je gebruikers waarschuwen als mails niet aan die regels
voldoen.
04-03-2013, 17:31 door Anoniem
Ik ben gewoon naar de site gegaan. Daar staat op de homepage een 'password reset' melding met extra uitleg waar je op kan klikken.

En blijven nadenken mensen! Vertrouw je het niet; ga dan gewoon naar de site van de desbetreffende partij.
04-03-2013, 17:48 door Anoniem
In this case one could simply write a script that forwards the request from your own domain to the third party system. It could be done on the server in such a way that the user would never leave your own domain:
1. User clicks http://links.example.com/?redirect=example.com/reset_passwor...
2. The server running on links.example.com makes a request to the third party web server
3. The server redirects the user to http://example.com/reset_password
05-03-2013, 11:29 door Anoniem
Krij vanmorgen mail van team@email.evernote.com over 'n password reset: As a precaution to protect your data, we have decided to implement a password reset. Please read below for details and instructions.
kweetniet of ik dit kan vertrouwen.
Staan meerdere links in die verwijzen naar http://evernote.com/ cq http://evernote.com/contact/support/
ik wacht maar ff af want na het incident had ik gisteren mijn pwd zelf al vernieuwd.
05-03-2013, 11:52 door Anoniem
wat is het verdienmodel van evernote? zomaar gratis al uw notities hosten? en dit voor miljoenen gebruikers...
05-03-2013, 12:15 door Earl Grey
Door Anoniem:
Door Neusbeer: als ze waren gehacked, had de hacker ook zo'n phising mailtje kunnen sturen.

Ook als ze niet gehacked waren, had een phisher zo'n mail kunnen sturen. Niemand controleert of de mail echt van een mailserver van Evernote afkomstig is. Verder komen dit soort mailtjes vaak helemaal niet van de organisatie maar dan de marketeer. Dus is ook de versturende server niet van Evernote.

Peter

Je zou kunnen zeggen dat als ze gehackt waren het mogelijk is geweest dat ze een userbase of een segment hiervan hebben weten te bemachtigen. Zo zou iemand gericht Evernote gebruikers kunnen benaderen. Evernote is naar mijn inziens te klein voor een phisher om maar lulraak Evernote phishingmails te versturen in de hoop dat iemand een account heeft en dan ook nog eens erin trapt.

Een versturende mailserver (van een derde partij) verzend wel vaak namens een bepaald FROM adres van de opdrachtgever. Stel, info@evernote.com. Als er een SPF record bestaat op het domein, dan kun je checken of de verstuurde mailserver gemachtigd is te verzenden namens de afzender. De grotere namen als Gmail, Hotmail en Yahoo checken standaard op het gebruik van SPF en valideren deze ook. In de header van een e-mail kun je deze opzoeken. Zo zijn er nog een aantal DNS records die je kunt checken, zoals DKIM, mits de legitieme verzender deze heeft geconfigureerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.