Deze mail heb ik net gehad, en ik vertrouwde het niet. Een mail die waarschuwt voor phishing, maar die zelf een aantal kenmerken van een phishing mail vertoont. Je moet klikken op een link(!!!) (alarmbel 1), die niet naar een postnl-url verwijst maar naar subscriber.e-mark.nl (alarmbel 2), en een wat merkwaardig e-mail adres als afzender: postnlmijnpakket@info.postnl.nl (alarmbel 3).
Is dit nou echt of niet? Zo niet, dan is dit een zeer geslaagde phishing actie (of eigenlijk geen phishing in de strikte zin van het woord-zie artikel), zo ja, dan lijkt me dit niet helemaal de meest verstandige manier om tegen phishing te waarschuwen (to say the least). Of zie ik dat verkeerd?

Die is goed! Nu nog een mail achter een mail, die zegt dat de vorige valse mail wel echt is en de volgende niet! ;)

Grtz

Mail gisternacht ontvangen en weggegduveld om dezelfde reden als hierboven gemeld: Aanwijzen url toont: subscriber.e-mark.nl
Enige reden waarom ik twijfelde was dat de aanhef begon met J. Wel schrijf dan mijn volledige naam! Jezus, kost het soms liters inkt om wat duidelijker te wezen!
Uilskuikens!

@anoniem 09:17
Ik ben het helemaal met jou eens. Het is goed dat PostNL haar klanten waarschuwt maar de manier waarop had beter gekund. Ze hadden beter geen link kunnen plaatsen en gewoon kort en krachtig in de mail moeten uitleggen wat er aan de hand is.

@Picasa3: jawel hoor. Vaak genoeg ontvang ik phishing e-mails met mijn voornaam in de aanhef. Dat kan omdat mijn voornaam ook in mijn e-mailadres zit.

Heb gisteren PostNL gebeld om duidelijkheid te krijgen maar kreeg iemand aan de lijn met een zwaar buitenlands accent .
Ze sprak wel Nederlands maar door het accent vertrouwde ik het niet en heb direct opgehangen .

(Berichtje van de eerste Anoniem hierboven)
@Flashback956: Dank voor je reactie. Het ligt dus niet aan mij!
@Anoniem nr 2 en @Picasa3: Bij mij stond er ook mijn voornaam bij, en da's meestal een goed teken, maar aan de andere kant kon ik me niet herinneren me ooit aangemeld te hebben bij Postnl, al zou dat best kunnen. Dit is in elk geval de eerste mail die ik ooit van ze heb gehad. Ik dacht: als mijn emailadres ergens gejat is, kan mijn voornaam daar natuurlijk ook vandaan gejat zijn (en ook bij mij staat mijn voornaam in mijn emailadres).

Alarmbel: Slecht vervoegd werkwoord. Downloaden in de derde vorm enkelvoud wordt 'downloadt,' waar in de mail 'download' staat.

Ik heb die mail 2x gekregen, elk met dezelfde 'unieke' tracking link. Ik heb die link door mijn FireEye MAS getrokken en hij LIJKT veilig: http://postimg.org/image/kl8mu8m4b/

Maar je gaat natuurlijk niet een email rondsturen met links naar een site die gebruikers niet kennen, die waarschuwt voor emails met een link naar een site die gebruikers niet kennen. Unsubscribe is ook al niet mogelijk, van de pot gerukt dit.

Vanaf nu dan maar e-mark.nl blocken voor alle ontvangers. Welke marketingtijger heeft dit geweldige plan bedacht?

Ik heb de email ook ontvangen en omdat ik voor ieder bedrijf een aparte alias gebruik en zag dat de email op het juiste adres binnenkwam vond ik het wel redelijk betrouwbaar. De link in de email was echter verdacht omdat deze van http://www.e-mark.nl afkomstig is. En dat is een mass-email oplossing. Kennelijk gebruikt PostNL deze om te kijken welke klanten daadwerkelijk op de betreffende pagina klikken en dan wordt het twijfelachtiger. De email is dan echt maar PostNL verzamelt extra klantgegevens op deze manier, in strijd met de privacy-wetgeving. (Cookiewet.) De klik wordt door emark waarschijnlijk geregistreerd in hun CRM pakket en dat mag niet. Ten minste, niet voordat de gebruiker toestemming geeft. Die vraag om toestemming komt echter niet omdat emark direct een redirect naar PostNL uitvoert.
PostNL had beter die link naar hun site rechtstreeks in de email kunnen plaatsen maar dan registreert hun CRM pakket het bezoek dus niet. Het kan dan niet gekoppeld worden aan de juiste klant. Kortom, mijn advies is om de betreffende email als 'phishing' naar je spamfilter door te sturen wegens deze misleiding van PostNL zelf! Phishing, simpelweg omdat PostNL extra gegevens over hun klanten verzamelen via deze email, zonder daarvoor toestemming te vragen.
Al te ernstig is het niet. Het bevestigt alleen dat je de email hebt gezien en de pagina hebt bezocht. Dat wordt aan je PostNL account gekoppeld en dan weten ze dat je geinformeerd bent. Toch valt ook dat onder privacy.

Ik heb mijn bank ook ooit eens tevergeefs proberen bij te brengen dat zulke mailtjes alleen maar schadelijk zijn. Deze is dan misschien wel 'echt', maar door mailtjes met links naar onbekende partijen te versturen weet de gemiddelde gebruiker straks helemaal niet meer wat nou echt is en wat niet. Ik zie genoeg 'persoonlijk' geaddresserde spam en phishes, dus een aanhef zal niet helpen. Een slimme phisher speelt hier nu op in door dit berichtje rond te sturen met een net iets andere link. Alleen de oplettendste lezer trapt er dan niet in. Maar die waren ook niet in de andere phish getrapt. Deze actie is ondoordacht en gevaarlijk.

Maar ze kunnen via hun mailbedrijf overigens wel mooi zien hoeveel mensen er in phishes trappen ;)

Een rare melding.
Zal voortaan eerst de bron bekijken,click niet meer op de meegestuurde linken,ook
al zijn ze betrouwbaar.
Ik heb de bron als klacht via de website gemeld.
Hier een kopie,mijn email adres weggelaten.

89.234.18.149
Hostname: m4.dm.e-mark.nl
Internet provider: e-mark.nl
IP-range provider: Niets gevonden
WHOIS: whois opzoeken
Computernaam: m4
Abuse: abuse@e-mark.nl
Land: (Unknown Country?)
Plaats: (Unknown City?)
Webserver: Niet aanwezig
FTP server: Niet aanwezig
SMTP server: Niet aanwezig
Gevonden info: Niets gevonden


x-store-info:J++/JTCzmObr++wNraA4PVO18DMe20MI/h2ZSCKs2IHYcdVggWMb+j2Hyq1q77EujcQrwHKY15qb9OYqHbypVc1dGz2r2gMT17D9uJd9qO0vE9sgUcnc717M6Yg63f6WihwjkNLjpS/VktCfmW+efw==
Authentication-Results: hotmail.com; spf=pass (sender IP is 89.234.18.149) smtp.mailfrom=bounce-794-853-3200143F146877447@dm.e-mark.nl; dkim=none header.d=info.postnl.nl; x-hmca=none header.id=postnlmijnpakket@info.postnl.nl
X-SID-PRA: postnlmijnpakket@info.postnl.nl
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MTtHRD0xO1NDTD0w
X-Message-Info: NhFq/7gR1vSWX56h1kYlYa1sIyINBdVPYb3yCxxKbbMv0C3+wEUUdKj0pUbOcYZ40lmf4/imoKr8on2XKpnjLbSGkDtgHiC1HI2LpKxxd4oL8fDpEEuB9I8x0CrPu51cFcwb3lDj18FVGk7eetBGU4EgzmRh/3exuUjPZ/Qg+zQQlBDbtSnKHpOOwJ/YFL7CIUljxBZaU6nCretW1AmDoib9hlgfMH3X
Received: from m4.dm.e-mark.nl ([89.234.18.149]) by BAY004-MC6F21.hotmail.com with Microsoft SMTPSVC(7.5.7601.22712);
Fri, 17 Oct 2014 18:04:12 -0700
Received: from localhost.localdomain (localhost [127.0.0.1])
by m4.dm.e-mark.nl (Postfix) with ESMTP id EDD711B403CC
for <********@msn.com>; Sat, 18 Oct 2014 03:04:11 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=e-mark.nl; h=to:from:reply-to:subject:date:mime-version:content-type:list-unsubscribe; s=dm; bh=U17I9gghUHUsKBITPoIuj7nHDcs=; b=q+GBC0AXcOMTTl8dhbeVZNBAWiIfhlgjNwLoBjTfY5wq8R4/vtOZdsMU7Kkl3g/QzihxnPMngFt1mJ8bka1kUqEO4IEOUSTvwkOAqgz0fzEIkx+ooTxHaXVLV0UvEfVColliW0aARLfm1frxesymAblLIgQS9JgrlgDVOeTBsX8=
To: hpcajo@msn.com
From: PostNL MijnPakket <postnlmijnpakket@info.postnl.nl>
Reply-To: PostNL MijnPakket <postnlmijnpakket@info.postnl.nl>
Subject: Waarschuwing voor besmette e-mails
Date: Sat, 18 Oct 2014 03:03:34 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="emarkb56936c630cd7b24d74babeba022fe17"
List-Unsubscribe: <http://subscriber.e-mark.nl/index.php?type=unsubscribe&amp;db=794V181&amp;mailing=853V51351086&amp;user=3200143V146877447>, <mailto:unsubscribe-794-853-3200143F146877447@dm.e-mark.nl>
Message-Id: <20141018010411.EDD711B403CC@m4.dm.e-mark.nl>
Return-Path: bounce-794-853-3200143F146877447@dm.e-mark.nl
X-OriginalArrivalTime: 18 Oct 2014 01:04:12.0760 (UTC) FILETIME=[6E2AC580:01CFEA6F]

Een vergelijkbare analyse heb ik gemaakt in https://www.security.nl/posting/405771/http%3A__subscriber_e-mark_nl_link794V181Q25543V65Q853V51351086Q527645V1274848565Q1_html#posting405779.

Mijn "security-awareness" advies aan gebruikers bij het ontvangen van dit soort mails:

1) Niet op links klikken;
2) De feitelijke verzender (e-mark) aanmelden als spammer en phisher;
3) De mail verder als waardeloos beschouwen en weggooien.

Ik vermoed dat e-mark deze links heeft ingevuld omdat zij per klik worden betaald en dus tussen die kliks willen zitten.

Veel zorgelijker dan cookies vind ik het feit dat er heel veel van dit soort mass-mailers bestaan. Onderaan mijn analyse in https://www.security.nl/posting/405771/http%3A__subscriber_e-mark_nl_link794V181Q25543V65Q853V51351086Q527645V1274848565Q1_html#posting405779 laat ik zien via welke mass-mailers ik het afgelopen jaar e-mails namens PostNL ontvangen heb. Elke van die mass-mailers (minstens 5 partijen) heeft nu mijn e-mailadres (d.w.z. alias, alhoewel ik er vermoedelijk niet zoveel heb as jij), in hun database opgeslagen.

Die partijen kunnen zelf corrupt zijn en lijsten met e-mail adressen verkopen, ze kunnen corrupte medewerkers hebben en last but not least, ze kunnen gehacked worden. Hoe zouden spammers toch aan al die e-mail adressen komen?

Ik vraag mij af in hoeverre het met de privacywetgeving strookt dat organisaties als PostNL mijn e-mail adres zomaar, kennelijk aan een onbeperkt aantal marktpartijen, kunnen verstrekken - zonder dat ik dat weet (tenzij ik er veel moeite voor doe en er verstand van heb, en vooral dat laatste is niet iedereen gegeven).

Ik zou als crimineel heel erg blij zijn met deze mail van PostNL: een kant en klare phishing mail van het bedrijf zelf met niet al te veel taalvauten (alhoewel: foute vervoegingen (download zonder t), inconsistent woordgebruik (mail en e-mail in dezelfde zin), software die bedreigt en geld vraagt (de politie ziet me al aankomen als ik aangifte wil doen tegen een softwareprogramma)). Alleen nog even de URL van de hyperlink 'deze pagina' veranderen en klaar is kees. Laat die bitcoins maar komen!

Nog een berichtje van de eerste 'Anoniem' hierboven. Als argeloze computergebruiker vond ik de berichten hierboven van Wim ten Brink en Erik van Straten nogal belangwekkend (en lichtelijk verontrustend). Blijkt dit 'echte' mailtje van PostNL toch niet helemaal onschuldig...
Ondertussen zag ik dat de Facebookpagina van PostNL (https://www.facebook.com/PostNL) inmiddels volloopt met reacties van mensen die in verwarring zijn gebracht door deze waarschuwingsmail en/of daar verontwaardigd of verbaasd over zijn. Het leek me zelf relevant daar links te plaatsen naar de discussie hier en op https://www.security.nl/posting/405453/ . En met name heb ik verwezen naar voornoemde berichten van Wim ten Brink en Erik van Straten.
Ik hoop dat dat OK is. Zo niet, dan hoor ik dat graag en verwijder ik mijn berichten op de PostNL pagina weer. Maar het leek me zinvol om al die mensen daar, die zich zorgen maken om hun veiligheid en privacy, ook op de hoogte te brengen van wat hierboven is aangekaart. En hopelijk zet het PostNL ook een beetje aan het denken, want op een professionele reactie op dit gebeuren (lees: hun geblunder) heb ik ze nog niet kunnen betrappen.
Arnold de Jong

Zojuist gezien op de homepage van Postnl.nl:

[
PostNL waarschuwt voor nep e-mails
Afgelopen vrijdag,17 oktober, hebben wij klanten een e-mail gestuurd, met als doel te waarschuwen voor een nep e-mail, die afkomstig lijkt van PostNL maar kwaadaardige en schadelijke software verspreidt.

De waarschuwings e-mail en de nep e-mail kunnen met elkaar verward worden. De waarschuwings e-mail van 17 oktober kunt u gerust openen. De nep e-mail die u eerder deze week ontving en doet laten geloven dat een koerier een pakket niet kon afleveren, adviseren wij te verwijderen.

Via deze link kunt u zowel een kopie van de waarschuwings e-mail van PostNL als de nep e-mail vinden. Wij hopen hiermee eventuele onduidelijkheden te hebben weggenomen.

Bekijk een voorbeeld van de waarschuwings e-mail van PostNL
]

Einde citaat. Hulde voor PostNL voor het feit dat er nu eindelijk iets op de homepage staat. Maar om hun blunder goed te maken zouden ze alle mensen die ze gemaild hebben nòg een mail moeten sturen (zonder links, taalfouten en rare url's) waarin wordt uitgelegd dat en waarom de vorige waarschuwingsmail niet handig was, en dat mensen NOOIT zomaar op een link moeten klikken, zelfs niet als een mail zo echt lijkt als hun waarschuwingsmail!
Arnold de Jong

Voortaan toch maar met TNT versturen die doen het volgens mij veiliger en sneller zo te zien aan de TV reclame >

Nee, integendeel.

Een gewone gebruiker kan een nepmail uitsluitend van een echte mail onderscheiden door de links die er in staan. Alles wat je in gewone mailclients ziet is te vervalsen (en dat is ook hier duidelijk, deze mail is verzonden door e-mark en toch staat er in de kop: "From: PostNL MijnPakket <postnlmijnpakket@info.postnl.nl>"). Alle links in deze mail (ook die naar Facebook en Twitter) beginnen met http://subscriber.e-mark.nl/.

Blunders zoals deze van e-mark en PostNL halen campagnes om mensen niet in phishing mails te laten trappen volledig onderuit.

En, in plaats van dat ze hun excuses aanbieden en zeggen dat deze mail nooit verzonden had mogen worden, proberen ze met een plaatje "als de mail er zo uit ziet kunt u hem wel vertrouwen" hun blunder goed te maken. Zoals Anoniem van 2014-10-18 17:40 haarfijn beschrijft: als ik phisher was zou ik nu spam gaan versturen die er exact uitziet als dit plaatje op facebook: https://www.facebook.com/PostNL/photos/a.298983943447925.81604.292657017413951/849693401710307/?type=1.

Blunder 2. Kennelijk hebben we ze nog niet hard genoeg aan de schandpaal genageld.

Ik vermoed dat e-mark hier helemaal niet bij betrokken is en dat gewoon de hippe communicatie pipo'tjes van PostNL
de handige webinterface van hun huidige e-mailmarketing bureau (ze verslijten er daar nogal wat, zo te zien) hebben
gebruikt om snel een bedrijfscommunicatie naar de klanten te brengen, zonder er bij na te denken dat ze daarmee de
fouten maken die juist de phishers en scammers van de betrouwbare bedrijven moeten onderscheiden.
(links naar dubieuze adressen, taalfouten, e.d.)

Het is het gevolg van het outsourcen van alles. Mailtjes moet je zelf versturen en de HTML inhoud moet je zelf in de hand
hebben. Laat je dat aan een ander over dan ga je op je bek. Zoals nu weer duidelijk gedemonstreerd.

@john west: je weet dat je email adres gewoon te vinden is via de (uitschrijf) links (List-Unsubscribe) in de email?

Ik heb e-mark geblokkeerd met een regeltje in m'n cPanel. Stelletje amateurs.

Ik heb maar eens een account aangemaakt, na een aantal anonieme posts hier - toch wel nuttig deze site :-)

Ik heb er nog maar eens een reactie aan gewaagd op PostNL's Facebookpagina. Als volgt:

[Realiseren jullie je dat jullie met het bericht op jullie homepage een tweede blunder zijn begaan? Als ik nu phisher was zou ik onmiddelijk jullie waarschuwings-e-mail gebruiken, de link 'deze pagina' laten verwijzen naar een malicieuze URL, en rondsturen maar. En iedereen maar klikken, PostNL heeft toch zelf gezegd dat het veilig is?
Wat me ook tegenvalt is dat jullie in het bericht op de homepage op geen enkele wijze verantwoordelijkheid nemen voor de eerste blunder. Jullie hadden je excuses moeten aanbieden, aangeven dat jullie e-mail nooit verzonden had mogen worden, en moeten adviseren om BEIDE mails te verwijderen, en in geen geval op de links in beide mails te klikken.]

Al heb ik niet de illusie dat het veel helpt. Nog nul komma nul activiteit op de Facebookpagina van PostNL, na al die reacties. Het is nu maandagochtend half elf. Je zou verwachten dat bij PostNL er nu toch wel iemand zou zijn die zijn of haar eerste kop koffie achter de kiezen heeft, wakker is geworden, en als een razende de juiste communicatie naar buiten gaat brengen, via homepage, facebook, twitter en media.

Arnold de Jong

Oh trouwens, eigenlijk zijn er nu drie blunders begaan:

1. De waarschuwings-e-mail van Carlos: 'Klik op de link in deze e-mail om te lezen waarom je nooit op een link in dit soort e-mails moet klikken';
2. Het Facebookbericht: 'Deze e-mail is wel echt! Heus waar! Vertrouw maar op ons!';
3. Het bericht op de homepage van PostNL.nl: 'Voor de mensen die het nou nog niet snappen: déze mail is echt, en déze mail is vals! Verwijdert u de valse mail, en vertrouwt u gerust de veilige mail! Zo, en niemand kan nu nog zeggen dat het aan ons ligt!'

Ik had precies hetzelfde toen ik deze mail van PostNL ontving. Het bericht voor kennisgeving aangenomen en de mail gedelete omdat die een aantal kenmerken had van een phishingmail. Onhandig van PostNL. Dan liever een mail met meer uitleg zodat je niet op een link hoeft te klikken.

Als ik iets te zeggen had bij PostNL had ik aanbevolen om in het MT een plan van aanpak te bespreken en tot die tijd niets meer te communiceren (om verdere blunders te voorkomen). Misschien gaat het nu zo?

1. Inderdaad, dat heeft mijn eerste voorkeur in een dergelijke situatie
2. Alternatief: "Voor meer informatie verwijzen wij u naar de website van postnl.nl" (zonder klikbare link)
3. Eventueel (maar liever niet): "Voor meer informatie verwijzen wij u naar http://www.postnl.nl/"
    met daaronder daadwerkelijk die link, iets anders is STOM

Ransomware valt m.i. onder ( ... indirectly, money).

Weet iemand een betere term dan "phishing" of SOA (SMTP Overdraagbare Aandoening) voor dit soort mails?

Fraudeleus, Oplichting, bedrog ?!

Ransomware, wat denk je daarvan

Ik heb deze mail geopend ik was niet bewust van het feit dat het mogelijk een virus van ik had het te snel doorgelezen van daar ik las het nog eens door ennmerkte op dat er spellingsfouten in stonden bijv. Pakket werd geschreven als packet en nu kan mijn computer niet meer aan wat moet ik doen??