Ondertoon: Klik vooral niet op linkjes in mailtjes die van ons afkomstig lijken te zijn. Klik op deze link voor meer informatie...

Sukkels bij PostNL....

Vandaag werd een verse phishing run aangeboden via die "fantastische" mailgun.com gratis phishing mail provider (de vorige werd ook vanaf mailgun.info aangeboden):

Oct 20 12:43:57 mail5 Spamfilter[8278]: s9KAho91024164: Spamfilter found from <bounce+1499ea.9ff07-victim=target.nl@postnl-tracktrace.net> at mail-s94.mailgun.info [184.173.153.222]
HELO mail-s94.mailgun.info to <victim@target.nl> hits: 9.6, names: DKIM_SIGNED,DKIM_VALID, DKIM_VALID_AU,TORRENTLOCKERRULES36,HTML_IMAGE_ONLY_28,HTML_MESSAGE,
RCVD_IN_DNSWL_NONE,SPF_PASS,T_REMOTE_IMAGE
Subject: Victim@target.nl heb je niet geleverde pakket

Kennelijk neemt niemand de moeite om een mailtje te dichten aan abuse@softlayer.com of zit mailgun willens en wetens simpelweg te maffen bij dit soort phishing crap.

"Dit weekend waarschuwde PostNL klanten via een e-mail voor de valse e-mail. De links in het bericht waren trackinglinks en wezen niet naar het domein van het postbedrijf, wat voor verdere verwarring bij gebruikers zorgde."

Leren ze dan ook nooit ? Volgende week gaan ze zeker weer een mock spear phishing campagne uitvoeren om te kijken of eigen personeel op externe links klikken. Om vervolgens als bedrijf richting werknemers en klanten zelf in mailtjes ook weer externe domeinen te gebruiken. Leuk zo'n uitleg achteraf, maar laten ze eens vooraf gaan nadenken over dit soort zaken.

Zo kun je met een slecht doordachte paniekreactie de verwarring nog groter maken! Ik kreeg ook die "waarschuwings-e-mail" van PostNL, die net zo min van van PostNL kwam als de versie van de (Russische?) cybercriminelen. Blijkbaar had PostNL e-mark.nl ingehuurd om de klus te klaren, en daar waren ze ook niet helemaal bij de les. Net zoals in de 'foute' mail zat er een forse taalfout in: "download u" moest "downloadt u" zijn, de zinsconstructies liepen niet helemaal lekker en als klap op de vuurpijl stonden er twee links in de mail, die naar PostNL moesten wijzen, maar dat was naar e-mark.nl. Kortom, de goedbedoelde waarschuwingsmail zag eruit alsof hij door een cybercrimineel was gefabriceerd.
Misschien kunnen ze bij een volgende probleemsituatie eerst even goed nadenken bij PostNL. De actie van e-mark, een 'professioneel marketingbedrijf', kan ik alleen maar typeren als amateuristisch broddelwerk.

Ik snap echt niet dat er op 13 oktober via Twitter wordt gewaarschuwd voor deze mails, en pas zaterdag een ander bericht.

HALLO PostNL en Gevers, misschien gebruikt wel niet iedereen Twitter???

De vorige week verspreidde variant bevat deze encryptieblunder niet. De bestanden worden met de tool wel teruggehaald maar zijn nog steeds niet te openen.

Toevallig die mail hier op deze site gezien. Slecht Nederlands en taalfouten. Hoe kan je erin trappen..

Enige reden wat helpt is het sneller opsporen en strafbaar maken van dit soort phishing praktijken.
Dit gaat nu nog te moeilijk en te traag waardoor het geen afschrik beleid heeft.

Tja, opsporen en strafbaar maken... Dat vereist kennis en inzicht, en dat moet je vooral niet zoeken bij onze overheid. Ze zijn daar al heel blij als ze het woord "computer" foutloos kunnen schrijven!

PostNL denkt DKIM te doen, maar ze doen het fout:

info.postnl.nl. 21599 IN TXT "v=DKIM\; g=*\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCsAGkFzRMDNfaw9eiduJCHkD5kOswh/jmMl1AONyuliKC8oVr7D9OmZv34YHJ1LHKODcyJuOdCP/+QC2nD9fYZC7lF2zdjbPR2MI7+apgqK0P39VJQXNxn/mrNKvNRQikppi6ONSgdDVievd3xlLauNQv/7dHdDIX1K6gSsNZeCQIDAQAB"

Ik weet niet of je weet hoe dat soort bedrijven werken, maar er is weinig kans dat e-mark hier bij betrokken is geweest.
Dat is gewoon een e-marketing bedrijf. Je neemt daar een dienst af, je upload je lijst met adressen en prutst een mail
in elkaar (veelal via een web interface) en GO. De feitelijke HTML wordt door die e-mark geconstrueerd inclusief tracking
links, zoals altijd.

Ik denk dat er geen "knappe koppen van e-mark" bij gezeten hebben en deze fout gemaakt hebben, maar dat het gewoon
de communicatie afdeling van PostNL was die dacht "ehh we moeten effe iedereen een mail sturen, hoe doen we dat?"
en hun gebruikelijke kanaal gebruikt hebben.

Dom is het zeker, maar alleen in "onze" ogen. Zo'n communicatiemedewerker weet, net als de slachtoffers, echt niet
hoe dat allemaal in elkaar zit en hoe een link precies werkt en herkend kan worden. Daarom is de effectiviteit van
waarschuwingen ook zo laag. "wij" weten hoe HTML zijn werk doet in de browser, maar voor de gemiddelde gebruiker
is dit gewoon "het internet" wat mooie plaatjes op je scherm tovert en waar je op rond kunt surfen.

Gaan we, met deze kennis, achterover leunen tot het volgende incident, of proberen we dat te voorkomen?

We kunnen eindgebruikers leren waar zij op moeten letten in e-mails. De meeste mensen die ik ken hebben er bijv. geen flauw benul van hoe simpel een afzenderadres te vervalsen is. Het veel genoemde criterium "spelfouten" om fake mails van echte te onderscheiden gaat ook hier niet op (niet doen dus!).

Zodra je de analogie maakt met een papieren brief en envelop kan e.e.a. veel duidelijker worden: op beide kun je alles vervalsen wat je wilt (denk aan de afpersingsbrieven aan John/Linda de Mol: als er al een afzenderadres op staat is dat natuurlijk nep, en, om handschriftherkenning en/of herkenning op basis van specifiek taalgebruik te voorkomen, zal de afperser vermoedelijke geen handgescheven brieven sturen en mogelijk bewust spelfouten maken).

Vergelijkbaar: als je een papieren rekening ontvangt, check dan of het IBAN nummer dat daarin staat daadwerkelijk van het bedrijf is dat de rekening gestuurd lijkt te hebben.

Feitelijk geldt dit voor elke medium waarmee je informatie ontvangt waarin je gevraagd wordt iets te doen: probeer vast te stellen of de afzender is wij zij zeggt te zijn, en ga na, voordat je iets doet, of dat het beoogde effect zal hebben.

Om mensen te kunnen leren hoe ze verstandig met e-mail en het web moeten omgaan, zullen bedrijven en organisaties zich ook moeten aanpassen. Dit kan commercieel "vervelend" zijn voor sommige organisaties, maar door het nu getoonde gedrag, waar uiteindelijk PostNL voor verantwoordelijk is, naait PostNL hun klanten een oor aan door te suggereren dat ze jou goed leren hoe je echte en nep mails van PosNL van elkaar kunt onderscheiden. NIET DUS!

Dat hun communicatiemedewerkers onkundig zijn is geen excuus, dat is een probleem dat ze moeten oplossen. En als ze dat niet willen/kunnen bestaan er gespecialiseerde bedrijven die je op zo'n moment kunt inhuren (het bedrijf waar ik werk levert dat soort "stress" diensten overigens niet, dit is dus geen eigenbelang voor mij). Sterker, ik vermoed dat goede bulk e-mail bedrijven je op dit gebied kunnen adviseren. Maar dan moet je niet voor een dubbeltje op de eerste rang willen zitten.

Als partijen die de uiteindelijke communicatie verzorgen zo goedkoop zijn doordat hun verdienmodel bestaat uit kliks in e-mail links, en die partijen blijven gebruikt worden, moeten we ze gewoon permanent blacklisten. Door marktwerking komen dan vanzelf de partijen bovendrijven die wel verantwoord mailen (of de goedkope jongens passen hun technieken aan en worden wat duurder).

Dat probleem blijft zolang het niet lukt mensen ertoe te bewegen dergelijke mails alleen met "Een lel op Del" af te doen. En iedere poging daartoe wordt gefrustreerd door instellingen als International Card Service en UPC die wél serieuze mails versturen met een link naar de inlogpagina.