niks nieuws toch?

Geen ING-mailadres
De ING stuurt wel mailtjes, maar die zijn altijd met als aanhef degene aan wie het mailadres is gekoppeld gericht. Dus "Geachte heer Jansen" of "Geachte mevrouw Poepjes"
"Eeen"? "volledigeheid"?
"meding"? "accunt"?
"uw de instructie heeft begrepen"? en "hier" gaat vast niet naar https://bankieren.ing.nl...
"uw het heeft geinstalleerd"? "word dit automatische verwerkt"? "omgegeving"
"ING B.V." bestaat niet.

Kortom, ik vind het een matige poging.

Stuur verdachte e-mails door naar valse-email@ing.nl

Mensen die haastig zijn die zullen het niet zien dat het een phishingmail is. Bijvoorbeeld als iemand over een uurtje op reis gaat, zou die persoon het waarschijnlijk zo snel mogelijk willen fixen door zonder nadenken de app even snel te installeren.

Daar heb ik de ING ook over gebeld. Door de taalfouten is al te zien dat het een phishing mail is.

Vandy, mooie analyse, mijn complimenten.

Vandaag nog een, ook overtuigend

Uw TAN-codes zijn tijdelijk geblokkeerd

Waarom blokkeren?
Er kunnen twee redenen zijn:

De computer die u op dit moment gebruikt, is mogelijk besmet met een virus. Via dit virus kan iemand uw gebruikersnaam en wachtwoord voor Mijn ING achterhalen.
Derden hebben mogelijk uw inloggegevens voor Mijn ING


Veiligheidsmaatregel
Om misbruik te voorkomen zijn uit voorzorg uw TAN-codes voor Mijn ING geblokkeerd.
Wij begrijpen dat deze blokkade vervelend voor u is. Deze maatregel is genomen om
ervoor te zorgen dat uw gegevens veilig zijn.

Zo ontvangt u weer TAN-codes

Maak uw computer virusvrij.
Kilk hier om uw account te activeren

Bent u in het buitenland?

Om uw account te activeren. Klik hier

Wij helpen u graag op werkdagen van 8.00 tot 21.00 uur en op zaterdag van 9.00 tot 17.00 uur. Wij zorgen er direct voor dat u uw TAN-codes voor Mijn ING weer ontvangt.

Goed om te weten Pinnen en geld opnemen bij een geldautomaat is wel mogelijk. Ook de ingeplande opdrachten in Mijn ING en de automatische incasso's worden gewoon verwerkt.

Met vriendelijke groet,

ING B.V.
Administratie.


NB: U kunt de factuur uitsluitend openen met Adobe Reader. Indien u deze software niet heeft geinstalleerd dan kunt u deze gratis downloaden op http://www.adobe.nl/products/acrobat/readstep2.html

Deze heb ik ook gehad vandaag. Helaas hebben wij geen ING.

Zolang we slechtgeschreven mailtjes vol met html (waarmee doelen van linkjes dus niet direct zichtbaar zijn), duidelijke obfuscatie, en ook nog eens van een andere partij dan de opgegevene als "overtuigend" zien, hebben phishers het maar makkelijk.

Als je zo onzorgvuldig ben, tja, dan verdien je het bijna ook om slachtoffer te worden.
Ik neem aan (en hoop) dat je dan in ieder geval even de bank belt om het te verifiëren wanneer je toch twijfelt over de echtheid van die mail.

https://www.ing.nl/de-ing/veilig-bankieren/belangrijke-mededelingen/phishing-mail-kan-android-gebruikers-raken.html vermeldt dat, als je met een Android smartphone op links in deze phishing-mails hebt geklikt, er een kwaadaardige App genaamd "ING Protect Service" kan zijn geïnstalleerd:

Als je over een uurtje op reis moet dan wacht je met dit soort zaken tot je terug bent. Op reis ga je toch niet met je TAN codes in de weer? Of heb ik als niet-ING klant ergens een trend gemist?

Ik zou wel buikpijn krijgen als ze zouden melden dat mijn PINpas geblokkeerd zou zijn, maar dan zou ik toch eerder de telefoon pakken om ze uit te schelden...

Veel te lezen over de ING protect service maar hoe haal je hem van je tablet weg?

Nee, totaal niet overtuigend. Stop alsjeblieft om wat makkelijk na te maken vormgeving overtuigend te vinden en om het overtuigend te noemen, dat is het namelijk niet.

ALLES wat jou vraagt iets te HERACTIVEREN of om een CODE IN TE VULLEN is ernstig VERDACHT. Domweg niet doen. Nee, echt niet. Ook niet als de e-mail best goed vormgegeven is. Ook niet als de gebruikte taal best echt lijkt. Dat is allemaal niet moeilijk, oplichters kunnen dat prima.

Kijk eens bij de veelgestelde vragen op de website van ING, dan vind je dit:

https://www.ing.nl/particulier/klantenservice/veelgestelde-vragen/index.html?path=Veilig+bankieren%2FVeilig+internetbankieren

Merk een paar dingen op:
• Ze hebben het niet over TAN-codes blokkeren, ze blokkeren je toegang tot Mijn ING (wat ongetwijfeld ook TAN-codes blokkeert, maar de blokkade gaat verder dan alleen TAN-codes).
• Ze sturen je geen e-mail maar een brief.
• Ze vragen je niet om op een link te klikken maar om ze op te bellen.
• Als ik dat zinnetje over openingstijden letterlijk kan kopiëren van de ING-website dan kan een oplichter dat ook.

En besef dit: als ze jouw TAN-codes niet meer kunnen vertrouwen dan zullen ze dus NOOIT een TAN-code vragen om dat vertrouwen weer te herstellen, die vertrouwden ze immers niet meer. Je kan er gif op innemen dat je na het klikken op die link om je TAN-codes te heractiveren om een TAN-code wordt gevraagd, misschien na nog wat masserende taal om je vertrouwen of juist je angst te vergroten. Laat je er niet door in de war brengen en vertrouw het domweg niet.

En misschien is het ook goed om te beseffen dat de bank zelf die TAN-code niet nodig heeft om bij jouw rekening te kunnen. Je rekening is niet een soort kluis waar de bank zelf niet bij kan, het is gewoon een plukje data in een grote database waar allerlei processen binnen die bank dingen mee doen. Die TAN dient voor iets anders, die dient om te voorkomen dat ze de verkeerde mensen via de website opdrachten laten inleggen. Een heleboel phishing-mails zijn meteen een stuk minder overtuigend als je dat in je achterhoofd houdt, er zijn er heel wat die het doen voorkomen alsof de bank jouw codes nodig heeft om bij je account te kunnen, en dat is echt klinkklare onzin.

En als je toch twijfelt: zoek het telefoonnummer van je bank op (brief, dagafschrift, website - maar NIET uit die e-mail of uit een webpagina waar die naar linkt) en bel ze op. Ze kunnen je direct vertellen of er iets geblokkeerd is of niet.

Hoezo overtuigend als de afzender niet ING.nl is? Ik vind iets als <info@h-eerlijk.eu> zelfs heel verdacht als afzender.

Als je die afzender zou zien wel. Maar veel mail clients laten helaas alleen een "display name" zien.

Je reageert overigens op een oud bericht. Een nieuwe ING phish is "13:13 door Anoniem".

@17:41 door Anoniem

Je bent wel lekker bezig. Het is overtuigend dat afzender ING zegt dat er nieuwe TAN codes moeten worden aangevraagd om veiligheidsredenen.

Je wenst het wel heel graag dat het niet zo is (zo graag dat ik denk dat je werkgever ING heet), maar een beetje meer realiteitszin is handig in dit vak. Dat jij en ik zien dat het een phish is betekent niet dat de doorsnee ING rekeninghouder dat ook zo ziet. M.a.w. neem jezelf niet als maatstaf.

Niet elk e-mail programma/webmail toont die "<info@h-eerlijk.eu>".

Zie bijv. de bovenste screenshot in https://www.dearbytes.com/blog/phishing-via-mobiele-malware/. Overigens een mooie analyse die DearBytes van de kwaadaardige APK gemaakt heeft.

Bron voor de DearBytes URL: Anoniem 23-06-2015, 18:56 in https://www.security.nl/posting/433244/%5BVerwijderd%5D#posting433247 - waarvoor dank!

Je hebt gelijk. Mijn Apple Mail zou ook alleen het "ING Servicedesk" deel tonen. Voor mij is het een automatisme om de cursor er boven te houden zodat ik het onderliggende afzender adres zie. En bij zulke bankmail al helemaal. De doelgroep van deze mail doet dat waarschijnlijk niet.

Mijn eigen Synology mailserver heeft sinds een maand DMARC ondersteuning, dus heb ik me daar recentelijk op ingelezen. Eindelijk de eerste mail bescherming die ook het zichtbare "Van" adres verifieert. De ING gebruikt DMARC dus daar zullen phishers minder snel proberen "@ing.nl" als afzender te spoofen.

Ik weet alleen niet hoe breed DMARC inmiddels door de diverse mail-providers gedragen wordt. GMail en Microsoft checkt dit, maar b.v. Ziggo nog niet. Alhoewel Ziggo sinds 2 week wel zijn eigen mailings met DKIM signeert en ze een DMARC record aangemaakt hebben. (Die nu alleen nog maar op 'melden' staat).

Het wordt een tikkie off-topic doordat ik op DMARC en Ziggo phishing inga, maar dit heeft natuurlijk wel alles met phishing in het algemeen en detectie daarvan door leken te maken. Het punt dat ik wil maken is dat we gebruikers niet goed opvoeden/ze van onjuiste informatie voorzien, en dat bedrijven zich vaak niet aan hun eigen regels houden. Er worden veel details bij gehaald waarmee nep van echt niet kan worden onderscheiden. Dit moet echt beter!

Ik zag dat je het tonen van het SMTP adres in roundcube.xs4all.nl aan kunt zetten, als volgt: ga naar "Settings" -> "Preferences" -> "Displaying Messages". Zet een vinkje in deze regel, die het tegenovergestelde lijkt te suggereren:


Als je vervolgens mails opent, zie je, bijv. in de mail die ik vanochtend van Ziggo kreeg, het volgende:


(waarbij ik het apestaartje door (bij) heb vervangen). Ziggo (en/of mailplus) zou er natuurlijk verstandig aan doen om uitsluitend een SMTP adres te vermelden, dan wordt dit (vermoed ik) altijd getoond - ongeacht de MUA (Mail User Agent = e-mail programma, los of webmail) of haar eventuele instellingen.

Ook ik ben heel blij met DMARC; meer daarover leren heb ik hoog op mijn lijst staan. Misschien schrijf ik er binnenkort wel eens wat over, en daar kan en ga ik waarschijnlijk positiever over zijn dan over SPF in mijn stukje van ruim 10 jaar geleden: https://www.security.nl/posting/10403/Waarom+SPF+en+FairUCE+op+termijn+geen+spam+bestrijden.

Alleen, je schrijft het zichtbare "Van" adres - zoals ik al aangaf, helaas is dat niet altijd zichtbaar, en dat is (voor zover ik nu begrijp) essentieel om gebruikers te laten zien dat er sprake is van een vervalsing. Nog even los van het feit dat als dit getoond wordt, gebruikers er wel op moeten letten en weten wat precies gevalideerd wordt door DMARC.


Vanochtend ontving ik een mail "van Ziggo" met de volgende headers op mijn xs4all account, waarbij vooral de "Authentication-Results" header opvalt:


Op een aantal plaatsen heb ik mogelijk identificerende teksten (zowel van mij als van het bericht) vervangen door "REDACTED", en voor de leesbaarheid heb ik wat losse regels tussengevoegd.

Die "Authentication-Results:" header zie ik in maar weinig mails, maar ze zijn er al wel een tijdje. Deze komt uit een mail van juli 2013:

<sarcasme>Het is natuurlijk uitgesloten dat bovengenoemde "Ziggo" mail echt van Ziggo afkomstig is </sarcasme>, want:

1) Als afzender zag ik slechts Ziggo (heb ik sindsdien gefixt in Roundcube, zie boven);

2) De aanhef is: Beste meneer/mevrouw Straten, - ik ben een man en het tussenvoegsel "van" ontbreekt;

3) In de mail staat: "Of wil je je wachtwoord voor Mijn Ziggo opvragen?" Het gebruik van "je" in plaats van "u" vind ik wel erg amicaal. Bovendien, beter Nederlands is "..wil je jouw wachtwoord..", en bij voorkeur lees ik: "..wilt u uw wachtwoord..";

4) De clickable links in de mail verwijzen naar URL's die beginnen met http://ziggonotanotificatie.e4.mailplus.nl/. Onderaan de mail staat notabene: waarbij "phishing" verwijst naar http://ziggonotanotificatie.e4.mailplus.nl/nct504219979/ (feitelijk met een tweede identifier daarachter die naar mijn persoon verwijst, die nct504219979 zorgt dat je wordt doorgezet naar https://www.ziggo.nl/klantenservice/internet/veiligheid/phishing);

5) De mails zien er allesbehalve als gelikt uit, want mijn "losse" mail client meldt: "To protect your privacy, Thunderbird has blocked remote content in this message", terwijl Roundcube meldt: "To protect your privacy, remote images are blocked in this message". En dat is maar goed ook, want als ik het zou toestaan, zouden plaatjes in het e-mailbericht worden gedownload van links die beginnen met http:// (voorbeeld: http://images.e4.mailplus.nl/ts/ziggonotanotificatie/Ziggo_Nota_notificatie_A/images/oranje_bottom.gif). Overigens ondersteunt ziggonotanotificatie.e4.mailplus.nl wel https, maar met certificaatfoutmelding (omdat ziggonotanotificatie.e4.mailplus.nl niet in de lijst met alternative names in het certificaat voorkomt).


Ter illustratie, uit https://www.ziggo.nl/klantenservice/internet/veiligheid/phishing/voorbeelden/
"Hoe zie je dat dit phishing is?":

1) Op meerdere plaatsen staat De verzender gebruikt een e-mailadres dat eindigt op <diverse> en niet op @ziggo.nl, maar in het plaatje onder "Voorbeeld 3: E-mail upgrade" staat als afzender: Ziggo Mail. Ziggo moet dus wel onderkennen dat "@ziggo.nl" niet altijd zichtbaar is. Waarom versturen ze mails niet From: <ziggo.contact(bij)ziggo.nl> of iets dergelijks? (Die "(bij)" moet je natuurlijk weer lezen als een apestaartje).

2) Er staat: De verzender kent je naam niet. Wij schrijven je, als we een AcceptEmail versturen, altijd aan met Beste meneer De Boer, of Beste mevrouw Jansen. In mijn geval klopt dat dus niet. Begin dit jaar ontving ik een mail van Ziggo met onderwerp "Werkzaamheden Ziggo 22-1" en daarin stond helemaal geen aanhef (in eerdere mails kwam dit ook voor).

3) Volgens Ziggo gaat het om phishing als: 'Je' en 'u' worden door elkaar gebruikt. Daar is, toegegeven, in de mail geen sprake van, maar het gebruik van "je" is mij veel te amicaal. En 2x "je" achter elkaar zou kunnen matchen op de zin Er staat een opvallende spelfout in de e-mail.

4) In de pagina staat: Als je op de link in de e-mail klikt, ga je naar hide.my/x/etc. Dat is niet het juiste webadres van Ziggo. Het juiste webadres van Ziggo begint altijd met https://www.ziggo.nl. Niet dus. Elders in de pagina staat: Een ander kenmerk is dat deze pagina niet versleuteld is door middel van het voorvoegsel https:// - dat klopt ook niet bij URL's die beginnen met http://ziggonotanotificatie.e4.mailplus.nl/ - EEN VET SECURITY RISICO BOVENDIEN!

5) Ik zie nergens op de Ziggo site staan dat veel mail clients geen "inline" plaatjes van internet ophalen, en mails er daarom vreemd uit kunnen zien, en dat daarom vaak bovenaan dit soort mails iets als Bekijk deze mail in je browser staat, waarbij een click op browser je de tekst + plaatjes op een website laat zien.

Conclusie: ruim 5 argumenten waarom het bij dit soort mails, volgens bovenstaande pagina van Ziggo, om phishing moet gaan.

Door te googlen naar mailplus site:ziggo.nl vond ik https://www.ziggo.nl/klantenservice/internet/veiligheid/mail-van-ziggo/. Daarin staat: gevolgd door een lange lijst van domainnames.

Echter: bovenstaande "Ziggo" mail is verzonden door een server van brightbase.net, en Google brightbase site:ziggo.nl levert niets op...

Conclusie: als nerds als ik al niet met zekerheid kunnen vaststellen of een e-mail legitiem is of niet, kunnen leken dat zeker niet. Laat bedrijven alsjeblieft ophouden met schijnzekerheid bieden. Kom met werkende oplossingen of gebruik e-mail niet voor uitwisseling van risicovolle informatie!

Dan zijn de programma's die dat niet doen onderdeel van het probleem. Niet dat een afzenderadres niet doodeenvoudig te vervalsen is, maar de neiging van softwaremakers om steeds maar alles wat "moeilijk" is af te dekken in plaats van waar nodig te verduidelijken kan volgens mij alleen maar leiden tot het steeds onwetender worden van de gemiddelde computergebruiker en het steeds minder informatief worden van user interfaces over wat er eigenlijk gaande is. Dat kan in mijn ogen alleen maar tot resultaat hebben dat de gemiddelde computergebruiker steeds kwetsbaarder wordt. Geen goede zaak.

100% mee eens!

Lastig is wel dat er geen consensus over bestaat over wat nu exact belangrijke informatie is en wat niet, d.w.z. wat moet er getoond worden (bijv. SPF is leuk, maar checkt envelope-from dat door geen enkele MUA getoond wordt; bovendien accepteren mail servers e-mail waarbij dat veld leeggelaten wordt en ten slotte werd het destijds als anti-spam maatregel verkocht terwijl het hooguit helpt tegen het bestrijden van backscatter bij "Joe-jobs").

O.a. de IETF maakt goede standaarden over technische protocollen, maar niemand lijkt zich te buigen over standaarden voor Interaction Design (bij voorkeur onafhankelijk van OS en applicaties), zodanig dat gebruikers consistent betrouwbare inschattingen kunnen maken over de authenticiteit van informatie.

@00:12 door Anoniem

Ik ben het helemaal met je eens.

Voor Thunderbird is het zo dat je het from adres wel ziet als het bericht geopend is, maar niet in de berichtenlijst. Als je al gezien hebt dat het bericht van "ING" is, dan ga je dat niet nog een keer checken als argeloze gebruiker. Dat is dus niet goed.

Er is een plug-in beschikbaar SenderAddressColumn waarmee je wel het afzender adres kunt tonen in een kolom in de berichtenlijst. Het zou mooi zijn als er ook nog een envelope sender name getoond kan worden (voor techneuten die dat willen zien).

Er is inderdaad nog veel te verbeteren, maar je moet toegeven dat dit een verbetering is t.o.v. hoe Ziggo het tot 2 week geleden deed. De SMTP server was altijd al die van brightbase.net en werd in het verleden gevalideerd door het SPF record van mailplus.nl. Doordat Ziggo nu DMARC is gaan gebruiken, moeten ze de SMTP server ook via een SPF record in hun eigen domein gaan valideren. Hetzelfde als DKIM. voorheen was het alleen mailplus.nl die de mails signeerde. Nu moeten ze ook nog eens door Ziggo zelf gesigneerd worden.

Maar bij gebruik van DMARC (zoals ING.nl doet), moet dat SPF record in de domeinnaam staan van het afzenderdomein uit het 'Van' veld. Dus als de afzender én de ontvanger DMARC gebruiken, heb je wel de check via het getoonde 'Van' veld.

Het probleem blijft dan inderdaad dat veel mail cliënten dat ene belangrijke deel nu juist weer gaan verstoppen om de ontvanger een makkelijk leesbare naam voor te schotelen.

- Dat is niet alleen bij roundcube.xs4all.nl maar bij alle webmail op een roudcube server.
- Bij de Apple Mail cliënt kun je dat aanzetten door in "Voorkeuren -> Weergave" de optie "Gebruik slimme adressen" uit te zetten. Dan laat hij standaard ook het echte e-mail adres zien. Uit security oogpunt snap ik niet waar het woord 'slim' op slaat. (-:
- Ziggo webmail heeft geen optie om altijd het adres te laten zien, maar kan het alleen door de cursor boven de naam te plaatsen. (en > 1 seconde te wachten)
Je zou inderdaad niet de mogelijkheid mogen hebben het echte adres te verbergen.

Voor security bewuste mensen is het nog steeds goed te doen om valse mail, zoals in de topic start, direct te herkennen. Voor criminelen maakt dit echter niets uit. Als slechts 1% van de mensen dit niet in de gaten heeft, is hun missie al lang geslaagd.

En praat jij alsjeblieft niet over de (voor dit soort dingen) kwetsbaarste groep gebruikers alsof zij de maatstaf zijn, ze zijn niet de enigen die computers gebruiken. Dat leidt ertoe dat je verzuimt om uit te leggen waar je zoal op kan letten, om duidelijk te maken over hoe je over de informatie die dat oplevert kan redeneren en reageren, en de groep mensen die dat nog niet weet maar die wél in staat is om dat te bevatten houd je op die manier naïef.

Dáárom maak ik bezwaar tegen de op mij nogal fatalististisch overkomende formulering dat het overtuigend is. In plaats van dat als maatstaf te accepteren leg ik voor wie het lezen wil uit waarom daar anders over denk. En als ik dat op een te intellectuele manier doe, best, zet er dan een uitleg tegenover die meer mensen kunnen snappen.

Alleen de e-mails posten met de opmerking dat het best overtuigend is vind ik niet erg zinvol (ik weet niet of jij dat was). Als de bedoeling daarvan niet was om reacties uit te lokken die duidelijk maken hoe je ze kan beoordelen dan ben ik benieuwd wat het doel van het posten van die e-mails dan wel is, de poster(s) van beide volledige e-mails heeft/hebben de moeite niet genomen om even te vermelden wat ze ermee beoogden.

Het doel van het posten van de berichten (beide zijn van mij) is uiteraard om mensen te waarschuwen. Er staat duidelijk dat het niet van ING komt, omdat ik ook weet dat helaas niet iedereen in staat is dit te beoordelen.

Een verschil tussen jou en mij is dat jij de werkelijkheid wil zien zoals je wenst dat het is en dat ik de werkelijkheid zie en dat vaststel. Verder verzin je een heel verhaal dat er niet staat. Als je denkt dat je met verzonnen standpunten een discussie kunt voeren, dan moet ik je helaas teleurstellen, ik bijt niet.