Dit gebeurde een jaar of 2 geleden ook al op grote schaal, er was een speciale website voor ingericht waar je dan heen
verwezen werd vanuit een spam mailtje, met allemaal knoppen met officiele logo's van zogenaamd deelnemende bedrijven
waar je dan je actie kon aanklikken. Dan kreeg je een vragenlijstje wat je moest invullen.

Was duidelijk een scam, maar er waren in ieder geval in die tijd ook sites die dit deden zonder die ongevraagde binding
met een bekend bedrijf. Een enquete invullen en dan kreeg je gratis een lampje voor op je fiets, dat soort dingen.
Het enige verschil was dat het dan meteen al duidelijk was dat je voor een prul je gegevens aan het geven was, terwijl
de acties met misbruik van een merk toen ook al fikse bedragen boden.

Er wordt al jaren met behulp van "sweepstakes" gegevens verzameld, dat is een methode die vanuit de USA is komen overwaaien. Het gaat meestal vooral om het mobiele nummer en email adres. Via beide kanalen wordt spam verstuurd, waar je vrijwel niet vanaf komt, omdat het met "partners" wordt gedeeld. De truuk is dat je wel voor elk van die "partners" kan unsubscriben, maar dat maakt verder weinig uit, want er worden weer nieuwe "partners" uit de hoge hoed getoverd.

Hiermee denken de spammers de CAN SPAM wet te kunnen omzeilen. Maar in feite is de opt-in oplichting.

De belofte is dat je een prijs hebt gewonnen, een auto, een mobiele telefoon, een iPad of supermarkt couponnen. In de VS meestal Wallmart, hier dus "vertaald" met Albert Heijn en Jumbo.

Moraal van het verhaal is: je hebt geen prijs gewonnen (als iets te goed lijkt om waar te zijn, dan is dat meestal ook zo), vul je gegevens dus nooit in om iets te "winnen".

Dit is inderdaad een lastig fenomeen! Ik heb hierover gecorrespondeerd met grote bedrijven waaronder inderdaad Jumbo en de Staatsloterij. Wat mij verwondert is dat deze bedrijven hun handen er vanaf trekken en zelf (ogenschijnlijk) geen moeite doen om dit misbruik van hun naam en logo te stoppen. Ik voel me daardoor behoorlijk in de kou staan. Deze oplichters of opt-in marketingbureaus (wat is het verschil?) opereren vaak vanuit het buitenland waardoor aanpakken niet alleen lastiger is, maar voor een particulier zo goed als onmogelijk.
Overigens heb ik van een van deze grote bedrijven gehoord dat het inderdaad een actie van hun was die op deze manier verspreid werd. Dom!

Waarom gebruikt AH geen EV certificaat op hun website? Dan is het toch veel gemakkelijker te controleren?

Opvallend is dat AH aangeeft dat mail vanuit AH.nl moet komen.... Net alsof anderen niet vanuit dat domein kunnen mailen.

@AH: Begin eens met het adresseren van iedereen in de mail (Beste mevrouw Y uit Leeuwarden). Alleen dan kan ik tenminste echt bepalen of de mail aan mij gericht is en houd je alleen nog echt gerichte spam over.

Dit plaatje is een screenshot van een poging om een duur abonnement te slijten met de belofte van het winnen van iets van Albert Heijn.

http://postimg.org/image/qwcnmdd55/full/

Gevestigd in Curacao. AH kan eenvoudig dit bedrijf aanklagen voor merkinbreuk. De staat kan ze ook aanklagen wegens het aanbieden van een kansspel.

Als ze iets als dmarc zouden gebruiken wordt het wel moeilijker bij sommige providers, maar dat doen ze niet. Ik kan nu inderdaad gewoon een mailtje sturen met als afzender ah.nl.

Als ik dat naar mijn Ziggo adres stuur is er geen enkele waarschuwing in de headers. Ziggo forward het vervolgens naar mijn eigen server en die geeft:


Conclusie: AH doet geen enkele moeite om misbruik tegen te gaan en iedereen is dus vrij om AH.nl te misbruiken.

Ah ja nu herrinner ik het me weer... ik had die posting om 10:48 gedaan dat ik dit al eerder gezien had maar het was me
niet bijgebleven dat er behalve een vragenlijst ook een heel duur SMS abonnement achter zat.
Ik heb toen nog enige moeite gedaan om deze sites te blokkeren want er zijn altijd domme mensen die dit gewoon doen
en als dat op de werk telefoon is dan komen daar gigantische kosten op. Dat was in 1 geval ook gebeurd. Is vaak lastig
om dat te beeindigen ook nog.

Geldt deze redenatie ook voor de nog openstaande hiaten in beveiliging van huize briolet?

Huize briolet is geen multinational. Bij een multinational als AH zou je toch wel een betere beveiliging verwachten tegen misbruik van hun domeinnaam in mailtjes. Als ik in mijn mail headers kijk, zie ik dat eigenlijk alle grote bedrijven hun mail beveiligen met spf. De boven genoemde Jumbo, doet dat b.v ook.
SPF is niet foolproof, maar helpt in elk geval tegen verzenden vanuit botnets.

AH gebruikt als SPF record :
Hierin betekent het "?all" op het eind dat elke verzender geaccepteerd moet worden. Bij een "-all" instelling zouden veel mailservers zulke mail direct naar de spambox doorsturen of zelfs weigeren als het via botnets verstuurd wordt.
Waarom eerst een lijst met vertrouwde IP adressen opsommen en vervolgens alle anderen ook toelaten?

Ze beweren op hun site, ten onrechte, dat de afzender 'ah.nl" garant staat dat zij die mail verzonden hebben. Zoiets kun je alleen beweren als je daar ook iets aan gedaan hebt om dat waar te maken. Van een bedrijf in de grootte als AH met internet aspiraties via bol.com, mag je toch meer verwachten op dit gebied.

Niet voor het een of ander, maar SPF en DMARC hebben al afgedaan voordat ze werden bedacht. Het probleem van domeingebaseerde authenticatie zit hem in de domeinherkenning.

Als voorbeeld Apple phishing. Deze phishing wordt verstuurd met DKIM-Signature en DomainKey-Signature headers.

Subject: Apple ID Cancellation
From: "iCloud Accounts Support" <support@updating-ios.com>

updating-ios.com. 300 IN MX 0 mail.updating-ios.com.
updating-ios.com. 300 IN MX 10 mail.updating-ios.com.
updating-ios.com. 300 IN SPF "v=spf1 mx a ip4:79.143.187.240"

updating-ios.com. 86400 IN NS etta.ns.cloudflare.com.
updating-ios.com. 86400 IN NS todd.ns.cloudflare.com.
updating-ios.com. 86400 IN SOA etta.ns.cloudflare.com. dns.cloudflare.com. 2018898014 10000 2400 604800 3600
updating-ios.com. 300 IN A 79.143.187.240

Payload:
/><br /> Please continue your Apple ID Validation to &raquo; <a
href="https://updatingios.me/myicloud/?email=[emailadres]"><br

Dit domein komt inclusief SSL certificaat. Ook al kloppen de checks, dan zegt het nog zegt niets omdat de eigenaar van het domein alle touwtjes in handen heeft.

Hier verlies ik je betoog. Als de eigenaar van het domein alle touwtjes in handen heeft, dat kunnen derden er toch juist geen misbruik van maken? Alleen de eigenaar van het domein bezit de private key om de mailtjes te ondertekenen.


Wat wel een probleem is, is dat de minderheid van de mailservers alle testen op de mail uitvoert. Vooral dmarc is nog een klein deel omdat het nog in de kinderschoenen staat.

Ik heb voor de aardigheid nog twee mailtjes uit naam van bol.com verstuurd. Zij hebben een SPF instelling om foute afzenders te weigeren en de DMARC instelling om alleen te rapporteren.

Als ik die mail naar mijn dataweb.nl account stuur, die alleen spf test, dan wordt hij netjes als spam aangemerkt vanwege falen op SPF.

Als ik die mail echter naar mijn gmail.com account stuur, wordt hij gewoon doorgelaten. Dat is omdat gmail ook dmarc controleert en bol.com heeft via dmarc ingesteld om alleen te rapporteren. En omdat de dmarc instelling een hogere prioriteit heeft, brengen ze hun eigen bescherming om zeep.
Het betekent wel dat men er mee bezig is en ik verwacht dat dit binnen een paar jaar heel wat verder doorgevoerd wordt.

Het punt is dat de phishers zelf domeinen registreren. Dus kunnen ze ermee doen wat ze willen, SPF, DMARC, signeren, web server certificaten. Checks voor die verificatiemethoden geven dus groen licht.

Daardoor falen allerlei authenticatiemethoden in de bescherming tegen phishing omdat de ontvanger niet weet aan wie het domein toebehoort. Het ziet er wel uit als een Apple domein.

apple.com komt dus niet in het mailtje voor.

Overigens, jaren geleden (5-10 jaar) gebruikten vooral spammers DKIM. Als je destijds een mailtje kreeg met DKIM, dan was de kans groot dat het spam was, juist omdat DKIM werd gebruikt. Zo wilde de spammers de bezorgbaarheid vergroten.
Dat was hetzelfde probleem als de huidige Apple phishing.

Tegenwoordig zijn phishers wel zo slim dat ze geen via DNS controleerbare afzender domeinen meer gebruiken. Daardoor vallen die phishing mails niet door de mand als vervalsing. Ze gebruiken gewoon een ander domein. De ontvanger merkt vaak het verschil niet.

Jouw redenatie bepaalt dat jij voor een ander bepaalt welke moeite tot beveiligen het zou hebben gedaan en op basis van die eigen aannames je jezelf het recht toe eigent misbruik van de situatie te maken.

Met andere woorden, als huize briolet nog hiaten in haar beveiliging heeft en iemand dat als onzorgvuldig betitelt, heeft deze volgens jouw logica het recht om : in je tuin te lopen, naar binnen te kijken, de deuren te checken, naar binnen te lopen bij aanbellen als je open doet, je computers, je 4 webcams en je nas te hacken, je opberg kluisje te openen, je tweede huis in het buitenland van binnen te bekijken en meer van die dingen.

Allemaal gerechtvaardigd volgens je eigen logica.

Ik heb nu in ieder geval een lange lijst met bedrijven waar ik geen zaken mee wil doen. Hun naam komt groot in beeld in scam mail. Ze willen er niets aan doen, terwijl ze dat heel goed kunnen.

Peter

Nog een tip:

NOOIT op de AFMELDEN (unsubscribe) link klikken.

Anders trap je er alsnog in.

Meteen naar valse-email@fraudehelpdesk.nl sturen en weggooien.

Maar wat is nu de oplossing als je erin trapt?

Dit fenomeen steekt de kop weer op. Ik kreeg vandaag per e-mail van AH met de bekende logo's een kans om een voedselpakket en €100 te winnen. Moet wel binnen 5 dagen geactiveerd worden.

okee..... shitttt... .ik ben er dus ingetrapt. En ikkreeg een sms dat ik op moet schrijven "BETALEN" en dat door sturen naar nummer 6006.... Of ik moet smsen STOP...
Ik heb het beiden niet gedaan. Wat raden jullie me aan.... Ik wil nl. helemaal geen diensten van die oplichters en ben ook niet van plan ook maar iets te betalen.

Je kan en mag niet verwachten dat de grotere bedrijven hier een oplossing voor vinden omdat JIJ het vervelend vindt.
Ik snap de redenatie wel: "Ze gebruiken hun naam, dus zij zijn ook verantwoordelijk".

Maar dat is het punt. Ze zijn helemaal niet verantwoordelijk voor crimineel gedrag van een ander. Wat ze wel doen, gebeurd achter de schermen en daar hebben jullie of zelf de klantenservice geen weet van. Juridisch gezien vecht een albert heijn bijvoorbeeld, dit echt aan. En dit is ook het enige wat ze kunnen doen. Maar dat is helemaal niet relevant en interessant voor ons om te weten. Het feit blijft namelijk, dat je er niet van af komt.

Dit valt niet te stoppen. Je kan niet van een AH verwachten dat ze veel geld steken in een seize & decist actie, terwijl de volgende crimineel aan de andere kant van de wereld al weer klaar zit met de volgende spam-actie. Hoe kunnen mensen uberhaubt boos worden op de grotere bedrijven. Ze mogen groot zijn, maar hier hebben ze geen macht over.

En als je dat toch iemand iets wilt verwijten, kan je ook goed naar eigen internet gedrag kijken. Ik denk dat rustig 90 procent van alle spam komt doordat iemand zijn e-mail adres openbaar heeft gebruikt op het web. Gewoon niet doen!
Kunnen mensen deze ook niet in adressenboeken zetten. Je e-mail adres gebruik je voor het persoonlijk overhandigen aan relaties / vrienden / familie, of voor een facebook account aanmaken, oid. En lees daarbij dan altijd een disclaimer door. Als Facebook netjes aangeeft dat e-mail adres veilig wordt bewaard, mag je dat aannemen. Mocht je dan toch spam krijgen, heb je WEL een zondebok.