En dus kom ik niet bij pdf terecht als ik dit toepas ....

Uit https://www.ncsc.nl/binaries/content/documents/ncsc-nl/actueel/factsheets/factsheet-goede-bulkmail-lijkt-niet-op-phishingmail/1/Factsheet%2BGoede%2Bbulkmail%2Blijkt%2Bniet%2Bop%2Bphishingmail.pdf: Exact, phishers kunnen (en doen) dit dus ook! Daarom kun je aan de hand van de ‘From'-header van het bericht een nepbericht niet onderscheiden van een authentiek bericht. Met 1 uitzondering: gebruik, als verzender, naast SPF, ook DKIM en DMARC (geforceerd, niet in optionele of debug modes) - maar die drie protocollen werken alleen indien mailservers van ontvangers correct gevolg geven aan alle bijbehorende instructies. Helaas komt dat nog niet zoveel voor.

Goed te zien dat NCSC daarover vandaag ook een advies gepubliceerd heeft, zie https://www.ncsc.nl/actueel/factsheets/factsheet-bescherm-domeinnamen-tegen-phishing.html.

Goed advies. Eindelijk eens verstandig gebruik maken van de hiërarchie die DNS biedt! In essentie: hou op met stomme domeinnamen verzinnen zoals bijvoorbeeld praxis-aanbiedingen.nl - iedereen kan zo'n domeinnaam aanvragen.

Feitelijk zijn de werkelijke links in een e-mail het enige op basis waarvan een ontvanger met zekerheid een echte van een nepmail kan onderscheiden.

Ik voeg hier graag de volgende adviezen aan toe:
(A) Gebruik https en zorg voor certificaten waarin de gebruiker goed kan zien dat hij een site bezoekt van de bedoelde organisatie.

(B) Zorg dat alle links in e-mails met https:// beginnen (vertrouw niet op redirects).

(C) "Verstop" links in de e-mail onder termen als "deze pagina". Vertel aan gebruikers op de anti-phishing pagina (die je natuurlijk publiceert) dat ze altijd met de muis boven een link moeten gaan hangen om te kijken waar de link naartoe gaat, en waar ze dat kunnen zien in de verschillende mail clients. Reden: als je https://bulkmail.example.nl/ in de tekst ziet, wil dat niet zeggen dat je ook daarnaartoe gaat als je op die link klikt.

Voorbeeld: als je in https://twitter.com/ncsc_nl/status/659315946734141440 je muis boven de link getoond als "ncsc.nl/actueel/factsh ..." laat zweven, verschijnt een popupje met daarin "https://www.ncsc.nl/actueel/factsheets/factsheet-bescherm-domeinnamen-tegen-phishing.html". Beide zijn onzin. Als je erop klikt ga je naar https://t.co/8kLKqkPV3s, en je moet maar afwachten wat daarachter zit.

Schrijf erbij dat je, in e-mails, nooit en te nimmer van URL-shorteners gebruik zult maken, en waar je dat wel doet (zoals op Twitter).

Vermijd alle externe content, ook plaatjes. Verstandige mensen zetten dat uit (waardoor legitieme e-mails met externe plaatjes er niet uitzien). Reden: spammers weten dat e-mail gericht aan jouw e-mail adres gelezen wordt zodra je een e-mail opent en één of meer plaatjes vanaf een door de spammer/phisher beheerde (of gehackte) server worden opgehaald.


Vertel NOOIT aan gebruikers dat zij bovenstaande aspecten kunnen gebruiken om legtitieme van nepmails te onderscheiden. Dat is misleiding.

Voorbeeld, uit https://www.praxis.nl/service/waarschuwing (bron, waarvoor dank aan Ivanhoe: https://www.security.nl/posting/448783/Praxis+phishing): Daarmee wek je de suggestie dat mails afkomstig van genoemde adressen gegarandeerd geen phishingmails zijn, en dat is niet waar. Zeker niet omdat genoemde domains welliswaar van SPF gebruik maken, maar daarmee nooit garanderen dat het getoonde afzenderadres authentiek is.

Correctie 14:42, bovenaan: DMARC lijkt SPF nodig te hebben om het zichtbare From: veld te kunnen valideren (waar SPF alleen slechts het, onzichtbare, envelope-from AKA return-path valideert). Ik moet me nodig verdiepen in DMARC!
Correctie 14:46: in stukje over Twitter stond de schijnbare URL 2x, deze wordt in de tweet juist verkort afgebeeld.
Correctie 15:18: in de 1e correctie bedoelde ik met "header-from" "envelope-from".

Het advies is goed, maar hoe haalbaar is dit bij de huidige mass-mailer-service-providers?

Het is 14 jaar geleden dat ik spam ontving met als onderwerp "Nu 3 weken NRC Handelsblad voor slechts FL. 14,95".

Nadat heel antispam-Nederland over NRC heenviel (https://www.security.nl/posting/2450/AbFab+spamt+weer,+nu+voor+NRC) bood NRC haar excuses aan (https://www.security.nl/posting/2461/NRC+biedt+excuses+aan+voor+spam).

Interessant, in dit kader, waren de links in de spam e-mail:

Daarmee was het volstrekt duidelijk dat het hier niet om een phishing mail ging (die waren er toen nog nauwelijks), maar dat de verzender ofwel NRC zelf was, ofwel iemand die toestemming had van NRC om gebruik te maken van het domein actie.nrc.nl.

Vandaag ontving ik een e-mail, naar verluidt van Ziggo:
De zendende mailserver blijkt dmta8.brightbase.net [46.31.53.8] te zijn (ik neem aan dat Ziggo zelf mailservers heeft).

In de tekst van de e-mail staat onder andere: Als ik de muispijl boven Mijn Ziggo houd, zie ik een URL die begint met http://ziggonotanotificatie.e4.mailplus.nl/.

Aangezien dat domein niets met ziggo.nl te maken heeft, moet het hier wel om een phishing mail gaan. De totaal vreemde mailserver bevestigt dat (maar leken zullen die informatie niet kunnen achterhalen). Weggooien die junk!

Wat NCSC bedoelt (en wat NRC en AbFab in 2001 al snapten) is dat Ziggo bijv. het domein ziggonotanotificatie.ziggo.nl zou kunnen registreren gekoppeld aan het IP-adres van een server van de mass-mailer-service-provider.

En laat die mass-mailer-service-provider een sleutelpaar en CSR genereren op die server, en laat Ziggo vervolgens die CSR indienen bij een CSP waarna het Ziggo certificaat op die server gezet kan worden.

Waarna links beginnend met https://ziggonotanotificatie.ziggo.nl/ in dit soort mails kunnen worden opgenomen, en gebruikers -ook via onveilige public Wi-Fi- meteen van betrouwbaar geauthenticeerde en (hopelijk) netjes versleutelde verbindingen contact kunnen leggen met die server (die voor inloggen op "Mijn Ziggo" en inzage in facturen hoort te redirecten naar een webserver die door Ziggo zelf wordt beheerd - maar ook dat zou Ziggo kunnen uitbesteden).

Zo besteed je de hele afhandeling van bulkmail uit, zodanig dat eenvoudige gebruikers zich niet eens realiseren dat Ziggo dit heeft uitbesteed. En kundige gebruikers kunnen vaststellen dat Ziggo gebruik maakt van een partij die zij kennelijk vertrouwt (of dat terecht is, is een ander onderwerp).

En daar zit hem nu net de kneep. De meeste marketeers die gebruik maken van die maildiensten snappen dat niet en worden niet door hun maildienst geholpen. Kost tijd, kost geld en weegt niet op tegen de voordelen. Marketeers willen tegen zo laag mogelijke kosten zo veel mogelijk leads genereren.

Veel van de domeinen in reclame emails zijn trackers, bedoeld om ontvangst en klikgedrag te registreren. Bedrijven die dat zo doen, hoeven niet te verwachten dat ik op hun links klik. Soms bestaat een bericht uitsluitend uit links zonder enige tekst: prullenbak materiaal.

Massmailers hebben de plicht zich te identificeren in email. Dat betekent dat je sowieso niet een domein van een ander kunt gebruiken. Het afzender adres mag ook niet "noreply" zijn. Het moet een werkend adres gelezen door mensen zijn en ook niet een of ander tijdelijk tagged adres. Als je als verzender het vervelend vind om de backwash te ontvangen, dan is dat pech. Stuur dan maar geen massa mailing.

Dat is een passieve oplossing.

Ga voor een actieve oplossing = "Hengeltjes breken"

https://www.security.nl/posting/447292#posting447448

Ik noem enkele problemen:
(1) De gebruiker ziet, in zijn mail client, niet naar welke website hij zal gaan als hij op de link klikt, is zich er niet van bewust dat dit belangrijk is, weet niet hoe dat moet of welke van de getoonde informatie juist is.

(2a) De gebruiker ziet, in zijn mail client, wel naar welke website hij zal gaan voordat hij op de link klikt, maar snapt niets van domainnames en realiseert zich daardoor niet dat bankieren.rabobank.nl.rabonederland.net resp. www.ing.be.fvnbe.net (twee van de zeer vele domainnames van een Russische server met IP-adres 109.70.27.4) niets te maken hoeft te hebben met rabobank.nl resp. ing.be. Zodra "ISM eCompany" hun domein bank.nl (wat moeten ze ermee?) aan die Russen verkoopt kunnen zij je ook foppen met bijv. rabo.bank.nl.

(2b) De gebruiker ziet, in zijn mail client, wel naar welke website hij zal gaan voordat hij op de link klikt, maar snapt niets van de hiërarchie van DNS en realiseert zich daardoor niet dat bankieren.rabobank.nl iets totaal anders is dan rabobank.bankieren.nl (liefhebbers: bankieren.nl is momenteel te koop bij Sedo).

Jouw oplossing tracht probleem 1 te verhelpen maar doet niets aan 2. Bovendien is jouw oplossing gebruiksonvriendelijk en zal daarom niet worden ingevoerd (hoe graag we dat, vanuit security-oogpunt, ook zouden willen).

Je schrijft dit alsof er een wet is die dit voorschrijft, maar dat is niet zo. Kennelijk is dit jouw mening - waar, zo vrees is, geen enkele massmailer een boodschap aan heeft.

Ik heb in de loop van de jaren verschillende bedrijven erop geattendeerd dat wat ze verstuurden niet van phishing te onderscheiden was, inclusief personeelszaken bij een vroegere werkgever toen die een op het personeel gerichte actie had uitbesteed waarbij je via een e-mail van buiten het bedrijf zelfs werd uitgenodigd om je gebruikersnaam en wachtwoord voor het bedrijfsnetwerk op een externe webserver in te vullen (kennelijk hadden ze wel geregeld dat dat werkte). De reactie komt altijd op hetzelfde neer: ik hoef me geen zorgen te maken want ze zijn echt heel zorgvuldig in met wie ze in zee gaan, ik moet niet twijfelen aan hun betrouwbaarheid.

Ik wijs er dus op dat dit niet gaat over hoe betrouwbaar zij zelf zijn, en ook niet hoe betrouwbaar het door hun ingeschakelde bedrijf is, maar dat dit gaat over de onbetrouwbaarheid van oplichters die zich voor anderen en mogelijk voor hun uitgeven. Het gaat erom dat ze herkenbaar maken dat het bericht echt door hun gestuurd is en niet door een oplichter.

En dan gaat aan de andere kant domweg het licht uit.

Het lijkt wel alsof mensen die mailings verzorgen en campagnes bedenken niet in staat zijn om zich in het perspectief van de ontvanger of het perspectief van een eventuele oplichter te verplaatsen. Het enige wat ze begrijpen is dat als zij zelf hebben geregeld dat iets gestuurd is het ook echt door hun geregeld is. Het idee dat de ontvanger niet weet wat zij weten lijkt niet in hun brein te passen, evenmin als het inzicht dat het soort herkenbaarheid waar het hierom gaat niet door een logo of huisstijl wordt geboden maar door iets concreters als het domein waarnaar hyperlinks verwijzen.

Ik vind het onbegrijpelijk dat mensen die verantwoordelijk zijn voor nieuwsbrieven en marketing denken dat de ontvanger alles al weet. Waar heb je die nieuwsbrief dan nog voor nodig?


Die lijden vermoedelijk aan dezelfde cognitieve blokkade. Die hebben er hun vak van gemaakt en zouden de risico's voor hun klanten moeten snappen, beter dan de meeste klanten die zelf snappen. Dat ze de risico's niet snappen of negeren spreekt boekdelen over hun gebrek aan wat ik professionaliteit zou noemen.