Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Bedrijven die emails toesturen met het verzoek in te loggen; naming en shaming Essent

08-07-2017, 15:26 door Anoniem, 14 reacties
Eerlijk gezegd weet ik niet hoe vaak het voorkomt, als ik weer eens zo'n email krijg van een bank/Paypal/""uw credit card maatschappij" negeer ik deze.

Ik was geneigd om hetzelfde te doen bij de email van "Essent", maar ik verwachtte een kaart voor het opgeven van de meterstanden/het is weer die tijd van het jaar. En bij nader onderzoek leek de email misschien toch wel "echt". Met wel wat "onduidelijke" links voor een login.

Op de website van Essent zelf bleek het "opnamekenmerk" wel te kloppen, dus daar kon ik alsnog het één en ander invullen.
Normaal handel ik dit soort zaken af op papier; het schijnt dat ik een evt. klacht via een 0900 nummer mag doorgeven ...

Ik weet eerlijk gezegd niet hoe vaak het voorkomt dat bedrijven (als banken, verzekeringsmaatschappijen etc.) dit soort gevaarlijke emails versturen. Maar als mensen dit soort emails serieus moeten nemen, gaat het natuurlijk wel eens fout ...
Reacties (14)
08-07-2017, 19:27 door Anoniem
Die e-mails zijn helemaal niet gevaarlijk. Wat er eventueel fout zo kunnen gaan is dat jij niet reageert. Dat is verder
geen gevaar ofzo. Ze sturen nog een 2e keer die mail en als je dan weer niet reageert maken ze een schatting van je
verbruik en sturen ze de nota. Klopt er niks van die schatting dan mag je een correcte opgave sturen en doen ze een
herberekening.

Wat je denk ik eerder bedoelt is niet zozeer gevaar van de mails, maar gevaar dat je als gebruiker op een gegeven moment
niet meer weet wat er nou wel en niet klopt aan mails. Bedrijven die eerst jaren lang beweren dat ze je nooit zullen mailen
en dan ineens een online service aanbieden die als eerste je mail adres vraagt om je mail te kunnen sturen over die
geweldige dienst. Op die manier is het natuurlijk niet zo vreemd dat de mensen het niet meer snappen.
08-07-2017, 21:39 door Bitwiper
Door Anoniem: Die e-mails zijn helemaal niet gevaarlijk.
Inderdaad, als zo'n e-mail authentiek is (daadwerkelijk verzonden door, of in opdracht van, Essent) is deze waarschijnlijk niet gevaarlijk. En zelfs een valse e-mail, waarin je gevraagd wordt uitsluitend meterstanden in te vullen op een nepwebsite, is waarschijnlijk ook niet "gevaarlijk" (echter, aangezien aan meterstanden vermoedelijk niet zoveel te verdienen valt, is de kans op dit scenario niet zo groot vermoed ik).

Anders wordt het als aanvallers jou vragen om meer gegevens in te vullen (op een lijkt-op-Essent-website) dan alleen jouw meterstanden. Stel je ziet op die site willekeurige onjuiste adresgegevens, telefoonnummer en een bankrekeningnummer dat niet van jou is, met daarbij "excuses, door een fout in ons automatiseringssysteem zijn de gegevens van enkele klanten verwisseld. Vriendelijk verzoek om hier uw juiste gegevens in te vullen" - wat denk je dat sommige en wellicht de meeste mensen dan zullen doen? Of: "u heeft een betalingsachterstand. Klik hier om meteen geld over te maken"...

Gewone e-mail kent geen goed werkende en algemeen geaccepteerde standaarden voor authenticiteit en integriteit. Omdat e-mail ook nog eens goedkoop is en botnet-gebruikende-spammers ongrijpbaar lijken, is e-mail het favoriete middel van cybercriminelen om spam, phishing en social engineering junk in mailboxen te laten verschijnen. Daarmee kunnen nietsvermoedende gebruikers doodsimpel naar lijkt-op websites worden gestuurd. En daarom is e-mail ongeschikt voor "klik hier" verzoeken zoals van Essent. Immers niet-paranoïde mensen die afgaan op de wijdverbreide fabel (in stand gehouden door Essent plus zeer veel andere partijen - vermoedelijk omdat e-mail ook voor hen zo lekker goedkoop is - maar ook door reageerders als jij die het probleem niet (willen?) inzien) dat, als je de getoonde afzender vertrouwt, het wel goed zit - trappen hier gewoon in. Want dat het een koud kunstje is om een e-mail afzender te vervalsen, weet kennelijk bijna niemand.

Wat ook zou kunnen is dat we dat niet willen weten....
08-07-2017, 21:39 door Bitwiper
Door Anoniem: Die e-mails zijn helemaal niet gevaarlijk.
Inderdaad, als zo'n e-mail authentiek is (daadwerkelijk verzonden door, of in opdracht van, Essent) is deze waarschijnlijk niet gevaarlijk. En zelfs een valse e-mail, waarin je gevraagd wordt uitsluitend meterstanden in te vullen op een nepwebsite, is waarschijnlijk ook niet "gevaarlijk" (echter, aangezien aan meterstanden vermoedelijk niet zoveel te verdienen valt, is de kans op dit scenario niet zo groot vermoed ik).

Anders wordt het als aanvallers jou vragen om meer gegevens in te vullen (op een lijkt-op-Essent-website) dan alleen jouw meterstanden. Stel je ziet op die site willekeurige onjuiste adresgegevens, telefoonnummer en een bankrekeningnummer dat niet van jou is, met daarbij "excuses, door een fout in ons automatiseringssysteem zijn de gegevens van enkele klanten verwisseld. Vriendelijk verzoek om hier uw juiste gegevens in te vullen" - wat denk je dat sommige en wellicht de meeste mensen dan zullen doen? Of: "u heeft een betalingsachterstand. Klik hier om meteen geld over te maken"...

Gewone e-mail kent geen goed werkende en algemeen geaccepteerde standaarden voor authenticiteit en integriteit. Omdat e-mail ook nog eens goedkoop is en botnet-gebruikende-spammers ongrijpbaar lijken, is e-mail het favoriete middel van cybercriminelen om spam, phishing en social engineering junk in mailboxen te laten verschijnen. Daarmee kunnen nietsvermoedende gebruikers doodsimpel naar lijkt-op websites worden gestuurd. En daarom is e-mail ongeschikt voor "klik hier" verzoeken zoals van Essent. Immers niet-paranoïde mensen die afgaan op de wijdverbreide fabel (in stand gehouden door Essent plus zeer veel andere partijen - vermoedelijk omdat e-mail ook voor hen zo lekker goedkoop is - maar ook door reageerders als jij die het probleem niet (willen?) inzien) dat, als je de getoonde afzender vertrouwt, het wel goed zit - trappen hier gewoon in. Want dat het een koud kunstje is om een e-mail afzender te vervalsen, weet kennelijk bijna niemand.

Wat ook zou kunnen is dat we dat niet willen weten....
08-07-2017, 21:51 door Anoniem
Linken naar een loginpagina is op zichzelf geen issue.

Staat ook niet in de factsheet van het NCSC op https://www.ncsc.nl/binaries/content/documents/ncsc-nl/actueel/factsheets/factsheet-goede-bulkmail-lijkt-niet-op-phishingmail/1/Factsheet%2BGoede%2Bbulkmail%2Blijkt%2Bniet%2Bop%2Bphishingmail.pdf.

Maar het is denk ik wel een best practise niet te linken naar je inlogpagina als je makkelijk misbruik wilt voorkomen. Banken doen dit daarom ook niet, maar die meldden dat ook expliciet.
Andere bedrijven, zoals vele verzekeraars, linken ook gewoon naar hun inlogpagina.

Overigens: steeds vaker zie je ook dat je een link krijgt waarmee je bent ingelogd. Dat is een typische owasp-top10 fout: direct object reference.


Voor wat betreft Essent: vanaf nu gaat je wel meer opvallen bij hun. IT is zeker niet hun sterkste punt.
08-07-2017, 22:35 door Briolet
Het probleem van de legitieme Essent mail is dat hij niet naar een website van essent linkt, maar naar "pti.nl". Er is daarna ook geen redirect naar essent, maar de meterstanden vul je op die website in. Ik ken ze niet en moet dan maar vertrouwen dat Essent ze goed gescreend heeft.

Gelukkig kun je bij Essent het mailtje ook negeren en gewoon naar hun site gaan, inloggen en de standen invullen.

In het algemeen heb ik er problemen mee da firma's niet naar hun site linken, maar naar een, voor de lezer, onbekende site.

Ziggo linkte in hun nieuwsbrieven altijd naar "mailplus.nl". En overal wordt steeds aangeraden eerst de link te controleren. Diep verstopt op hun site staat wel ergens dat mailplus.nl een door Ziggo vertrouwde site is, maar het lijkt me sterk als meer dan 1% van hun abonnees dat ooit gelezen heeft. Pas eind vorig jaar heeft Ziggo het eindelijk voor elkaar en gaan alle linken in hun nieuwsbrieven rechtstreeks naar het ziggo.nl domein.
08-07-2017, 23:55 door Anoniem
Door Briolet: Het probleem van de legitieme Essent mail is dat hij niet naar een website van essent linkt, maar naar "pti.nl". Er is daarna ook geen redirect naar essent, maar de meterstanden vul je op die website in. Ik ken ze niet en moet dan maar vertrouwen dat Essent ze goed gescreend heeft.
Ja maar dat komt omdat het ook niet Essent is die die standen wil weten!
We hebben dit "met zijn allen" (= politieke beslissing mede onder druk van de EU) veel te ingewikkeld gemaakt!
Had je vroeger je eigen vertrouwde provinciale electriciteitsbedrijf met zowel productie, distributie als verkoop in eigen
hand en mensen langs de weg om meterstanden op te nemen, nee dat was allemaal niet meer van deze tijd en dat
moest op de schop.

Dus nu is dat allemaal in andere handen. Jij koopt ergens je electriciteit bij een virtueel bedrijf (er staat hier Essent wat
een van de bedrijven is waarin een hoop van de traditionele bedrijven zijn opgegaan, maar er had net zo goed een van
de nieuwkomers kunnen staan) en die kopen dan ergens geproduceerde electriciteit in, laten het naar je toe transporteren,
huren een meetbedrijf in om een meter te plaatsen en standen te verwerken, enzovoorts.

Als er weer een jaar om is willen ze weten hoeveel je gebruikt hebt en dan vragen ze dat op te geven aan het meetbedrijf
die het dan weer aan hun vertellen. Daarom krijg je die salade van verwijzingen naar andermans sites waardoor je
het vermoeden krijgt dat het niet pluis is. Maat het klopt dus wel, het is alleen veel te ingewikkeld gemaakt door
de liberalen. Dan is er meer aan te verdienen, weet je wel.
09-07-2017, 01:06 door Anoniem
Van de Essent website:



Hoe geef ik mijn meterstanden door?

Wanneer we uw meterstanden nodig hebben, sturen we u een e-mail met een link óf een meterstandenkaart.

Heeft u van ons een e-mail ontvangen?
Gebruik uitsluitend de link in de e-mail. Via deze link geeft u eenvoudig online uw meterstanden door. U heeft geen opnamekenmerk nodig.................. enz.

Er wordt niets in gezegd over pti.nl, d.w.z. Pincode Telenet Internatioanaal, specialist in het verwerken van grote volumes data. ( het lijk munne schoonmoeder wel, maar de laatste update viel erg slecht )
Maar zonder geintjes, het is toch wel belangrijk dat Essent hier specifiek in is, want anders krijg je een keer fishingmail waarin een andere website wordt genoemd met nog een paar vragen naar persoonsgegevens, en klanten kunnen niet controleren of het echt is.
(me schoonmoeder is daar trouwes ook heel goed in. Nog een paar extra vragen stelle bedoel ik)
09-07-2017, 10:10 door Bitwiper
Door Anoniem: Linken naar een loginpagina is op zichzelf geen issue.
Bizar, een security.nl bezoeker die kennelijk nog nooit van phishingmails gehoord heeft. En waarvan je niet kunt uitsluiten dat zij/hij als gevolg van deze onwetendheid er zelf wel eens (ongemerkt) ingetrapt zou kunnen zijn.

Wat een ONGELOFELIJK MISLEIDEND DOCUMENT is dat, het NCSC totaal onwaardig!

Alles wat in dat document staat, vind je ook in effectieve phishing mails terug - waardoor deze door gemiddelde ontvangers niet van echt te onderscheiden zijn. De titel had zomaar ook kunnen luiden: "Goede phishingmail lijkt op bulkmail of is overtuigender". Maar reken maar dat phishers zich niet druk maken over titels; integendeel, zij zijn zeer content met (en/of lachen zich rot om) dit soort publicaties...

Bizar om zo marketeers de indruk te geven dat ze het goed aanpakken, terwijl er legio bewijzen zijn dat e-mail ongeschikt is voor dit doel.

Het enige goede dat je in het crappy communicatiemiddel (bulk) e-mail kunt doen is GEEN link opnemen maar de tekst "om uw meterstanden in te vullen logt u in op onze website en klikt daar op meterstanden opgeven".
09-07-2017, 10:54 door Anoniem
Door Bitwiper:
Het enige goede dat je in het crappy communicatiemiddel (bulk) e-mail kunt doen is GEEN link opnemen maar de tekst "om uw meterstanden in te vullen logt u in op onze website en klikt daar op meterstanden opgeven".

Dat is ook niet goed want ik WIL helemaal geen account bij tig bedrijven hun "mijn [bedrijfsnaam]" portal. Veel te lastig
om dat allemaal te onthouden/beheren, daar veilige wachtwoorden op te hebben die wel voldoen aan hun eisen, etc.
En zo denken heel wat mensen erover. Als je niet een regelmatig contact met een bedrijf hebt dan is dat "inloggen
op hun site" een draak. Of het zou via je DigiD moeten gaan ofzo, nou dan zie ik de mensen hier al weer in de stress
schieten.
09-07-2017, 23:20 door Anoniem
Gewoon geen email gebruiken voor dit soort zaken, hooguit als opt-in.
10-07-2017, 10:22 door Anoniem
Door Anoniem: Gewoon geen email gebruiken voor dit soort zaken, hooguit als opt-in.
Hoe dan?
Een "veilige postbus"? Dat is ook al vaak geprobeerd. Werkt ook niet want niemand gaat eens in de week alle
postbussen langs om te kijken of er een bericht is. Plus dat echt niemand zich voor zo iets gaat registreren tenzij
het gedwongen is. Dus dat kan wel in een afhankelijkheids situatie (bijvoorbeeld een WW uitkering) maar niet bij
zo iets als een electriciteitsbedrijf wat de meterstanden wil weten en voor wie het afsluiten van de klant als hij geen
registratie doet een disproportionele maatregel zou zijn die zeker gezeur zou geven.
10-07-2017, 22:33 door Anoniem
10:22 met de post !
11-07-2017, 15:48 door Bitwiper
Door Anoniem:
Door Bitwiper:
Het enige goede dat je in het crappy communicatiemiddel (bulk) e-mail kunt doen is GEEN link opnemen maar de tekst "om uw meterstanden in te vullen logt u in op onze website en klikt daar op meterstanden opgeven".

Dat is ook niet goed want ik WIL helemaal geen account bij tig bedrijven hun "mijn [bedrijfsnaam]" portal. Veel te lastig
om dat allemaal te onthouden/beheren, daar veilige wachtwoorden op te hebben die wel voldoen aan hun eisen, etc.
En zo denken heel wat mensen erover. Als je niet een regelmatig contact met een bedrijf hebt dan is dat "inloggen
op hun site" een draak. Of het zou via je DigiD moeten gaan ofzo, nou dan zie ik de mensen hier al weer in de stress
schieten.
Fraai is het niet, maar Essent zou een random code (die het adres uniek representeert) mee kunnen sturen in de e-mail, die de gebruiker naar het klembord dient te kopiëren, waarna de gebruiker zelf de voor haar/hem bekende website opent en ten slotte daar die code plakt in een veld dat "code voor meterstanden" zou kunnen heten.

Overigens gebruik ik zelf KeePass woor dit doel (random gegeneerd wachtwoord per website). Toegegeven dat is wel veel administratie (inclusief frequent back-uppen van de wachtwoorddatabase).

Ik ken ook iemand die voor elke website een uniek random wachtwoord gebruikt en dat direct na gebruik vergeet. Die persoon kiest gewoon voor "wachtwoord vergeten" bij de volgende keer inloggen en vertrouwt erop een mailtje met unieke URL te ontvangen. Na gedane arbeid wordt het wachtwoord weer op iets willekeurigs gezet. Hier is wat voor te zeggen, vooral bij suffe meterstanden-achtige sites. Een nadeel hiervan is dat als je ooit van e-mail adres wisselt, je zelf niet meer bij dit soort sites komt.

Voor elk scenario hierboven geldt dat, als je jouw e-amail account opdoekt en het na enige tijd voor hergebruik wordt vrijgegeven, een ander wel eens toegang tot jouw gegevens zou kunnen krijgen (want ook die persoon kan "wachtwoord vergeten" opgeven als iemand KeePass gebruikt zoals ik maar kan ook een e-mail met zo'n random code ontvangen). Nog een reden dus waarom e-mail niet erg veilig is...
12-07-2017, 13:11 door Anoniem
Door Bitwiper:
Fraai is het niet, maar Essent zou een random code (die het adres uniek representeert) mee kunnen sturen in de e-mail, die de gebruiker naar het klembord dient te kopiëren, waarna de gebruiker zelf de voor haar/hem bekende website opent en ten slotte daar die code plakt in een veld dat "code voor meterstanden" zou kunnen heten.

Nou dan zijn we klaar, want zo werkt het!
Je krijgt een mail dat je de standen moet doorgeven en daar staat een "opnamekenmerk" in (een groot getal)
Je kunt dan naar de meterstanden site gaan en dat kenmerk invoeren en je postcode en huisnummer, en als dat
matched kun je je standen invoeren.
OF, je kunt op een link (knop) in de mail klikken waar ook een kenmerk in staat (langer) en dan hoef je dit niet zelf in te
tikken. Alleen dan de standen nog.

In feite is er dus niks aan de hand, iedereen kan werken zoals ie wil.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.