Skip to main content
Weet niet zeker of deze e-mail van jullie komt, heb hem zojuist ontvangen

Lijkt wel van Ben uit verzonden te zijn maar heeft ook alle kenmerken van een phishing email.



Mijn grootste vraag? Waarom zou ik een nieuw wachtwoord moeten instellen?

En komt deze e-mail van jullie vandaan?

Hi @hubert! Deze e-mail is wel van Ben. Heb je zelf geen wachtwoord aangevraagd? Dan kan het zijn dat een andere klant gedacht heeft dat zijn gebruikersnaam gelijk is geweest aan de jouwe. Je kunt deze e-mail verder negeren. Sorry hiervoor!

@hubert je hebt gelijkt, de mails die Ben stuurt lijken sterk op phishing. Ik zal hieronder in technisch detail uitleggen aan Ben medewerkers waarom dat zo is en waarom mensen klagen dat ze geen wachtwoord mail ontvangen.

@Romy je kunt niet aan de hand van een plaatje zien wie een bericht heeft gestuurd. Emails zijn op een paar verborgen details na volledig te vervalsen. Vertrouw dan ook nooit op een onverwachte email die vraagt om in te loggen, of die nou van Ben lijkt te komen of niet.

Nu de techniek, geef dit s.v.p. aan deze 3 partijen: de IT afdeling, de IT-beveiligingsfunctionaris (CSO) en de functionaris gegevensbescherming (FG) bij Ben/T-Mobile:

Deze emails worden momenteel verstuurd door een server met IP adres 80.79.192.35. Die behoort bij een mail server van info.nl. Dat is een ander bedrijf dan Ben. Het genoemde IP adres is niet aanwezig in het spf record voor ben.nl.

Het spf record is op dit moment: v=spf1 a:mail.aspider.nl a:mail7.aspider.nl ip4:84.241.250.0/24 ip4:84.241.226.0/24 mx:teleperformance.de a:relay.referit.nl ip4:194.88.230.32/27 ip4:194.88.231.0/24 ip4:80.69.72.128/28 ip4:87.253.151.0/24 a ip4:195.167.99.0/24 ip4:62.148.190.30 ip6:2a02:1d8:0:64::25:0/112 ~all

Door het ontbreken van het ip adres van de verzendende server is de uitslag van de spf anti-spam controle “softfail”. Hierdoor komt het bericht waarschijnlijk in de spam folder terecht of wordt het helemaal niet aangenomen. Spam filters kunnen vervolgens dit type mail van dezelfde afzender of met dezelfde inhoud als spam gaan beschouwen.

Emails waarin gevraagd wordt in te loggen moeten aan strenge eisen voldoen. Het moet controleerbaar zijn waar de email vandaan komt en of er toestemming is vanuit het ben.nl domein om dit soort mail te verzenden namens Ben. Enkele van die manieren zijn: SPF, DKIM en DMARC. De eerste faalt en de laatste twee ontbreken geheel. DKIM is een vereiste om emails te kunnen sturen naar de meeste grote providers zoals Google. DMARC zou iedereen die accounts beheert moeten toepassen.

Ziggo voegt dit toe aan de headers:

Authentication-Results: mail.iss.as9143.net;

 spf=softfail (80.79.192.35;ben.nl);

 dkim=none (nosigs);

 dmarc=none header.from=ben.nl (dis=no_record);

Naast de wijze van verzenden moet ook de inhoud van de email correct en verifieerbaar zijn. In dit geval is de emailinhoud in incorrect Nederlands opgesteld.
Iemand die niet om een nieuw wachtwoord heeft gevraagd kan de email opvatten als een verzoek om op de link in de email te klikken. Dat is nu precies wat phishers doen. Die vervangen de echte link door een link van website die er misschien net zo uitziet als de site van ben.nl waarin een gebruikersnaam en wachtwoord kan worden opgegeven. Phishers proberen zo accountgegevens te stelen en alles wat met zo’n account samenhangt, zoals persoonlijke gegevens, telefoonnummerovername of -wijziging en alles wat je verder online kan regelen en aanvragen.

Een wachtwoordwijzigingsmail moet eerst uitleggen waarom je de email ontvangt. Bijvoorbeeld: "vanaf IP adres 1.2.3.4 is zojuist op onze site ben.nl gevraagd om het wachtwoord te wijzigen. Klik op deze link als jij dit hebt gevraagd".
 In de email moet de volledige naam worden gebruikt. Dus niet "Piet" en email "piet@domein.tld", maar voluit "Piet de Vries". De voornaam kan een phisher ook halen uit een email adres.

De mail moet geen links naar andere partijen bevatten. En ook geen reclame voor apps of andere zaken. Een wachtwoord aanpassen van een account is een serieus onderwerp en alles in de procedure moet correct zijn. Domeinen zoals media-ben-campagnes.nl kan iedereen registreren, en dat geeft geen zekerheid over wie de email heeft verzonden. Gebruik dus alleen het ben.nl domein of subdomeinen.

Ben moet ook uitleggen op website ben.nl wat voor soort mails worden verstuurd en hoe phishing mails zich onderscheiden van echte mails. Dat is werk voor een deskundige.

De wachtwoord vergeten procedure is ook niet in orde. Ben je een nieuwe klant of ben je je wachtwoord vergeten? Vul hieronder je gebruikersnaam in. Ik stuur je via e-mail een instructie toe hoe je een nieuw wachtwoord kunt instellen. Maar bij de knop staat Email nieuw wachtwoord. Dat is niet wat gebeurt, er wordt een resetlink gestuurd. Hoe dit werkt moet nauwkeurig worden uitgelegd op de ben.nl site.

De inhoud moet voorrang krijgen op de vorm. De communicatiestijl is van secundair belang bij de bestrijding van phishing.

 


Hi bedankt voor je uitgebreide uitleg, mailsec! De mailserver is inderdaad in opdracht van Ben/t-mobile. De andere gegevens die je hebt opgezocht zal ik doorgeven aan de verantwoordelijke en hopelijk kunnen ze daar in de toekomst een verbetering op doen. Bedankt voor je oplettendheid en uitleg. 


Reageer