Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Bol.com heeft niks geleerd.

25-10-2010, 14:13 door Spiff has left the building, 16 reacties
Bol.com lijkt niks geleerd te hebben sinds twee jaar geleden.

Twee jaar geldeden speelde het volgende:
Bol.com verstuurt "phishing-mail"
http://www.security.nl/artikel/23333/1/Bol.com_verstuurt_%22phishing-mail%22.html

Bol.com verzond in 2008 een e-mail naar 5 miljoen klanten waarin het vroeg om de gegevens te controleren. Een e-mail waarin nogal wat klanten een phishing mail meenden te herkennen, dit mede door de url's waarnaar werd doorgelinkt.
Lees voor alle informatie het bovenvermelde artikel en de reacties daarop.

Een paar dagen geleden ontving ik een e-mail van Bol.com met subject "Kennen wij elkaar?"
Een mail die bijzonder veel gemeen had met het bericht van 2008.
Ook nu werd verzocht de gegevens te controleren.
Ook nu verwezen links in de mail naar een potentieel dubieuze url.
Het verdachtste was dat de onderliggende link onder de vermelding https://www.bol.com/nl/account/login.html niet naar dat adres linkte, maar naar http://bol.e-fulfilment.nl/e-messenger/clicked.php?[...]
Ook alle andere links in de mail leidden naar die betreffende url.

Ik heb daarom de Bol.com klantenservice benaderd:

Zojuist ontving ik de onderstaand bijgevoegde mail van <service.info@bol.com>
subject: Kennen wij elkaar?

Ik vermoed een phishing-mail.

Dit mede gezien de diverse links naar
http://bol.e-fulfilment.nl/e-messenger/clicked.php?[...]
en een mailadres
bol.com@e-village.nl

Adressen die ik niet ken van Bol.com

Ik zal niet reageren op die mail.
Mocht die mail tóch van bol.com afkomstig zijn, dan moet dat in het vervolg anders. Een mail met verwijzingen naar dergelijke links is niet bepaald vertrouwenswekkend.

De reactie die ik ontving van Bol.com was:

U heeft contact met bol.com Klantenservice opgenoment omdat u een e-mail heeft ontvangen met het verzoek om uw gegevens in ons bestand te controleren.
U geeft aan te twijfelen aan de herkomst van dit bericht.
Deze e-mail is daadwerkelijk van bol.com en de links verwijzen naar authentieke bol.com pagina's.
Wij zullen uiteraard ons best doen om dergelijke verwarring in het vervolg te voorkomen.

Het zal me zeer benieuwen.
Reacties (16)
25-10-2010, 14:50 door Anoniem
EPIC FAIL!
25-10-2010, 18:29 door Rene V
Ik ontving 'm ook en heb er bewust voor gekozen om 'm te negeren, alhoewel de mail redelijk legit leek, had ik zoiets van "better safe than sorry" ;-)
25-10-2010, 22:10 door Anoniem
ik heb 'm ook gekregen, 't zag er echt uit alsof het bol.com was hoor, sommige teksten zijn wel een beetje vreemd, maar de link stuurde mij wel echt naar https://www.bol.com/nl/account/login.html , uiteraard heb ik mijn gegevens voor de zekerheid niet ingevoerd ;)
25-10-2010, 22:11 door Anoniem
en volgens mij is het phishing, niet fishing ;)
25-10-2010, 22:51 door Spiff has left the building
Door Anoniem: en volgens mij is het phishing, niet fishing ;)
Je hebt gelijk, hoor.
Wikipedia zegt het zo vriendelijk: "Phishing. Not to be confused with fishing."
En onder Fishing: "Not to be confused with phishing."

Aaanvulling, 26-10:
Ik heb het inmiddels maar gecorrigeerd, om verdere 'conphusion' over die term te voorkomen ;-)
26-10-2010, 12:55 door spatieman
wie zegt ons niet, dat de mail servers van snol.com niet g3'0wn3d zijn.
26-10-2010, 13:09 door Silver
Door spatieman: wie zegt ons niet, dat de mail servers van snol.com niet g3'0wn3d zijn.


Zucht. De Telegraaf, nou goed? Denk je dat dat geen voorpagina nieuws zou zijn, paranoid android?

Overigens vind ik het raar dat ik de door jou (Spiff) genoemde email niet ontvangen heb. Ik heb meerdere accounts daar en meestal krijg ik alle mails dan ook dubbel binnen. Evengoed juist afgehandeld vind ik. Ik had ze ook niet geopend als ik jou was.
26-10-2010, 13:30 door Anoniem
E-village verzorgt de fulfillment voor o.a. bol.com - geen slechte club maar hier heeft de afdeling marketing duidelijk zitten slapen.
26-10-2010, 13:58 door Spiff has left the building
Door Silver: Overigens vind ik het raar dat ik de door jou (Spiff) genoemde email niet ontvangen heb. Ik heb meerdere accounts daar en meestal krijg ik alle mails dan ook dubbel binnen.
Het lijkt erop dat Bol.com de betreffende mail niet naar alle klanten tegelijk heeft gestuurd.
Ik ontving 'm vrijdagochtend, een vriendin pas een paar dagen later, begreep ik.
Misschien kom je dus nog aan de beurt.
Of de mail is mogelijk afgevangen door je spamfilter, en staat in je spamfolder (al dan niet in webmail)? Ook twee jaar terug werd die Bol.com mail soms door spamfilters afgevangen.
26-10-2010, 14:35 door Spiff has left the building
Door Anoniem: E-village verzorgt de fulfillment voor o.a. bol.com - geen slechte club maar hier heeft de afdeling marketing duidelijk zitten slapen.
Ja. Na die commotie van twee jaar geleden hadden ze nu toch wel moeten weten dat e-mails van bol.com waarin gelinkt wordt naar adressen binnen domeinen ánders dan bol.com gewantrouwd worden door security-bewuste klanten.

De domste fout dat was het voorzien van de vermelding https://www.bol.com/nl/account/login.html van een onderliggende link die niet naar dat adres linkte, maar naar http://bol.e-fulfilment.nl/e-messenger/clicked.php?[...]
Als iets alarmbelletjes doet rinkelen, dan is dat het wel, lijkt me.
26-10-2010, 14:49 door Oldskool
Ik heb deze mail ook gehad, maar alle links die naar de loginpagina verwijzen zijn een directe verwijzing naar bol.com en dus niet naar de genoemde bol.e-fulfilment.nl, mogelijk dat ze er na een batch achter zijn gekomen en het hebben gecorrigeerd?

Krijg in ieder geval 3x netjes een directe link:
<a href="https://www.bol.com/nl/account/login.html" target="_blank">https://www.bol.com/nl/account/login.html</a>
26-10-2010, 15:05 door Spiff has left the building
Aan Oldskool:
Als ik het goed begrijp zijn niet alleen de links in de tekst okee, maar nu ook de onderliggende werkelijke links?
In dat geval lijkt het er inderdaad op dat ze er na berichten van klanten achter zijn gekomen dat de mail niet deugde, en dat ze 'm hebben gecorrigeerd voor latere zendingen.
26-10-2010, 15:26 door Oldskool
Door Spiff:
Aan Oldskool:
Als ik het goed begrijp zijn niet alleen de links in de tekst okee, maar nu ook de onderliggende werkelijke links?
In dat geval lijkt het er inderdaad op dat ze er na berichten van klanten achter zijn gekomen dat de mail niet deugde, en dat ze 'm hebben gecorrigeerd voor latere zendingen.

Correct, de HTML zoals ik die heb gequote komt letterlijk uit de source van de mail. Dus zowel tekst als link verwijzen direct naar bol.com en niet (langer) naar bol.e-fulfilment.nl.
26-10-2010, 15:29 door Spiff has left the building
Mooi, dan leren ze het nu blijkbaar toch.
Nu maar afwachten hoe ze het over twee jaar doen, of ze het dan niet alweer vergeten zijn.
28-10-2010, 11:00 door Anoniem
En de volgende komt ook net binnen:


Geachte heer/mevrouw Appel,

U ontvangt dit bericht omdat het e-mailadres is aangemeld bij UPC Nederland. Dit is een controle om te kijken of uw gegevens correct zijn en om te voorkomen dat anderen u ongevraagd hebben opgegeven.

Laatste nieuws en ontwikkelingen
Graag willen we door middel van onze nieuwsbrief met u in contact blijven zodat u ook in de toekomst op de hoogte blijft van het laatste nieuws, acties, premières en ontwikkelingen bij UPC. Wilt u liever niet per e-mail benaderd worden door UPC, klik dan hier om u uit te schrijven.

UPC nieuwsbrief
Bekijk hier de laatste versie van onze nieuwsbrief

en het antwoord van UPC:

Geachte heer A.

Onderstaande mail is een officieel bericht. U kunt er, indien u wilt, gerust op reageren.

Wij vertrouwen erop u hiermee voldoende te hebben geïnformeerd.

Met vriendelijk groet,
UPC Nederland

UPC Abusedesk
29-10-2010, 15:23 door Rajaat
Een rechtstreekse link naar bol.com is echter geen garantie dat het wel veilig is, de site is gevoelig voor cross site scripting lekken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.