image

XS4ALL en ING blokkeren phishingmails

vrijdag 7 september 2012, 10:08 door Redactie, 12 reacties

ING en internetprovider XS4ALL werken samen om phishingmails die uit naam van de ING verstuurd worden actief te blokkeren. Hiervoor gebruiken de partijen de zogenaamde DMARC-technologie. De door DMARC ontwikkelde standaard, moet het eenvoudiger voor afzenders maken om e-mail authenticatie te introduceren. Een afzender kan bijvoorbeeld een provider vragen om ongeauthenticeerde e-mail te stoppen, om zo phishingaanvallen tegen te gaan.

DMARC is een initiatief van vijftien vooraanstaande internetbedrijven, waaronder Microsoft, Facebook, LinkedIn en Google. ING is de eerste bank in Nederland die DMARC geadopteerd heeft en inzet om haar klanten tegen phishingmails te beschermen. Dat betekent dat klanten van XS4ALL geen valse e-mails meer ontvangen met de afzender @ING.nl. De proef met XS4ALL loopt nu zes weken en blijkt goed te werken. Het aantal valse e-mails dat misbruik maakt van het domein ING.nl is gedaald met 71%.

False positives
"Bij het tegenhouden van valse e-mails loop je altijd het risico dat er per ongeluk legitieme berichten worden geblokkeerd. Die zogenaamde 'false positives' moet je natuurlijk vermijden. Door gebruik te maken van DMARC kunnen we vaststellen of een bericht echt afkomstig is van de ING. False positives worden zo tot het minimum beperkt", aldus Jan-Pieter Cornet, systeembeheerder bij XS4ALL.

Reacties (12)
07-09-2012, 10:45 door Anoniem
Vandaag nog een phishing mailtje van ING gehad.
Maarja die had als afzender gcassius@gosl.gov.lc

Probleem voor een scanner blijft het "herkennen van een mail als mogelijke phish mail".
Als dat beter zou lukken dan zou vervolgens een betere check op de afzender gedaan kunnen worden.
Nu kun je wel mails van @ing.nl beter bekijken, maar die mail van gcassius wordt daar niet door geraakt,
dus de niet zo oplettende gebruiker wordt evengoed wel gephished.
07-09-2012, 10:49 door Bitwiper
Als security freak (en xs4al klant) zet ik vanzelfsprekend alle spamfilters uit, ik wil weten wat "men" zoal ontvangt.

Hoewel ik het een goede maatregel vind (die feitelijk als eerste bij alle andere providers zou moeten worden doorgevoerd om effectief te zijn, Joe Sixpack zit nou eenmaal niet bij xs4all), ben ik benieuwd of deze DMARC technologie bij xs4all ook een opt-out kent zoals de spamfilters...
07-09-2012, 11:06 door spatieman
goh.

tot de ING opeens zomaar, omdat het kan, hun mail server gaat veranderen.
zoals de SNS voor een paar jaar terug deed, (gebruikte een mailserver in duitsland opeens)
07-09-2012, 11:25 door SirDice
Door Bitwiper: Als security freak (en xs4al klant) zet ik vanzelfsprekend alle spamfilters uit, ik wil weten wat "men" zoal ontvangt.
Dan ben je waarschijnlijk, net als ik, niet zo gelukkig van die nieuwe spamfilter van XS4ALL. Vroeger kon je nog je zelf RBLs kiezen, tegenwoordig kan dat kreng alleen maar aan of uit.
07-09-2012, 11:46 door Anoniem
@SirDice en Bitwiper

een beetje long-term XS4ALL klant neemt een hap appeltaart en glimlacht naar zijn eigen domain naam en mail-server ;-)
07-09-2012, 12:23 door Bitwiper
Door Anoniem: @SirDice en Bitwiper

een beetje long-term XS4ALL klant neemt een hap appeltaart en glimlacht naar zijn eigen domain naam en mail-server ;-)
Je hebt gelijk, maar dat moet je dan wel weer onderhouden. Niet dat ik dat niet kan (ik heb heel vroeger sendmail en later postfix gedraaid) maar ik besteed de laatste tig jaar al genoeg tijd aan werk (en posten op security.nl ;)
07-09-2012, 12:32 door Anoniem
Bij DMARC verteld de eigenaar van het afzenddomein de ontvangende spamfilter wat er moet gebeuren.

DMARC = DKIM+SPF+Reporting functionaliteit

Indien de afzender verteld dat alle berichten die het domein verstuurd gesigned zijn met DKIM en er een bericht ontvangen wordt wat geen signing bevat kan door middel van een _dmarc record ingesteld worden wat er moet gebeuren met het ontvangen bericht (NONE/REJECT/QUARANTINE). Vervolgens krijgt de eigenaar van het domein rapportages over welke IP adressen en/of welke berichten niet voldoen aan de gestelde policy.

Zoals gewoonlijk moet de eigenaar van het domein wel DMARC implementeren en moet de ontvangende partij wel DMARC uitlezen/verwerken.
07-09-2012, 14:49 door Anoniem
Slecht nieuws,

Wie is ING en provider om te bepalen om mail dat aan mij gericht is niet af te leveren?
07-09-2012, 16:41 door [Account Verwijderd]
[Verwijderd]
07-09-2012, 16:42 door Anoniem
Door Anoniem: Slecht nieuws,

Wie is ING en provider om te bepalen om mail dat aan mij gericht is niet af te leveren?

Wie wil er e-mail vanuit ing.nl ontvangen die niet van ING afkomstig is?
07-09-2012, 16:59 door Anoniem
Door Anoniem: Slecht nieuws,

Wie is ING en provider om te bepalen om mail dat aan mij gericht is niet af te leveren?

Het is ook nooit goed met sommige mensen. Je gaat me toch niet vertellen dat je op gevalideerde spam zit te wachten?!? Lees svp het artikel en Google eens op DMARC om iets beter te begrijpen wat het betekent, het is een open standaard en initiatief van de grote technologiebedrijven zoals Microsoft, Facebook en Google om phishing en spam tegen te gaan.

Ik ben er blij mee en hoop dat de andere banken en internetproviders hier snel aan mee gaan doen. Je kunt soms echte mails bijna niet meer van valse mails onderscheiden en dan is dit een uitkomst!

Edwin
07-09-2012, 17:30 door Bitwiper
Door Anoniem: DMARC = DKIM+SPF+Reporting functionaliteit
DMARC streeft daarnaast iets verstandigers na (iets dat SPF en DKIM nalaten): xs4all controleert de domainname in het From: veld; als de aanleverende mailserver niet gerechtigd is die mail aan te bieden namens dat domain, zal xs4all de mail weigeren.

Nb. SPF checkt het Envelope Mail From: veld (meestal getoond als "Return-Path" in headers). Dat veld krijg je in mail clients normaal gesproken nooit te zien. Bovendien kan de afzender dat veld het leeg laten (dat is noodzakelijk om loops bij bounced mails te verhinderen en dus legitiem).

Helaas schieten we nauwelijks iets op met DMARC omdat de meeste mail clients de "friendly name" van de afzender tonen, d.w.z. "John Doe", en niet "John.Doe@example.com".

Ook https://roundcube.xs4all.nl/ laat achter "Afzender" slechts de friendly name zien. Wel is het zo dat als je de muispijl stilhoudt boven de getoonde naam, dat het volledige e-mail adres getoond wordt. Maar wie doet dat?

Bij vermoedelijk de meest gebruikte mail client, Outlook, zul je meer moeite moeten doen om het e-mail adres van de (schijnbare) afzender te achterhalen. En dat doet (bijna) niemand.

Door Anoniem: Slecht nieuws,

Wie is ING en provider om te bepalen om mail dat aan mij gericht is niet af te leveren?
Geen zorgen! Je zult nog steeds phishing mails kunnen ontvangen met als afzender "ING Customer Support" of iets dergelijks...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.