Het wordt een tikkie off-topic doordat ik op DMARC en
Ziggo phishing inga, maar dit heeft natuurlijk wel alles met phishing in het algemeen en detectie daarvan door leken te maken. Het punt dat ik wil maken is dat we gebruikers niet goed opvoeden/ze van onjuiste informatie voorzien, en dat bedrijven zich vaak niet aan hun eigen regels houden. Er worden veel details bij gehaald waarmee nep van echt niet kan worden onderscheiden. Dit moet echt beter!
24-06-2015, 18:18 Door Briolet: Mijn Apple Mail zou ook alleen het "ING Servicedesk" deel tonen. Voor mij is het een automatisme om de cursor er boven te houden zodat ik het onderliggende afzender adres zie. En bij zulke bankmail al helemaal. De doelgroep van deze mail doet dat waarschijnlijk niet.
Ik zag dat je het tonen van het SMTP adres in roundcube.xs4all.nl
aan kunt zetten, als volgt: ga naar "Settings" -> "Preferences" -> "Displaying Messages". Zet een vinkje in deze regel, die het tegenovergestelde lijkt te suggereren:
Show email address with display name [ ]
Als je vervolgens mails opent, zie je, bijv. in de mail die ik vanochtend van Ziggo kreeg, het volgende:
From: Ziggo <ziggo.contact(bij)ziggo.nl>
(waarbij ik het apestaartje door (bij) heb vervangen). Ziggo (en/of mailplus) zou er natuurlijk verstandig aan doen om
uitsluitend een SMTP adres te vermelden, dan wordt dit (vermoed ik) altijd getoond - ongeacht de MUA (Mail User Agent = e-mail programma, los of webmail) of haar eventuele instellingen.
24-06-2015, 18:18 Door Briolet: Mijn eigen Synology mailserver heeft sinds een maand DMARC ondersteuning, dus heb ik me daar recentelijk op ingelezen. Eindelijk de eerste mail bescherming die ook het zichtbare "Van" adres verifieert.
Ook ik ben heel blij met DMARC; meer daarover leren heb ik hoog op mijn lijst staan. Misschien schrijf ik er binnenkort wel eens wat over, en daar kan en ga ik waarschijnlijk positiever over zijn dan over SPF in mijn stukje van ruim 10 jaar geleden:
https://www.security.nl/posting/10403/Waarom+SPF+en+FairUCE+op+termijn+geen+spam+bestrijden.
Alleen, je schrijft
het zichtbare "Van" adres - zoals ik al aangaf, helaas is dat niet
altijd zichtbaar, en dat is (voor zover ik nu begrijp) essentieel om gebruikers te laten zien dat er sprake is van een vervalsing. Nog even los van het feit dat
als dit getoond wordt, gebruikers er wel op moeten letten en weten wat precies gevalideerd wordt door DMARC.
24-06-2015, 18:18 Door Briolet: De ING gebruikt DMARC dus daar zullen phishers minder snel proberen "@ing.nl" als afzender te spoofen.
Ik weet alleen niet hoe breed DMARC inmiddels door de diverse mail-providers gedragen wordt. GMail en Microsoft checkt dit, maar b.v. Ziggo nog niet. Alhoewel Ziggo sinds 2 week wel zijn eigen mailings met DKIM signeert en ze een DMARC record aangemaakt hebben. (Die nu alleen nog maar op 'melden' staat).
Vanochtend ontving ik een mail "van Ziggo" met de volgende headers op mijn xs4all account, waarbij vooral de "Authentication-Results" header opvalt:
Return-Path: <REDACTED(bij)mpbounces.ziggo.nl>
Authentication-Results: xs4all.nl; spf=pass smtp.mailfrom=mpbounces.ziggo.nl;
dkim=pass header.i=ziggo.contact(bij)ziggo.nl; dkim=pass
header.d=mailplus.nl; dmarc=pass header.from=ziggo.nl
Received: from dmta9.brightbase.net (dmta9.brightbase.net [46.31.53.9])
by mxdrop146.xs4all.nl (8.13.8/8.13.8) with ESMTP id t5P87tAl037286
(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)
for <REDACTED>; Thu, 25 Jun 2015 10:07:57 +0200 (CEST)
(envelope-from REDACTED(bij)mpbounces.ziggo.nl)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=mailplus2015; d=ziggo.nl;
h=Date:From:To:Message-ID:Subject:MIME-Version:Content-Type:List-Unsubscribe;
i=ziggo.contact(bij)ziggo.nl;
bh=REDACTED;
b=REDACTED
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=s1; d=mailplus.nl;
h=Date:From:To:Message-ID:Subject:MIME-Version:Content-Type:List-Unsubscribe;
bh=REDACTED;
b=REDACTED
Received: by dmta9.brightbase.net id hherdq15va4n for <REDACTED>;
Thu, 25 Jun 2015 10:07:55 +0200 (envelope-from <REDACTED(bij)mpbounces.ziggo.nl>)
Date: Thu, 25 Jun 2015 10:07:55 +0200 (CEST)
From: Ziggo <ziggo.contact(bij)ziggo.nl>
To: "REDACTED" <REDACTED>
Message-ID: <REDACTED.JavaMail.mailbot(bij)e4.mailplus.nl>
Subject: Je nieuwe factuur van Ziggo
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----=_Part_REDACTED"
Precedence: bulk
X-Report-Abuse-To: Please report to abuse(bij)mailplus.nl
List-Unsubscribe: <mailto:REDACTED(bij)unsubscribe.mailplus.nl>,
<http://unsubscribe.mailplus.nl/deliverabilityservice/unsubscribe?uns-uid=REDACTED>
X-CNFS-Analysis: REDACTED
Envelope-To: REDACTED
Op een aantal plaatsen heb ik mogelijk identificerende teksten (zowel van mij als van het bericht) vervangen door "REDACTED", en voor de leesbaarheid heb ik wat losse regels tussengevoegd.
Die "Authentication-Results:" header zie ik in maar weinig mails, maar ze zijn er al wel een tijdje. Deze komt uit een mail van juli 2013:
Authentication-Results: xs4all.nl; spf=none smtp.mailfrom=mail.inforoute.nl;
dmarc=fail header.from=icscards.nl
<sarcasme>Het is natuurlijk uitgesloten dat bovengenoemde "Ziggo" mail echt van Ziggo afkomstig is </sarcasme>, want:
1) Als afzender zag ik slechts
Ziggo (heb ik sindsdien gefixt in Roundcube, zie boven);
2) De aanhef is:
Beste meneer/mevrouw Straten, - ik ben een man en het tussenvoegsel "van" ontbreekt;
3) In de mail staat: "Of wil je je wachtwoord voor Mijn Ziggo opvragen?" Het gebruik van "je" in plaats van "u" vind ik wel erg amicaal. Bovendien, beter Nederlands is "..wil je
jouw wachtwoord..", en bij voorkeur lees ik: "..wilt
u uw wachtwoord..";
4) De clickable links in de mail verwijzen naar URL's die beginnen met http://ziggonotanotificatie.e4.mailplus.nl/. Onderaan de mail staat notabene:
Kijk uit voor phishing: internetcriminelen vissen met valse e-mails naar je privégegevens. Ziggo vraagt nooit naar persoonlijke gegevens via e-mail. Check zelf hoe je phishing herkent en voorkomt
waarbij "
phishing" verwijst naar
http://ziggonotanotificatie.e4.mailplus.nl/nct504219979/ (feitelijk met een tweede identifier daarachter die naar mijn persoon verwijst, die nct504219979 zorgt dat je wordt doorgezet naar
https://www.ziggo.nl/klantenservice/internet/veiligheid/phishing);
5) De mails zien er allesbehalve als gelikt uit, want mijn "losse" mail client meldt: "To protect your privacy, Thunderbird has blocked remote content in this message", terwijl Roundcube meldt: "To protect your privacy, remote images are blocked in this message". En dat is maar goed ook, want als ik het zou toestaan, zouden plaatjes in het e-mailbericht worden gedownload van links die beginnen met http:// (voorbeeld: http://images.e4.mailplus.nl/ts/ziggonotanotificatie/Ziggo_Nota_notificatie_A/images/oranje_bottom.gif). Overigens ondersteunt ziggonotanotificatie.e4.mailplus.nl wel https, maar
met certificaatfoutmelding (omdat ziggonotanotificatie.e4.mailplus.nl niet in de lijst met alternative names in het certificaat voorkomt).
Ter illustratie, uit https://www.ziggo.nl/klantenservice/internet/veiligheid/phishing/voorbeelden/
"Hoe zie je dat dit phishing is?":1) Op meerdere plaatsen staat
De verzender gebruikt een e-mailadres dat eindigt op <diverse> en niet op @ziggo.nl, maar in het plaatje onder "Voorbeeld 3: E-mail upgrade" staat als afzender:
Ziggo Mail. Ziggo moet dus wel onderkennen dat "@ziggo.nl" niet altijd zichtbaar is. Waarom versturen ze mails niet
From: <ziggo.contact(bij)ziggo.nl> of iets dergelijks? (Die "(bij)" moet je natuurlijk weer lezen als een apestaartje).
2) Er staat:
De verzender kent je naam niet. Wij schrijven je, als we een AcceptEmail versturen, altijd aan met Beste meneer De Boer, of Beste mevrouw Jansen. In mijn geval klopt dat dus niet. Begin dit jaar ontving ik een mail van Ziggo met onderwerp "Werkzaamheden Ziggo 22-1" en daarin stond helemaal geen aanhef (in eerdere mails kwam dit ook voor).
3) Volgens Ziggo gaat het om phishing als:
'Je' en 'u' worden door elkaar gebruikt. Daar is, toegegeven, in de mail geen sprake van, maar het gebruik van "je" is mij veel te amicaal. En 2x "je" achter elkaar zou kunnen matchen op de zin
Er staat een opvallende spelfout in de e-mail.
4) In de pagina staat:
Als je op de link in de e-mail klikt, ga je naar hide.my/x/etc. Dat is niet het juiste webadres van Ziggo. Het juiste webadres van Ziggo begint altijd met https://www.ziggo.nl. Niet dus. Elders in de pagina staat:
Een ander kenmerk is dat deze pagina niet versleuteld is door middel van het voorvoegsel https:// - dat klopt ook niet bij URL's die beginnen met
http://ziggonotanotificatie.e4.mailplus.nl/ - EEN VET SECURITY RISICO BOVENDIEN!
5) Ik zie nergens op de Ziggo site staan dat veel mail clients geen "inline" plaatjes van internet ophalen, en mails er daarom vreemd uit kunnen zien, en dat
daarom vaak bovenaan dit soort mails iets als
Bekijk deze mail in je browser staat, waarbij een click op
browser je de tekst + plaatjes op een website laat zien.
Conclusie: ruim 5 argumenten waarom het bij dit soort mails,
volgens bovenstaande pagina van Ziggo, om phishing moet gaan.
Door te googlen naar
mailplus site:ziggo.nl vond ik
https://www.ziggo.nl/klantenservice/internet/veiligheid/mail-van-ziggo/. Daarin staat:
Hoe weet je of Ziggo echt de afzender is?
We gebruiken voor het verzenden van e-mails domeinnamen via Mailplus. Dat is de partner van Ziggo voor e-mailverzendingen. Hieronder zie je de domeinnamen van Mailplus die Ziggo voor mails aan je gebruikt:
gevolgd door een lange lijst van domainnames.
Echter: bovenstaande "Ziggo" mail is verzonden door een server van brightbase.net, en Google
brightbase site:ziggo.nl levert niets op...
Conclusie: als nerds als ik al niet met zekerheid kunnen vaststellen of een e-mail legitiem is of niet, kunnen leken dat zeker niet. Laat bedrijven alsjeblieft ophouden met schijnzekerheid bieden. Kom met werkende oplossingen of gebruik e-mail niet voor uitwisseling van risicovolle informatie!