Uit
https://www.ncsc.nl/binaries/content/documents/ncsc-nl/actueel/factsheets/factsheet-goede-bulkmail-lijkt-niet-op-phishingmail/1/Factsheet%2BGoede%2Bbulkmail%2Blijkt%2Bniet%2Bop%2Bphishingmail.pdf:
1. Domein. Gebruik altijd een emailadres van uw eigen domein in de ‘From'-header van het bericht. Zelfs als een externe partij e-mail verzendt kunnen zij een domein van uw organisatie gebruiken.
Exact, phishers kunnen (en doen) dit dus ook! Daarom kun je aan de hand van de ‘From'-header van het bericht een nepbericht niet onderscheiden van een authentiek bericht. Met 1 uitzondering: gebruik, als verzender, naast SPF, ook DKIM en DMARC (geforceerd, niet in optionele of debug modes) - maar die drie protocollen werken
alleen indien mailservers van ontvangers correct gevolg geven aan
alle bijbehorende instructies. Helaas komt dat nog niet zoveel voor.
Goed te zien dat NCSC
daarover vandaag ook een advies gepubliceerd heeft, zie
https://www.ncsc.nl/actueel/factsheets/factsheet-bescherm-domeinnamen-tegen-phishing.html.
2 Links. Laat alle links in bulkmail verwijzen naar uw eigen verzenddomein en maak gebruik van redirects. Bijvoorbeeld, als u mailt van ‘@bulkmail.example.nl’, dan verwijzen alle links naar ‘bulkmail.example.nl’.
Goed advies. Eindelijk eens verstandig gebruik maken van de hiërarchie die DNS biedt! In essentie: hou op met stomme domeinnamen verzinnen zoals bijvoorbeeld praxis-aanbiedingen.nl - iedereen kan zo'n domeinnaam aanvragen.
Feitelijk zijn de
werkelijke links in een e-mail
het enige op basis waarvan een ontvanger met zekerheid een echte van een nepmail kan onderscheiden.
Ik voeg hier graag de volgende adviezen aan toe:
(A) Gebruik https en zorg voor certificaten waarin de gebruiker goed kan zien dat hij een site bezoekt van de bedoelde organisatie.
(B) Zorg dat alle links in e-mails met https:// beginnen (vertrouw
niet op redirects).
(C) "Verstop" links in de e-mail onder termen als "deze pagina". Vertel aan gebruikers op de anti-phishing pagina (die je natuurlijk publiceert) dat ze altijd met de muis boven een link moeten gaan hangen om te kijken waar de link naartoe gaat, en
waar ze dat kunnen zien in de verschillende mail clients. Reden: als je
https://bulkmail.example.nl/ in de tekst ziet, wil dat niet zeggen dat je ook daarnaartoe gaat als je op die link klikt.
Voorbeeld: als je in
https://twitter.com/ncsc_nl/status/659315946734141440 je muis boven de link getoond als "
ncsc.nl/actueel/factsh ..." laat zweven, verschijnt een popupje met daarin "https://www.ncsc.nl/actueel/factsheets/factsheet-bescherm-domeinnamen-tegen-phishing.html". Beide zijn onzin. Als je erop klikt ga je naar
https://t.co/8kLKqkPV3s, en je moet maar afwachten wat daarachter zit.
Schrijf erbij dat je, in e-mails,
nooit en te nimmer van URL-shorteners gebruik zult maken, en waar je dat
wel doet (zoals op Twitter).
8 HTML. Zorg dat de e-mail opgemaakt is door middel van correcte en gevalideerde HTML en laad geen externe scipts in.
Vermijd
alle externe content, ook plaatjes. Verstandige mensen zetten dat uit (waardoor legitieme e-mails met externe plaatjes er niet uitzien). Reden: spammers weten dat e-mail gericht aan jouw e-mail adres gelezen wordt zodra je een e-mail opent en één of meer plaatjes vanaf een door de spammer/phisher beheerde (of gehackte) server worden opgehaald.
1. Domein. Gebruik altijd een emailadres van uw eigen domein in de ‘From'-header van het bericht. Zelfs als een externe partij e-mail verzendt kunnen zij een domein van uw organisatie gebruiken.
4 Spelling en grammatica. Voorkom spel- en grammaticafouten. Deze verlagen de betrouwbaarheid van een e-mail sterk.
5 Opmaak. Gebruik een opmaak die overeenkomt met de huisstijl van uw organisatie en voorkom inconsistenties. Phishingmails zijn te herkennen aan stijlinconsistenties en gebreken zoals het ontbreken van een logo.
8 HTML. Zorg dat de e-mail opgemaakt is door middel van correcte en gevalideerde HTML en laad geen externe scipts in.
9 Reden van ontvangst. Geef duidelijk aan waarom de ontvanger het bericht ontvangt.
10 Aanhef. Gebruik de naam van de ontvanger in de aanhef van de e-mail als deze bekend is. Phishingmails beginnen veelal met generieke begroetingen ('Dear customer') of met de gebruikersnaam ('Dear gebruiker123').
Vertel NOOIT aan gebruikers dat zij bovenstaande aspecten kunnen gebruiken om legtitieme van nepmails te onderscheiden. Dat is misleiding.
Voorbeeld, uit
https://www.praxis.nl/service/waarschuwing (bron, waarvoor dank aan Ivanhoe:
https://www.security.nl/posting/448783/Praxis+phishing):
Nieuwsbrieven van Praxis zult u altijd via het e-mailadres nieuwsbrief@praxis.nl of email@praxis.cccampaigns.net ontvangen.
Daarmee wek je de suggestie dat mails afkomstig van genoemde adressen gegarandeerd geen phishingmails zijn, en dat is niet waar. Zeker niet omdat genoemde domains welliswaar van SPF gebruik maken, maar daarmee nooit garanderen dat het getoonde afzenderadres authentiek is.
Correctie 14:42, bovenaan: DMARC lijkt SPF nodig te hebben om het zichtbare From: veld te kunnen valideren (waar SPF alleen slechts het, onzichtbare, envelope-from AKA return-path valideert). Ik moet me nodig verdiepen in DMARC!
Correctie 14:46: in stukje over Twitter stond de schijnbare URL 2x, deze wordt in de tweet juist verkort afgebeeld.
Correctie 15:18: in de 1e correctie bedoelde ik met "header-from" "envelope-from".