image

NCSC: voorkom links naar externe domeinen in nieuwsbrieven

woensdag 28 oktober 2015, 11:59 door Redactie, 9 reacties

Bedrijven en organisaties moeten bij het versturen van grote hoeveelheden mail naar gebruikers, zoals aanbiedingen of nieuwsbrieven, geen links naar externe domeinen die niet van de organisatie zijn opnemen, aangezien dit het lastiger maakt voor mensen om te bepalen of het om een phishingmail gaat.

Dat adviseert het Nationaal Cyber Security Center (NCSC) van de overheid in een nieuwe factsheet (pdf). Volgens de organisatie komt het regelmatig voor dat bulkmails erg op phishingmails lijken. Het gaat dan om e-mails die worden verzonden via domeinen die niet van de organisatie zijn en links naar derde partijen en slechte spelling bevatten. "Een gebruiker die moet bepalen of een e-mail authentiek is, heeft daarom maar weinig houvast", aldus het NCSC.

Het gevolg is dat ontvangers eerder op kwaadaardige links klikken of een kwaadaardig bestand openen. Eerder bleek al dat de schade door fraude met internetbankieren dit jaar was toegenomen, wat vooral aan phishing wordt toegeschreven. Door authentieke e-mails herkenbaar te maken zal het voor ontvangers uiteindelijk makkelijker worden om phishingmails te herkennen.

Advies

Om e-mails authentieker te maken moeten organisaties altijd een e-mailadres van het eigen domein in de 'From'-header van het bericht gebruiken, ook als een externe partij de e-mail verzendt kunnen zij een domein van de organisatie gebruiken, zo stelt het NCSC. Verder moeten alle links in de bulkmail verwijzen naar het eigen verzenddomein en moet er gebruik van redirects worden gemaakt. In het geval er van @bulkmail.example.nl wordt verstuurd, dan zouden alle links naar bulkmail.example.nl moeten verwijzen.

Verder moeten spel- en grammaticafouten worden voorkomen, aangezien deze de betrouwbaarheid van een e-mail sterk verlagen. Ook moet de e-mail door middel van correcte en gevalideerde HTML zijn opgemaakt en moeten er geen externe scripts worden ingeladen. Het NCSC adviseert organisaties daarnaast ook om op de eigen website aan te geven hoe ontvangers phishingmails kunnen herkennen en hoe zij dit bij de organisatie kunnen melden.

Reacties (9)
28-10-2015, 13:32 door Anoniem
En dus kom ik niet bij pdf terecht als ik dit toepas ....
28-10-2015, 14:29 door Erik van Straten - Bijgewerkt: 28-10-2015, 15:18
Uit https://www.ncsc.nl/binaries/content/documents/ncsc-nl/actueel/factsheets/factsheet-goede-bulkmail-lijkt-niet-op-phishingmail/1/Factsheet%2BGoede%2Bbulkmail%2Blijkt%2Bniet%2Bop%2Bphishingmail.pdf:
1. Domein. Gebruik altijd een emailadres van uw eigen domein in de ‘From'-header van het bericht. Zelfs als een externe partij e-mail verzendt kunnen zij een domein van uw organisatie gebruiken.
Exact, phishers kunnen (en doen) dit dus ook! Daarom kun je aan de hand van de ‘From'-header van het bericht een nepbericht niet onderscheiden van een authentiek bericht. Met 1 uitzondering: gebruik, als verzender, naast SPF, ook DKIM en DMARC (geforceerd, niet in optionele of debug modes) - maar die drie protocollen werken alleen indien mailservers van ontvangers correct gevolg geven aan alle bijbehorende instructies. Helaas komt dat nog niet zoveel voor.

Goed te zien dat NCSC daarover vandaag ook een advies gepubliceerd heeft, zie https://www.ncsc.nl/actueel/factsheets/factsheet-bescherm-domeinnamen-tegen-phishing.html.

2 Links. Laat alle links in bulkmail verwijzen naar uw eigen verzenddomein en maak gebruik van redirects. Bijvoorbeeld, als u mailt van ‘@bulkmail.example.nl’, dan verwijzen alle links naar ‘bulkmail.example.nl’.
Goed advies. Eindelijk eens verstandig gebruik maken van de hiërarchie die DNS biedt! In essentie: hou op met stomme domeinnamen verzinnen zoals bijvoorbeeld praxis-aanbiedingen.nl - iedereen kan zo'n domeinnaam aanvragen.

Feitelijk zijn de werkelijke links in een e-mail het enige op basis waarvan een ontvanger met zekerheid een echte van een nepmail kan onderscheiden.

Ik voeg hier graag de volgende adviezen aan toe:
(A) Gebruik https en zorg voor certificaten waarin de gebruiker goed kan zien dat hij een site bezoekt van de bedoelde organisatie.

(B) Zorg dat alle links in e-mails met https:// beginnen (vertrouw niet op redirects).

(C) "Verstop" links in de e-mail onder termen als "deze pagina". Vertel aan gebruikers op de anti-phishing pagina (die je natuurlijk publiceert) dat ze altijd met de muis boven een link moeten gaan hangen om te kijken waar de link naartoe gaat, en waar ze dat kunnen zien in de verschillende mail clients. Reden: als je https://bulkmail.example.nl/ in de tekst ziet, wil dat niet zeggen dat je ook daarnaartoe gaat als je op die link klikt.

Voorbeeld: als je in https://twitter.com/ncsc_nl/status/659315946734141440 je muis boven de link getoond als "ncsc.nl/actueel/factsh ..." laat zweven, verschijnt een popupje met daarin "https://www.ncsc.nl/actueel/factsheets/factsheet-bescherm-domeinnamen-tegen-phishing.html". Beide zijn onzin. Als je erop klikt ga je naar https://t.co/8kLKqkPV3s, en je moet maar afwachten wat daarachter zit.

Schrijf erbij dat je, in e-mails, nooit en te nimmer van URL-shorteners gebruik zult maken, en waar je dat wel doet (zoals op Twitter).

8 HTML. Zorg dat de e-mail opgemaakt is door middel van correcte en gevalideerde HTML en laad geen externe scipts in.
Vermijd alle externe content, ook plaatjes. Verstandige mensen zetten dat uit (waardoor legitieme e-mails met externe plaatjes er niet uitzien). Reden: spammers weten dat e-mail gericht aan jouw e-mail adres gelezen wordt zodra je een e-mail opent en één of meer plaatjes vanaf een door de spammer/phisher beheerde (of gehackte) server worden opgehaald.

1. Domein. Gebruik altijd een emailadres van uw eigen domein in de ‘From'-header van het bericht. Zelfs als een externe partij e-mail verzendt kunnen zij een domein van uw organisatie gebruiken.
4 Spelling en grammatica. Voorkom spel- en grammaticafouten. Deze verlagen de betrouwbaarheid van een e-mail sterk.
5 Opmaak. Gebruik een opmaak die overeenkomt met de huisstijl van uw organisatie en voorkom inconsistenties. Phishingmails zijn te herkennen aan stijlinconsistenties en gebreken zoals het ontbreken van een logo.
8 HTML. Zorg dat de e-mail opgemaakt is door middel van correcte en gevalideerde HTML en laad geen externe scipts in.
9 Reden van ontvangst. Geef duidelijk aan waarom de ontvanger het bericht ontvangt.
10 Aanhef. Gebruik de naam van de ontvanger in de aanhef van de e-mail als deze bekend is. Phishingmails beginnen veelal met generieke begroetingen ('Dear customer') of met de gebruikersnaam ('Dear gebruiker123').

Vertel NOOIT aan gebruikers dat zij bovenstaande aspecten kunnen gebruiken om legtitieme van nepmails te onderscheiden. Dat is misleiding.

Voorbeeld, uit https://www.praxis.nl/service/waarschuwing (bron, waarvoor dank aan Ivanhoe: https://www.security.nl/posting/448783/Praxis+phishing):
Nieuwsbrieven van Praxis zult u altijd via het e-mailadres nieuwsbrief@praxis.nl of email@praxis.cccampaigns.net ontvangen.
Daarmee wek je de suggestie dat mails afkomstig van genoemde adressen gegarandeerd geen phishingmails zijn, en dat is niet waar. Zeker niet omdat genoemde domains welliswaar van SPF gebruik maken, maar daarmee nooit garanderen dat het getoonde afzenderadres authentiek is.

Correctie 14:42, bovenaan: DMARC lijkt SPF nodig te hebben om het zichtbare From: veld te kunnen valideren (waar SPF alleen slechts het, onzichtbare, envelope-from AKA return-path valideert). Ik moet me nodig verdiepen in DMARC!
Correctie 14:46: in stukje over Twitter stond de schijnbare URL 2x, deze wordt in de tweet juist verkort afgebeeld.
Correctie 15:18: in de 1e correctie bedoelde ik met "header-from" "envelope-from".
28-10-2015, 14:33 door Anoniem
Het advies is goed, maar hoe haalbaar is dit bij de huidige mass-mailer-service-providers?
28-10-2015, 16:57 door Erik van Straten
Door Anoniem: Het advies is goed, maar hoe haalbaar is dit bij de huidige mass-mailer-service-providers?
Het is 14 jaar geleden dat ik spam ontving met als onderwerp "Nu 3 weken NRC Handelsblad voor slechts FL. 14,95".

Nadat heel antispam-Nederland over NRC heenviel (https://www.security.nl/posting/2450/AbFab+spamt+weer,+nu+voor+NRC) bood NRC haar excuses aan (https://www.security.nl/posting/2461/NRC+biedt+excuses+aan+voor+spam).

Interessant, in dit kader, waren de links in de spam e-mail:
Voor een investering met rendement,
Ga naar: http://actie.nrc.nl/
[...]
U kunt hieronder aangeven dat u geen informatie meer wenst te ontvangen:
* van NRC Handelsblad : ga naar: http://actie.nrc.nl/nrc.cgi/viewUnsubPage?email=[redacted]&list=2C1

Daarmee was het volstrekt duidelijk dat het hier niet om een phishing mail ging (die waren er toen nog nauwelijks), maar dat de verzender ofwel NRC zelf was, ofwel iemand die toestemming had van NRC om gebruik te maken van het domein actie.nrc.nl.

Vandaag ontving ik een e-mail, naar verluidt van Ziggo:
Onderwerp: "Je nieuwe factuur van Ziggo"
Afzender: "Ziggo <ziggo.contact@ziggo.nl>"
De zendende mailserver blijkt dmta8.brightbase.net [46.31.53.8] te zijn (ik neem aan dat Ziggo zelf mailservers heeft).

In de tekst van de e-mail staat onder andere:
Je nieuwe factuur staat klaar in Mijn Ziggo.
Als ik de muispijl boven Mijn Ziggo houd, zie ik een URL die begint met http://ziggonotanotificatie.e4.mailplus.nl/.

Aangezien dat domein niets met ziggo.nl te maken heeft, moet het hier wel om een phishing mail gaan. De totaal vreemde mailserver bevestigt dat (maar leken zullen die informatie niet kunnen achterhalen). Weggooien die junk!

Wat NCSC bedoelt (en wat NRC en AbFab in 2001 al snapten) is dat Ziggo bijv. het domein ziggonotanotificatie.ziggo.nl zou kunnen registreren gekoppeld aan het IP-adres van een server van de mass-mailer-service-provider.

En laat die mass-mailer-service-provider een sleutelpaar en CSR genereren op die server, en laat Ziggo vervolgens die CSR indienen bij een CSP waarna het Ziggo certificaat op die server gezet kan worden.

Waarna links beginnend met https://ziggonotanotificatie.ziggo.nl/ in dit soort mails kunnen worden opgenomen, en gebruikers -ook via onveilige public Wi-Fi- meteen van betrouwbaar geauthenticeerde en (hopelijk) netjes versleutelde verbindingen contact kunnen leggen met die server (die voor inloggen op "Mijn Ziggo" en inzage in facturen hoort te redirecten naar een webserver die door Ziggo zelf wordt beheerd - maar ook dat zou Ziggo kunnen uitbesteden).

Zo besteed je de hele afhandeling van bulkmail uit, zodanig dat eenvoudige gebruikers zich niet eens realiseren dat Ziggo dit heeft uitbesteed. En kundige gebruikers kunnen vaststellen dat Ziggo gebruik maakt van een partij die zij kennelijk vertrouwt (of dat terecht is, is een ander onderwerp).
28-10-2015, 17:37 door Anoniem
Door Erik van Straten: Wat NCSC bedoelt (en wat NRC en AbFab in 2001 al snapten) is dat Ziggo bijv. het domein ziggonotanotificatie.ziggo.nl zou kunnen registreren gekoppeld aan het IP-adres van een server van de mass-mailer-service-provider.
En daar zit hem nu net de kneep. De meeste marketeers die gebruik maken van die maildiensten snappen dat niet en worden niet door hun maildienst geholpen. Kost tijd, kost geld en weegt niet op tegen de voordelen. Marketeers willen tegen zo laag mogelijke kosten zo veel mogelijk leads genereren.
28-10-2015, 18:25 door Anoniem
Veel van de domeinen in reclame emails zijn trackers, bedoeld om ontvangst en klikgedrag te registreren. Bedrijven die dat zo doen, hoeven niet te verwachten dat ik op hun links klik. Soms bestaat een bericht uitsluitend uit links zonder enige tekst: prullenbak materiaal.

Massmailers hebben de plicht zich te identificeren in email. Dat betekent dat je sowieso niet een domein van een ander kunt gebruiken. Het afzender adres mag ook niet "noreply" zijn. Het moet een werkend adres gelezen door mensen zijn en ook niet een of ander tijdelijk tagged adres. Als je als verzender het vervelend vind om de backwash te ontvangen, dan is dat pech. Stuur dan maar geen massa mailing.
28-10-2015, 23:41 door Anoniem
Dat is een passieve oplossing.

Ga voor een actieve oplossing = "Hengeltjes breken"

https://www.security.nl/posting/447292#posting447448
29-10-2015, 11:48 door Erik van Straten
28-10-2015, 23:41 door Anoniem: Dat is een passieve oplossing.

Ga voor een actieve oplossing = "Hengeltjes breken"

https://www.security.nl/posting/447292#posting447448
Ik noem enkele problemen:
(1) De gebruiker ziet, in zijn mail client, niet naar welke website hij zal gaan als hij op de link klikt, is zich er niet van bewust dat dit belangrijk is, weet niet hoe dat moet of welke van de getoonde informatie juist is.

(2a) De gebruiker ziet, in zijn mail client, wel naar welke website hij zal gaan voordat hij op de link klikt, maar snapt niets van domainnames en realiseert zich daardoor niet dat bankieren.rabobank.nl.rabonederland.net resp. www.ing.be.fvnbe.net (twee van de zeer vele domainnames van een Russische server met IP-adres 109.70.27.4) niets te maken hoeft te hebben met rabobank.nl resp. ing.be. Zodra "ISM eCompany" hun domein bank.nl (wat moeten ze ermee?) aan die Russen verkoopt kunnen zij je ook foppen met bijv. rabo.bank.nl.

(2b) De gebruiker ziet, in zijn mail client, wel naar welke website hij zal gaan voordat hij op de link klikt, maar snapt niets van de hiërarchie van DNS en realiseert zich daardoor niet dat bankieren.rabobank.nl iets totaal anders is dan rabobank.bankieren.nl (liefhebbers: bankieren.nl is momenteel te koop bij Sedo).

Jouw oplossing tracht probleem 1 te verhelpen maar doet niets aan 2. Bovendien is jouw oplossing gebruiksonvriendelijk en zal daarom niet worden ingevoerd (hoe graag we dat, vanuit security-oogpunt, ook zouden willen).

28-10-2015, 18:25 door Anoniem: Massmailers hebben de plicht zich te identificeren in email. Dat betekent dat je sowieso niet een domein van een ander kunt gebruiken. Het afzender adres mag ook niet "noreply" zijn. Het moet een werkend adres gelezen door mensen zijn en ook niet een of ander tijdelijk tagged adres.
Je schrijft dit alsof er een wet is die dit voorschrijft, maar dat is niet zo. Kennelijk is dit jouw mening - waar, zo vrees is, geen enkele massmailer een boodschap aan heeft.
30-10-2015, 12:47 door Anoniem
Ik heb in de loop van de jaren verschillende bedrijven erop geattendeerd dat wat ze verstuurden niet van phishing te onderscheiden was, inclusief personeelszaken bij een vroegere werkgever toen die een op het personeel gerichte actie had uitbesteed waarbij je via een e-mail van buiten het bedrijf zelfs werd uitgenodigd om je gebruikersnaam en wachtwoord voor het bedrijfsnetwerk op een externe webserver in te vullen (kennelijk hadden ze wel geregeld dat dat werkte). De reactie komt altijd op hetzelfde neer: ik hoef me geen zorgen te maken want ze zijn echt heel zorgvuldig in met wie ze in zee gaan, ik moet niet twijfelen aan hun betrouwbaarheid.

Ik wijs er dus op dat dit niet gaat over hoe betrouwbaar zij zelf zijn, en ook niet hoe betrouwbaar het door hun ingeschakelde bedrijf is, maar dat dit gaat over de onbetrouwbaarheid van oplichters die zich voor anderen en mogelijk voor hun uitgeven. Het gaat erom dat ze herkenbaar maken dat het bericht echt door hun gestuurd is en niet door een oplichter.

En dan gaat aan de andere kant domweg het licht uit.

Het lijkt wel alsof mensen die mailings verzorgen en campagnes bedenken niet in staat zijn om zich in het perspectief van de ontvanger of het perspectief van een eventuele oplichter te verplaatsen. Het enige wat ze begrijpen is dat als zij zelf hebben geregeld dat iets gestuurd is het ook echt door hun geregeld is. Het idee dat de ontvanger niet weet wat zij weten lijkt niet in hun brein te passen, evenmin als het inzicht dat het soort herkenbaarheid waar het hierom gaat niet door een logo of huisstijl wordt geboden maar door iets concreters als het domein waarnaar hyperlinks verwijzen.

Ik vind het onbegrijpelijk dat mensen die verantwoordelijk zijn voor nieuwsbrieven en marketing denken dat de ontvanger alles al weet. Waar heb je die nieuwsbrief dan nog voor nodig?

Door Anoniem: Het advies is goed, maar hoe haalbaar is dit bij de huidige mass-mailer-service-providers?

Die lijden vermoedelijk aan dezelfde cognitieve blokkade. Die hebben er hun vak van gemaakt en zouden de risico's voor hun klanten moeten snappen, beter dan de meeste klanten die zelf snappen. Dat ze de risico's niet snappen of negeren spreekt boekdelen over hun gebrek aan wat ik professionaliteit zou noemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.