Deze dus:
https://www.ns.nl/binaries/_ht_1516607341188/content/assets/ns-nl/uitgelicht/2018/valse-mail/onze-excuses-ns.pdf

Oplichters verzinnen steeds weer wat nieuws.

'fishing' ... zucht

Je zou het ook gewoon kunnen waarderen i.p.v. een door ochtendhumeur vergiftigde neerlandicus uithangen, dat iemand zo alert is om op een Security site hier even melding van te maken, Hr. Zucht!

De NS kan, net als veel andere organisaties, nog heel wat doen om de eigen herkenbaarheid te vergroten.

Op die pagina staat een lijst van maar liefst 17 mailadressen en URLs die wel te vertrouwen zijn. Daarvan zijn er maar liefst 12 domeinen die niets met NS te maken hebben, en NS gebruikt zelf ns.nl, nsinternational.nl, nspanel.nl en ov-fiets.nl.

Aan iedereen die bij NS of andere organisaties dit soort kerstbomen opzetten: DIT IS NIET DUIDELIJK.

Zeventien dingen die je moet herkennen voor één organisatie is veel te veel, mensen hebben tegenwoordig een online-relatie met ettelijke organisaties die ook allemaal dat soort lijstjes hebben, dat is niet bij te houden.

Wel duidelijk zou zijn om van alles subdomeinen onder ns.nl te maken. Van nsinternational.nl maak je international.ns.nl, van nspanel.nl maak je panel.ns.nl, van ov-fiets.nl, ov-fiets.ns.nl.

Voor al die andere partijen die voor marketing en marktonderzoek worden ingehuurd, waarmee de relaties duidelijk stabiel genoeg zijn om dat lijstje te kunnen maken, regel je ook een subdomein dat naar een IP-adres van die partij verwijst, bijvoorbeeld onderzoek.ns.nl of branches-ed-trends.ns.nl.

Het punt is dat je zo alles wat door of namens NS wordt gedaan duidelijk legitimeert door het herkenbaar te koppelen aan de evident door NS beheerde domeinnaam ns.nl. Dan blijft er maar één item over van die lijst van 17 waar mensen op moeten leren letten. Of drie, je schaft nsinternational.nl en ov-fiets.nl niet zomaar meer af (hoewel een automatische redirect naar international.ns.nl en ov-fiets.ns.nl een kleinigheid zou zijn om te implementeren).

Het juiste patroon in web- en e-mailadressen leren herkennen wordt denk ik aanzienlijk bemoeilijkt doordat zoveel organisaties er zo'n ratjetoe van maken, dat levert een hoop ruis op waar een in wezen simpel patroon in verzuipt en onbruikbaar door wordt. Het is mooi dat die organisaties phishing als ernstig probleem herkennen en hun klanten ertegen proberen te beschermen, maar ze dragen zelf aan het probleem bij door niet te bedenken dat ze het zelf veel simpeler en herkenbaarder moeten houden.

Fisting, Fishing, Phishing.
Zucht.

Misschien kan een van de aanwezige wijsneuzen voor het voetvolk de term phishing even etymologisch toelichten zodat we allemaal weten waar de discussie nou over gaat?

En in ieder geval trekt de kop van het topic de aandacht, zij het misschien in eerste instantie van de verkeerde mensen...

De NS is niet echt lekker in control over hun communicatie. Onder het kopje 'Welke mailadressen en urls worden door NS gebruikt en zijn dus te vertrouwen?' die je via de bovenstaande link kunt benaderen staan bijna 20 verschillende URLs en/of mail adressen.

Dan heb je het echt niet begrepen hoe je dat zou moeten doen. Dit ga je ook aan klanten niet uitleggen. Nobel is natuurlijk het streven dat ze dat nu proberen te doen. Maar niemand heeft een lijstje bij de hand om te bepalen of het wel of niet van de NS zou kunnen zijn. Ging er bij het opstellen van het lijstje niet een lampje branden of een alarm bel af dat dit niet handig gedaan is?

In wezen vertellen ze dus het volgende:
'Wij van de NS hebben geen controle over onze communicatie met U en dus vragen wij het onderstaande lijstje uit het hoofd te leren zodat U kunt bepalen of de mail of link die u ontvangen heeft van ons KAN zijn....'

Groet,
-ItsMe-

Indien onderstaande, met allerlij verschillende domeinen, legitieme afzendadressen betreffen van de NS, hoe verwacht men dan dat burgers de nep-adressen herkennen.


Op dezelfde pagina beweert de NS dat hun mails altijd eindigen op NS.NL - zo zou het moeten zijn, nu nog de realiteit aanpassen.....

Tja, en "phishing" is natuurlijk een bewust verkeerde spelling van het woord "fishing". Is het in dat licht werkelijk zo fout als iemand het woord bewust weer goed spelt?

Deze dissertatie gaat er vanuit dat het grote publiek snapt hoe domeinnamen werken en hoe dat zit met een hoofd- en
subdomein. Dat is niet het geval, en dus heeft het verder ook weinig zin om dat pad op te gaan.

Domeinnamen en het onlogische rechts-naar-links systeem wat daar bij gehanteerd wordt zijn vast wel duidelijk voor
de IT'er maar de gewone man snapt echt niet dat ov-fiets.ns.nl vertrouwder is dan ov-fiets.nl en dat "ns internationaal"
in domeinnaam taal "internationaal ns" heet.

Ze hadden die DNS namen omgekeerd moeten maken, dat was heel wat duidelijker geweest zeker in een URL.
Maar dat is nu niet meer te veranderen (de Engelsen hebben het wel geprobeerd in het begin maar is mislukt).

En hoe moeilijk is het om al die adressen (of emails met forwards naar deze adressen) te hosten onder het NS.NL domein. Inderdaad, men begrijp het niet (of wil het niet begrijpen) met dit soort lijsten. Ondoenlijk.

Dat kost je toch wel 30 seconden per extern adres om daar een subdomein met een CNAME bij aan te maken.

De spelling van het woord PHISHING in het Engels met PH en niet zoals gewoonlijk fishing met een f.
is analoog aan de spelling als bij PHONE PHREAKING met ph dus.

Phone phreakers stonden aan de basis van bekende operationele systemen als Microsoft en Apple.
Met imitatief fluiten en phishen is dus alles eigenlijk begonnen.

De vorm met PH is dus duidelijk om het "internet vissen" te onderscheiden van het vissen in de gewone betekenis.

Nederlands heeft met "ergens naar vissen" dit onderscheid niet echt nodig,
want dat begrip gebruikt men tevens voor vele situaties buiten het sport- en recreatievissen.

Kijk dus uit als u ziet dat men naar uw gegevens vist.

Jodocus Oyevaer

Lekker tegenstrijdig met het advies, wat gegeven wordt, net boven dit lijstje :

''Een e-mail of actie van NS herkent u aan het verzendadres eindigend op ns.nl.''

;)

In Nederland zou je kunnen zeggen: "Er gaat weer vispost rond, met zogenaamd NS als afzender."
Nederlanders zijn weinig trots op hun taal (snel naäpen is makkelijker)

En jouw reactie gaat ervan uit dat mensen in het geheel niet in staat zijn om iets te leren. En denk je dat het grote publiek er wel in slaagt voor alleen al de NS 17 verschillende URLs, uitgebreider dan alleen de domeinnaam erin, te onthouden en in de gaten te houden, en dat dan ook nog eens voor vele andere bedrijven? Denk je echt dat dat makkelijker is?

Ik weet niet welke browser jij gebruikt, maar als ik in Firefox kijk naar de adresbalk dan is de hele URL grijs op "security.nl" na, dat is zwart. Precies het onderdeeltje waar in mijn "dissertatie" mensen op moeten leren letten. Is dat moeilijk?

In Chrome is "https:" groen, "www.security.nl" zwart en de rest van de URL grijs. Daar is iets meer zwart en de boodschap wordt dan voor NS: het zwarte deel van het webadres moet "ns.nl" zijn of eindigen met ".ns.nl", met puntjes, dus niet "panel-ns.nl" maar "panel.ns.nl". Dat is al ingewikkelder, maar is het moeilijker dan die 17 URLs onthouden? En besef dat het een patroon is dat sowieso al een belangrijk element is in het kunnen herkennen van phishing en voor alle websites al een nuttige basisvaardigheid zou zijn. En het is maar één patroon, net als links en rechts kijken voor je oversteekt een terugkerend patroon is bij elke weg die je oversteekt. Mensen zijn in staat om dat soort patroontjes te leren.

Een van mijn ergernissen op dit gebied is dat de softwareindustrie sinds de jaren '90 zo effectief de wereld heeft wijsgemaakt dat het meest veelzijdige en daarmee complexe apparaat waar een mens mee in aanraking komt zo superintuïtief is dat er een algemene verwachting heerst dat je helemaal niets moet leren om er goed mee om te gaan. En daar komt dit rare idee vandaan dat iets dat echt niet moeilijker is dan een drukke weg oversteken of leren een stofzuiger te gebruiken als een onneembare drempel wordt opgevat.

Het is moeilijk omdat mensen zo totaal verwachten dat het moeilijk is dat de deur al dichtgaat voor zelfs maar gekeken wordt of het echt wel zo vreselijk is. En omdat mensen die het wel snappen in plaats van erop te wijzen dat het wel meevalt maar blijven bevestigen dat het te moeilijk voor gewone mensen is.

Kinderen leren op de basisschool lezen en schrijven. Kinderen leren wat 26-01-2018 betekent, dat is net als een domeinnaam een hiërarchische constructie met scheidingstekens waarin het minst significante deel voor en het meest significante deel achter staat. Die formulering moet je niet op de grote massa loslaten, maar het patroon kan iedereen die geen serieuze beperking heeft gewoon aan. Jongere kinderen kunnen al prima met kleurpotloden en wasco omgaan en dat is een uitstekende basis om later te kunnen onderscheiden dat een deel van een tekst in een vakje een ander kleurtje heeft dan een ander deel.

Stop toch met doen alsof gewone mensen dit soort vaardigheden niet hebben. Die hebben ze wel!

Het probleem is dat veel mensen die vaardigheden niet toepassen bij computers, en dat is gebaseerd op verkeerde verwachtingen over die computers en hun eigen vermogens. Wil je ooit de grote massa weerbaarder maken tegen phishing dan is de eerste stap om iets aan die verwachtingen te doen. En daarvoor moet je inzetten op simpele patronen, zoals ik in mijn "dissertatie" voorstelde, en in plaats van mensen iets chaotisch voor te zetten waar ze nooit uitkomen van alle kanten duidelijk maken dat die patronen ook simpel zijn.

Naäpen. Inderdaad, en dan foutief:
Zoals het woord überhaupt dat in de omgekeerde betekenis werd geïntroduceerd/overgenomen wel zo'n veertig jaar of langer geleden. In korte tijd was iedereen aan het 'uberhaupten' en nu hoor je het nog regelmatig. Duitsers zullen er in het begin van de Nederlandse 'uberhaupt' tick/stoornis wel om hebben gelachen. Iedereen die het gebruikt moet namelijk weten dat het feitelijk betekent: In het geheel niet i.t.t. de Nederlandse verbastering: in/over het algemeen.
Ik gebruik het af en toe - gewoon om te stangen - in de juiste (Duitse) betekenis. Dan zie je even de ogen draaien van je toehoorder :)

In het Engels gebruikt men het woord "fishing" ook in overdrachtelijke zin, hoor. "Fishing expedition" bijvoorbeeld gebruikt men om ongericht gegevens verzamelen aan te duiden, waar wij het woord "sleepnet" voor gebruiken. Ook in het Engels heeft men echt die "ph" niet nodig om te begrijpen wat er bedoeld wordt.

Het is gewoon een lolletje van nerds geweest om het zo te noemen en dat is aangeslagen. Je kan zeker verdedigen dat "phishing" daarmee de juiste spelling is geworden, maar dan vind ik nog steeds dat iemand die het grapje negeert en "fishing" schrijft echt geen grotere spelfout maakt dan degenen die die "ph" hebben geïntroduceerd.

Leenwoorden zijn echt niet uniek voor het Nederlands.
Van https://de.wiktionary.org/wiki/%C3%BCberhaupt:
Dus volgens jou is betekenis 2 de juiste en is betekenis 1 fout. Kennelijk zijn er Duitsers die dat anders zien.

Mijn favoriete "foute" leenwoord is boulevard. En dan bedoel ik niet dat wij het anders zouden gebruiken dan de Fransen, dan bedoel ik dat de Fransen het woord bolwerk zowel qua uitspraak als qua betekenis verkeerd hebben overgenomen van ons. En qua is natuurlijk ook weer een leenwoord. Europese talen staan er stijf van, niet alleen het Nederlands.

In Safari op de mac precies hetzelfde. In het begin had ik mijn twijfels hierover, maar ik zie nu ook dat het een goede zaak is dat je alleen het domein ziet, zonder subdomeinen. Dit maakt misleiding van een leek net iets lastiger. Hij heeft nu nml. geen verstand meer nodig van de opbouw van een url. De ervaren iemand kan de volle url zo tevoorschijn halen.

Maar… We hebben het hier over mailadressen. Daar wordt nooit het subdomein weggelaten in een adres.

Het gaat ook om links naar websites waar het wel zo wordt weergegeven. En dat makers van e-mail clients een goed idee nu niet toepassen betekent niet dat ze het nooit zullen doen.

In het geheel niet = überhaupt nichts

Staat 'überhaupt' niet in de van Dale dan?
Of staat het er überhaupt niet in?
Als het er in staat is het een woord dat je in de Nederlandse taal gebruikt (een Germanisme in dit geval)

In mijn Nederlands woordenboek staat het in elk geval wél in. (maar het is nog van de vorige eeuw)