image

Apple waarschuwt voor bijna niet van echt te onderscheiden phishingmails

donderdag 1 maart 2018, 10:31 door Redactie, 17 reacties

Een nieuwe golf van phishing-mails gericht aan Apple-gebruikers heeft ertoe geleid dat Apple tips heeft gepubliceerd hoe te bepalen of een e-mail echt van Apple afkomstig is.

In nauwelijks van echt te onderscheiden e-mails, die van de Apple Store afkomstig lijken te zijn, wordt er bijvoorbeeld gemeld dat er een abonnement op Youtube Red is gestart waarbij de eerste maand gratis is. Tevens wordt gemeld dat de kosten na de eerste gratis maand maar liefst $144,99 per maand bedragen. Op deze manier wordt de lezer verleid op de "Cancel Subscription" link te klikken.

Apple adviseert gebruikers alert op deze mails te zijn. Geadviseerd wordt om alleen de persoonlijke gegevens aan te passen via de instellingen op het Apple-toestel, via de accountpagina in de App Store of via iTunes-software op de pc, en niet via een link in een mail. Ook vraagt Apple om verdachte phishing-mails door te sturen naar reportphishing@apple.com.

Reacties (17)
01-03-2018, 12:07 door [Account Verwijderd]
Het bericht van de redactie is waarschijnlijk niet helemaal volledig.
Er wordt niet verteld dat hoogstwaarschijnlijk klikken op de link: "Cancel Subscription" het een en ander veroorzaakt waar je niet op zit te wachten.
01-03-2018, 12:10 door Anoniem
In nauwelijks van echt te onderscheiden e-mails
Voor wie zijn ze nauwelijks van echt te onderscheiden? Als je een beetje weet waar je op moet letten zijn ze dat namelijk wel. Behalve dus voor leken die zich nauwelijks beseffen dat mails niet allemaal echt zijn en eerder denken dat wat hun scherm laat zien waar is.
01-03-2018, 12:16 door Anoniem
Waarom schaffen we email niet geheel af?
01-03-2018, 13:24 door Anoniem
Door Anoniem:
In nauwelijks van echt te onderscheiden e-mails
Voor wie zijn ze nauwelijks van echt te onderscheiden? Als je een beetje weet waar je op moet letten zijn ze dat namelijk wel. Behalve dus voor leken die zich nauwelijks beseffen dat mails niet allemaal echt zijn en eerder denken dat wat hun scherm laat zien waar is.

Kennelijk nog geen goede phishing emails gezien...
Ja, er zijn nog veel makkelijk herkenbare phishing emails en ja er wordt nog te makkelijk geklikt.
Maar er zijn ook al lang goede phishing mails, zoals onder andere blijkt uit phishing voorbeelden uit de praktijk: https://www.fraudehelpdesk.nl/sub-vragen/phishingmails/

Om maar te zwijgen van spear-phishing mails: mails ogenschijnlijk van collega's/vrienden, netjes in context geplaatst, correct taalgebruik en op het eerste gezicht geen rare URLs oid.
01-03-2018, 13:25 door Anoniem
Door Anoniem: Waarom schaffen we email niet geheel af?

Omdat email het probleem niet is. Social engineering werkt ook prima met messenger-oplossingen, social media, etc.
01-03-2018, 14:45 door Anoniem
Door Anoniem: Waarom schaffen we email niet geheel af?

Goed idee!
gebruik je computer zonder internet, da's pas veilig!
01-03-2018, 16:31 door Anoniem
Dus; heb je een mail ontvangen met link, niet klikker de klik klik gaan doen. :-)
Eerst even naar een nieuwe pagina van mozilla (in mijn geval) en via zulke pagina's op onderzoek gaan.
Eventueel op zoek naar sites/revieuws/phone numbers.

+ heel simpel nog ons gezonde boeren nederlandse verstand proberen in te schakelen.
01-03-2018, 16:33 door Anoniem
Door Aha: Het bericht van de redactie is waarschijnlijk niet helemaal volledig.
Er wordt niet verteld dat hoogstwaarschijnlijk klikken op de link: "Cancel Subscription" het een en ander veroorzaakt waar je niet op zit te wachten.

Sorry, maar dat kon ik er dus wel uitfilteren.
01-03-2018, 16:45 door Briolet
In nauwelijks van echt te onderscheiden e-mails

Lijkt me sterk. Apple ondertekent hun mail altijd met hun eigen domeinnaam. (Via DKIM). Als scammers die kunnen imiteren heeft Apple een echt probleem.
01-03-2018, 16:59 door Briolet
Door Anoniem: Kennelijk nog geen goede phishing emails gezien...
Ja, er zijn nog veel makkelijk herkenbare phishing emails en ja er wordt nog te makkelijk geklikt.
Maar er zijn ook al lang goede phishing mails, zoals onder andere blijkt uit phishing voorbeelden uit de praktijk: https://www.fraudehelpdesk.nl/sub-vragen/phishingmails/

Ik snap nog steeds niet dat mensen denken een phishing mail via de spelling te kunnen herkennen. Er bestaat gewoon een goed systeem via ondertekening met DKIM. Die controle is erg betrouwbaar. Je moet dan al de mailserver van de organisatie zelf hacken en vandaar de valse mail gaan verzenden.

Ik weet zeker dat al die "goede" voorbeelden uit je link, direct door de mand vallen als je naar de ondertekening kijkt. Waarschijnlijk ontbreekt die of staat op een ander domein.
01-03-2018, 18:36 door Anoniem
Html in mail afschaffen.
01-03-2018, 23:41 door Anoniem
Door Anoniem:
Door Anoniem: Waarom schaffen we email niet geheel af?

Omdat email het probleem niet is. Social engineering werkt ook prima met messenger-oplossingen, social media, etc.

Ik ben het eigenlijk wel met de andere Anoniem eens: een beter protocol met non-repudiation dat peer-to-peer encypted is en aangeeft als er iets heel nieuws gebeurd (goh: iMessage, maar dan in een mail interface) zou dit soort fraude wel minder maken.

Maar nogsteeds: als iemand zn pc onderdeel is van een botnet kan het altijd namens die persoon iets uitzenden. Kans is alleen erg klein dat het iemand @apple.com is dan.
02-03-2018, 11:44 door Briolet
Door Anoniem: …Maar nogsteeds: als iemand zn pc onderdeel is van een botnet kan het altijd namens die persoon iets uitzenden. Kans is alleen erg klein dat het iemand @apple.com is dan.

Heel erg klein omdat een consument een mailadres krijgt dat op "me.com" of "iCloud.com" eindigt. Verder zal er voor een doorsnee consument een restrictie zitten op het aantal te versuren mailtjes per dag, zodat zelfs een heel mooi adres niet veel spam zal kunnen versturen.

Een botnet is leuk voor het sturen van spam, maar dit soort mailtjes zal door filters als spam gemarkeerd worden als het aangevallen domein een strikt SPF policy ingesteld heeft.

In dit specifieke geval stuurt apple de mail waarschijnlijk van af het "mail.apple.com" domein. Daarop staat een DMARC policy van reject. Een goede mailserver mag dan die mailtjes niet eens afleveren aan de beoogde ontvanger.
Als er dan toch mail binnenkomt zie je dat direct doordat het van een ongebruikelijke afzender komt.
02-03-2018, 13:38 door Anoniem
Door Briolet: Ik snap nog steeds niet dat mensen denken een phishing mail via de spelling te kunnen herkennen.
Als je een Hema-filiaal ziet en besluit daar iets te kopen, wat doe je dan om te verifiëren dat het ook echt een Hema-filiaal is en geen vervalsing?

Juist, helemaal niets, je vertrouwt het gewoon, zelfs zonder erbij stil te staan dat er van alles geregeld en bewaakt wordt in de maatschappij dat maakt dat er niet zomaar namaak-Hema's in winkelstraten kunnen worden opgericht. Dàt is het wereldbeeld dat mensen van het fysieke domein meenemen naar het digitale domein. Dat allerlei controlemechanismen uit de fysieke wereld het niet zomaar doen in de digitale (en vice versa) is voor ons evident maar voor mensen die dat digitale gebeuren sowieso al niet overzien niet.

Er bestaat gewoon een goed systeem via ondertekening met DKIM.
Als ik mijn buurt de voordeuren langs zou gaan dan zou het me niets verbazen als niemand blijkt te weten wat DKIM is. Als basis is het goed, maar we zijn echt niet zo ver dat je erop kan vertrouwen dat een e-mail die eruit ziet een van de Hema ook echt van de Hema is. En dat is wel het referentiekader dat de meeste mensen "meenemen" uit de fysieke werkelijkheid.
02-03-2018, 15:18 door Briolet
Door Anoniem:
Er bestaat gewoon een goed systeem via ondertekening met DKIM.
Als ik mijn buurt de voordeuren langs zou gaan dan zou het me niets verbazen als niemand blijkt te weten wat DKIM is. Als basis is het goed, maar we zijn echt niet zo ver dat je erop kan vertrouwen dat een e-mail die eruit ziet een van de Hema ook echt van de Hema is. En dat is wel het referentiekader dat de meeste mensen "meenemen" uit de fysieke werkelijkheid.

Dat 99% van de mensen niet weet wat DKIM is, geloof ik wel. Maar dat betekent nog niet dat de mails bijna niet van echt te onderscheiden zijn, zoals de titel beweerd. Het betekend alleen dat de mensen niet geleerd hebben hoe je ze als echt kunt herkennen. En zolang je mensen alleen naar de spelling laat kijken, leren ze het nooit.

DKIM is er expliciet voor bedoeld om de authenticiteit van een afzender te kunnen aantonen. Als je mensen wilt beschermen tegen vervalste mail, dan moet je inzetten op voorlichting van de werking van niet-vervalsbare herkenningspunten en niet steeds op correcte spelling en een mooie layout hameren.

Bij GMail kun je b.v. in hun webmail de DKIM ondertekening controleren. GMail doet er in elk geval iets aan om deze controle gebruikersvriendelijk te maken.

Bij de meeste andere providers is dat lastiger. Je moet dan in de header kijken of hij ondertekend is. En je moet weten hoe je ziet wie hem getekend heeft. Want elke crimineel kan hem met een willekeurige domeinnaam, waar hij controle over heeft, tekenen.
Zelfs als hij met het goede domein getekend is, weet je niet of jouw provider de DKIM controleert. Van Ziggo weet ik proefondervindelijk dat mails met een incorrecte ondertekening bouncen, maar als ontvanger zie je niet dat hij gevalideerd is omdat Ziggo dit niet in de header schrijft.
02-03-2018, 21:42 door Anoniem
Email via een blockchain mechanisme verifiëren.
03-03-2018, 17:10 door Briolet
Waarom iets moeilijks als een blockchain gebruiken. Gebruik het mail programma Thunderbird en installeer de volgende extensie: https://addons.mozilla.org/nl/thunderbird/addon/dkim-verifier/.

Dan zie direct onder de afzender staan of het ondertekend is en door welk domein.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.