Het bericht van de redactie is waarschijnlijk niet helemaal volledig.
Er wordt niet verteld dat hoogstwaarschijnlijk klikken op de link: "Cancel Subscription" het een en ander veroorzaakt waar je niet op zit te wachten.

Voor wie zijn ze nauwelijks van echt te onderscheiden? Als je een beetje weet waar je op moet letten zijn ze dat namelijk wel. Behalve dus voor leken die zich nauwelijks beseffen dat mails niet allemaal echt zijn en eerder denken dat wat hun scherm laat zien waar is.

Waarom schaffen we email niet geheel af?

Kennelijk nog geen goede phishing emails gezien...
Ja, er zijn nog veel makkelijk herkenbare phishing emails en ja er wordt nog te makkelijk geklikt.
Maar er zijn ook al lang goede phishing mails, zoals onder andere blijkt uit phishing voorbeelden uit de praktijk: https://www.fraudehelpdesk.nl/sub-vragen/phishingmails/

Om maar te zwijgen van spear-phishing mails: mails ogenschijnlijk van collega's/vrienden, netjes in context geplaatst, correct taalgebruik en op het eerste gezicht geen rare URLs oid.

Omdat email het probleem niet is. Social engineering werkt ook prima met messenger-oplossingen, social media, etc.

Goed idee!
gebruik je computer zonder internet, da's pas veilig!

Dus; heb je een mail ontvangen met link, niet klikker de klik klik gaan doen. :-)
Eerst even naar een nieuwe pagina van mozilla (in mijn geval) en via zulke pagina's op onderzoek gaan.
Eventueel op zoek naar sites/revieuws/phone numbers.

+ heel simpel nog ons gezonde boeren nederlandse verstand proberen in te schakelen.

Sorry, maar dat kon ik er dus wel uitfilteren.

Lijkt me sterk. Apple ondertekent hun mail altijd met hun eigen domeinnaam. (Via DKIM). Als scammers die kunnen imiteren heeft Apple een echt probleem.

Ik snap nog steeds niet dat mensen denken een phishing mail via de spelling te kunnen herkennen. Er bestaat gewoon een goed systeem via ondertekening met DKIM. Die controle is erg betrouwbaar. Je moet dan al de mailserver van de organisatie zelf hacken en vandaar de valse mail gaan verzenden.

Ik weet zeker dat al die "goede" voorbeelden uit je link, direct door de mand vallen als je naar de ondertekening kijkt. Waarschijnlijk ontbreekt die of staat op een ander domein.

Html in mail afschaffen.

Ik ben het eigenlijk wel met de andere Anoniem eens: een beter protocol met non-repudiation dat peer-to-peer encypted is en aangeeft als er iets heel nieuws gebeurd (goh: iMessage, maar dan in een mail interface) zou dit soort fraude wel minder maken.

Maar nogsteeds: als iemand zn pc onderdeel is van een botnet kan het altijd namens die persoon iets uitzenden. Kans is alleen erg klein dat het iemand @apple.com is dan.

Heel erg klein omdat een consument een mailadres krijgt dat op "me.com" of "iCloud.com" eindigt. Verder zal er voor een doorsnee consument een restrictie zitten op het aantal te versuren mailtjes per dag, zodat zelfs een heel mooi adres niet veel spam zal kunnen versturen.

Een botnet is leuk voor het sturen van spam, maar dit soort mailtjes zal door filters als spam gemarkeerd worden als het aangevallen domein een strikt SPF policy ingesteld heeft.

In dit specifieke geval stuurt apple de mail waarschijnlijk van af het "mail.apple.com" domein. Daarop staat een DMARC policy van reject. Een goede mailserver mag dan die mailtjes niet eens afleveren aan de beoogde ontvanger.
Als er dan toch mail binnenkomt zie je dat direct doordat het van een ongebruikelijke afzender komt.

Als je een Hema-filiaal ziet en besluit daar iets te kopen, wat doe je dan om te verifiëren dat het ook echt een Hema-filiaal is en geen vervalsing?

Juist, helemaal niets, je vertrouwt het gewoon, zelfs zonder erbij stil te staan dat er van alles geregeld en bewaakt wordt in de maatschappij dat maakt dat er niet zomaar namaak-Hema's in winkelstraten kunnen worden opgericht. Dàt is het wereldbeeld dat mensen van het fysieke domein meenemen naar het digitale domein. Dat allerlei controlemechanismen uit de fysieke wereld het niet zomaar doen in de digitale (en vice versa) is voor ons evident maar voor mensen die dat digitale gebeuren sowieso al niet overzien niet.

Als ik mijn buurt de voordeuren langs zou gaan dan zou het me niets verbazen als niemand blijkt te weten wat DKIM is. Als basis is het goed, maar we zijn echt niet zo ver dat je erop kan vertrouwen dat een e-mail die eruit ziet een van de Hema ook echt van de Hema is. En dat is wel het referentiekader dat de meeste mensen "meenemen" uit de fysieke werkelijkheid.

Dat 99% van de mensen niet weet wat DKIM is, geloof ik wel. Maar dat betekent nog niet dat de mails bijna niet van echt te onderscheiden zijn, zoals de titel beweerd. Het betekend alleen dat de mensen niet geleerd hebben hoe je ze als echt kunt herkennen. En zolang je mensen alleen naar de spelling laat kijken, leren ze het nooit.

DKIM is er expliciet voor bedoeld om de authenticiteit van een afzender te kunnen aantonen. Als je mensen wilt beschermen tegen vervalste mail, dan moet je inzetten op voorlichting van de werking van niet-vervalsbare herkenningspunten en niet steeds op correcte spelling en een mooie layout hameren.

Bij GMail kun je b.v. in hun webmail de DKIM ondertekening controleren. GMail doet er in elk geval iets aan om deze controle gebruikersvriendelijk te maken.

Bij de meeste andere providers is dat lastiger. Je moet dan in de header kijken of hij ondertekend is. En je moet weten hoe je ziet wie hem getekend heeft. Want elke crimineel kan hem met een willekeurige domeinnaam, waar hij controle over heeft, tekenen.
Zelfs als hij met het goede domein getekend is, weet je niet of jouw provider de DKIM controleert. Van Ziggo weet ik proefondervindelijk dat mails met een incorrecte ondertekening bouncen, maar als ontvanger zie je niet dat hij gevalideerd is omdat Ziggo dit niet in de header schrijft.

Email via een blockchain mechanisme verifiëren.

Waarom iets moeilijks als een blockchain gebruiken. Gebruik het mail programma Thunderbird en installeer de volgende extensie: https://addons.mozilla.org/nl/thunderbird/addon/dkim-verifier/.

Dan zie direct onder de afzender staan of het ondertekend is en door welk domein.