Overheid waarschuwt voor phishingmails die om DigiD vragen
De overheid waarschuwt mensen voor phishingmails die om hun DigiD vragen. In de e-mails wordt gesteld dat de ontvanger een bericht van de Belastingdienst op zijn of haar Berichtenbox op MijnOverheid heeft. De e-mail bevat een link die zogenaamd naar de MijnOverheid-website wijst.
In werkelijkheid gaat het om een phishingsite die om de DigiD-gegevens van de gebruiker vraagt. "Het gaat hier om een phishingmail, klik daarom niet op de link in het bericht. Overheidspartijen sturen u nooit een dergelijk verzoek via e-mail", zo laat MijnOverheid weten. Ook de RDW en Belastingdienst hebben waarschuwingen voor phishingmails afgegeven.
De zogenaamde e-mails van de RDW hebben als afzender info@mail.rdw.nl en het onderwerp: Afdeling Service. In het bericht wordt de ontvanger gevraagd om zijn of haar persoonlijke gegevens bij te werken en te controleren op een website. Het gaat hier om een phishingmail die naar een phishingsite wijst. "Klik daarom niet op de link in het bericht en vul geen gegevens in", aldus de RDW. Die geeft verder het advies om goed het e-mailadres van de afzender van dergelijke berichten te controleren. "E-mails afkomstig van RDW eindigen op @rdw.nl", zo stelt de organisatie.
De Belastingdienst waarschuwde eerder deze week ook voor phishing. Het ging om een e-mail met als onderwerp "Foutieve belastingteruggave 2017". In de e-mail staat dat de ontvanger in december ten onrechte een belastingteruggave 2017 heeft gekregen. Vervolgens wordt verzocht om het bedrag van 297,95 euro terug te betalen. "Dit is een valse e-mail. Betaal niet! Dit is geen e-mail van de Belastingdienst. We vragen nooit via e-mail om betalingen te doen. Maak het geld dus niet over, maar verwijder de mail", zo laat de fiscus weten.
Host _dmarc.rdw.nl not found: 3(NXDOMAIN)
Dus geen dmarc instelling die mail met hun gespoofde domeinnaam en subdomeinen blokkeert.
Ze hebben wel een SPF record met een hard fail op hun domeinnaam, maar niet op een subdomein als mail.rdw.nl. Dat zal ook de reden zijn waarom ze niet de kale domeinnaam spoofen.
mail.rwd.nl has no TXT record
Via een wildcard instelling hadden ze alle subdomeinen ook een SPF instelling moeten geven.
Host _dmarc.rdw.nl not found: 3(NXDOMAIN)
Dus geen dmarc instelling die mail met hun gespoofde domeinnaam en subdomeinen blokkeert.
Ze hebben wel een SPF record met een hard fail op hun domeinnaam, maar niet op een subdomein als mail.rdw.nl. Dat zal ook de reden zijn waarom ze niet de kale domeinnaam spoofen.
mail.rwd.nl has no TXT record
Via een wildcard instelling hadden ze alle subdomeinen ook een SPF instelling moeten geven.
Misschien deze tip ook aan de RDW zelf sturen? Hebben ze daar geen responsible disclosure procedure? Zo wel, dan zullen ze je toch binnen redelijke termijn uit moeten leggen wat ze wel of niet met je tip gaan doen...
Die tip hebben ze niet nodig. Ze moeten gewoon de richtlijnen van de overheid zelf implementeren. Lijkt me eerder luiheid dat ze hier niet mee aan de slag gaan.
Er gaat wel eens wat vaker mis met de dmarc implementatie. Toevallig zag ik dat "rabo.nl" nu twee dmarc policy's publiceert. één op reject en één op none. Lekker handig want een mailserver krijgt nu random één van beiden voorgeschoteld en zal dus maar in 50% blokkeren. Lijkt me een foutje bij het omzetten van none naar reject.
Maar je ziet toch dat je de oude policy niet gewist hebt? Gezien het belang van een dns record, controleer je elke aanpassing toch dubbel?
Maar als ze dat wel goed zouden doen, helpen SPF, DKIM, DomainKeys, SenderID, DMARC en wat er nog meer verzonnen wordt, nauwelijks of niet tegen phishing. Want niets belet phishers om voor andere afzenderdomeinen te kiezen, zoals uwoverheid.nl, jouwoverheid.nl, onzeoverheid.nl, nederlandseoverheid.nl, nloverheid.nl, overheidmail.nl, overheidsmail.nl, overheidmailings.nl, overheidsmailings.nl, overheide-mail.nl, overheidse-mail.nl, overheidcommunicatie.nl, overheidscommunicatie.nl, overheidcommunicatiedienst.nl, overheidscommunicatiedienst.nl, overheidberichtenbox.nl, overheidsberichtenbox.nl, overheidkennisgeving.nl, overheidskennisgeving.nl, overheidkennisgevingen.nl, overheidskennisgevingen.nl, overheidinfo.nl, overheidsinfo.nl, mailvanoverheid.nl, overheidoproep.nl, overheidsoproep.nl, overheidverzoek.nl, overheidsverzoek.nl, betrouwbareoverheid.nl, veiligeoverheid.nl, secureoverheid.nl, .... etc.
En dat is niet alleen theorie, de nepmail namens de belastingdienst vorige week had als afzender noreply@belastingteruggaaf.nl.
Desgewenst kunnen spammers al die prachtige protocollen aan hun nepdomein koppelen, zodat de onvanger echt heel zeker weet dat de mail vanuit dat domein verzonden is, en "dus wel legitiem moet zijn".
- RDW kan zijn email voorziening op een veel hoger niveau brengen!
- e-mail heeft nog steeds uitdaging als het gaat om "veiligheid"
Laten we a.u.b. beginnen met de huidige technieken te implementeren en het op een zo goed mogelijk niveau te krijgen.
Dat is de cruciale vraag bij alle issues.
Desgewenst kunnen spammers al die prachtige protocollen aan hun nepdomein koppelen, zodat de onvanger echt heel zeker weet dat de mail vanuit dat domein verzonden is, en "dus wel legitiem moet zijn".
DMARC voorkomt inderdaad geen phishing mails, maar zorgt er wel voor dat je afzenders kunt vertrouwen. Als je een beetje oplet kun je wel nepafzenders herkennen omdat je de mail altijd vanaf een ander adres krijgt. Maar als het van een bekend adres komt dat ook nog in je eigen adresboek komt, wordt het een stuk lastiger.
Daarom moet je de domeinnaam in mail gewoon goed beschermen. De techniek om dat te doen is er, gebruik het dan ook.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
