image

Overheid waarschuwt voor phishingmails die om DigiD vragen

zondag 24 juni 2018, 07:54 door Redactie, 9 reacties

De overheid waarschuwt mensen voor phishingmails die om hun DigiD vragen. In de e-mails wordt gesteld dat de ontvanger een bericht van de Belastingdienst op zijn of haar Berichtenbox op MijnOverheid heeft. De e-mail bevat een link die zogenaamd naar de MijnOverheid-website wijst.

In werkelijkheid gaat het om een phishingsite die om de DigiD-gegevens van de gebruiker vraagt. "Het gaat hier om een phishingmail, klik daarom niet op de link in het bericht. Overheidspartijen sturen u nooit een dergelijk verzoek via e-mail", zo laat MijnOverheid weten. Ook de RDW en Belastingdienst hebben waarschuwingen voor phishingmails afgegeven.

De zogenaamde e-mails van de RDW hebben als afzender info@mail.rdw.nl en het onderwerp: Afdeling Service. In het bericht wordt de ontvanger gevraagd om zijn of haar persoonlijke gegevens bij te werken en te controleren op een website. Het gaat hier om een phishingmail die naar een phishingsite wijst. "Klik daarom niet op de link in het bericht en vul geen gegevens in", aldus de RDW. Die geeft verder het advies om goed het e-mailadres van de afzender van dergelijke berichten te controleren. "E-mails afkomstig van RDW eindigen op @rdw.nl", zo stelt de organisatie.

De Belastingdienst waarschuwde eerder deze week ook voor phishing. Het ging om een e-mail met als onderwerp "Foutieve belastingteruggave 2017". In de e-mail staat dat de ontvanger in december ten onrechte een belastingteruggave 2017 heeft gekregen. Vervolgens wordt verzocht om het bedrag van 297,95 euro terug te betalen. "Dit is een valse e-mail. Betaal niet! Dit is geen e-mail van de Belastingdienst. We vragen nooit via e-mail om betalingen te doen. Maak het geld dus niet over, maar verwijder de mail", zo laat de fiscus weten.

Image

Reacties (9)
24-06-2018, 10:41 door Briolet - Bijgewerkt: 24-06-2018, 10:42
De rwd gebruikt ook geen enkele echte methode om spoofing van hun naam te bestrijden.

host -t txt _dmarc.rdw.nl
Host _dmarc.rdw.nl not found: 3(NXDOMAIN)

Dus geen dmarc instelling die mail met hun gespoofde domeinnaam en subdomeinen blokkeert.

Ze hebben wel een SPF record met een hard fail op hun domeinnaam, maar niet op een subdomein als mail.rdw.nl. Dat zal ook de reden zijn waarom ze niet de kale domeinnaam spoofen.

host -t txt mail.rwd.nl
mail.rwd.nl has no TXT record

Via een wildcard instelling hadden ze alle subdomeinen ook een SPF instelling moeten geven.
24-06-2018, 11:48 door Anoniem
Door Briolet: De rwd gebruikt ook geen enkele echte methode om spoofing van hun naam te bestrijden.

host -t txt _dmarc.rdw.nl
Host _dmarc.rdw.nl not found: 3(NXDOMAIN)

Dus geen dmarc instelling die mail met hun gespoofde domeinnaam en subdomeinen blokkeert.

Ze hebben wel een SPF record met een hard fail op hun domeinnaam, maar niet op een subdomein als mail.rdw.nl. Dat zal ook de reden zijn waarom ze niet de kale domeinnaam spoofen.

host -t txt mail.rwd.nl
mail.rwd.nl has no TXT record

Via een wildcard instelling hadden ze alle subdomeinen ook een SPF instelling moeten geven.

Misschien deze tip ook aan de RDW zelf sturen? Hebben ze daar geen responsible disclosure procedure? Zo wel, dan zullen ze je toch binnen redelijke termijn uit moeten leggen wat ze wel of niet met je tip gaan doen...
24-06-2018, 12:40 door spatieman
dumbass mode: Ja maar, het komt van de overheid, dus het moet wel echt zijn...
24-06-2018, 13:47 door Briolet
Door Anoniem: Misschien deze tip ook aan de RDW zelf sturen? ...

Die tip hebben ze niet nodig. Ze moeten gewoon de richtlijnen van de overheid zelf implementeren. Lijkt me eerder luiheid dat ze hier niet mee aan de slag gaan.

Er gaat wel eens wat vaker mis met de dmarc implementatie. Toevallig zag ik dat "rabo.nl" nu twee dmarc policy's publiceert. één op reject en één op none. Lekker handig want een mailserver krijgt nu random één van beiden voorgeschoteld en zal dus maar in 50% blokkeren. Lijkt me een foutje bij het omzetten van none naar reject.
Maar je ziet toch dat je de oude policy niet gewist hebt? Gezien het belang van een dns record, controleer je elke aanpassing toch dubbel?
24-06-2018, 17:07 door Bitwiper
Door Briolet: De rwd gebruikt ook geen enkele echte methode om spoofing van hun naam te bestrijden.
Dat is onverstandig.

Maar als ze dat wel goed zouden doen, helpen SPF, DKIM, DomainKeys, SenderID, DMARC en wat er nog meer verzonnen wordt, nauwelijks of niet tegen phishing. Want niets belet phishers om voor andere afzenderdomeinen te kiezen, zoals uwoverheid.nl, jouwoverheid.nl, onzeoverheid.nl, nederlandseoverheid.nl, nloverheid.nl, overheidmail.nl, overheidsmail.nl, overheidmailings.nl, overheidsmailings.nl, overheide-mail.nl, overheidse-mail.nl, overheidcommunicatie.nl, overheidscommunicatie.nl, overheidcommunicatiedienst.nl, overheidscommunicatiedienst.nl, overheidberichtenbox.nl, overheidsberichtenbox.nl, overheidkennisgeving.nl, overheidskennisgeving.nl, overheidkennisgevingen.nl, overheidskennisgevingen.nl, overheidinfo.nl, overheidsinfo.nl, mailvanoverheid.nl, overheidoproep.nl, overheidsoproep.nl, overheidverzoek.nl, overheidsverzoek.nl, betrouwbareoverheid.nl, veiligeoverheid.nl, secureoverheid.nl, .... etc.

En dat is niet alleen theorie, de nepmail namens de belastingdienst vorige week had als afzender noreply@belastingteruggaaf.nl.

Desgewenst kunnen spammers al die prachtige protocollen aan hun nepdomein koppelen, zodat de onvanger echt heel zeker weet dat de mail vanuit dat domein verzonden is, en "dus wel legitiem moet zijn".
24-06-2018, 19:35 door Anoniem
Twee discussies die nu door elkaar lopen:

- RDW kan zijn email voorziening op een veel hoger niveau brengen!
- e-mail heeft nog steeds uitdaging als het gaat om "veiligheid"

Laten we a.u.b. beginnen met de huidige technieken te implementeren en het op een zo goed mogelijk niveau te krijgen.
25-06-2018, 07:29 door Anoniem
Eens, naar waarom lukt dat maar nog steeds niet?
Dat is de cruciale vraag bij alle issues.
25-06-2018, 10:48 door Briolet
Door Bitwiper: …En dat is niet alleen theorie, de nepmail namens de belastingdienst vorige week had als afzender noreply@belastingteruggaaf.nl.

Desgewenst kunnen spammers al die prachtige protocollen aan hun nepdomein koppelen, zodat de onvanger echt heel zeker weet dat de mail vanuit dat domein verzonden is, en "dus wel legitiem moet zijn".

DMARC voorkomt inderdaad geen phishing mails, maar zorgt er wel voor dat je afzenders kunt vertrouwen. Als je een beetje oplet kun je wel nepafzenders herkennen omdat je de mail altijd vanaf een ander adres krijgt. Maar als het van een bekend adres komt dat ook nog in je eigen adresboek komt, wordt het een stuk lastiger.

Daarom moet je de domeinnaam in mail gewoon goed beschermen. De techniek om dat te doen is er, gebruik het dan ook.
26-06-2018, 12:43 door Anoniem
De overheidsinstanties moeten benadrukken in hun kennisgevingsmail dat er in hun berichten geen snelkoppeling of links naar de persoonlijke berichtenbox zijn opgenomen! Men moet altijd separaat met de eigen of persoonlijke digid inlogprocedure in loggen op overheidsomgeving. Dus nooit via een dergelijke mail. Logisch!!!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.