200 domme mensen. Waarschijnlijk individuen die zich graag in een slachtofferrol zien.

Lekker ongenuanceerde opmerking voor een 'Gematigede Nederlander'.
Dit kunnen net zo makkelijk oudere mensen zijn, bij wie het gehele 'computer-geneuzel' gewoon geen interessant issue is. Ze krijgen een mail, lezen dat er iets moet gebeuren en doen dat.
Inderdaad zal een iets meer oplettend persoon hebben onthouden dat vorige e-mails over berichten van mijn-overheid nooit een link bevatten waardoor er een lampje moet gaan branden.

De overhead heeft deze keer wel goed geacteerd door snel de website offline te halen, de gecompromitteerde accounts te blokkeren en de getroffen mensen een brief hierover te sturen.

Wat dacht je van domme implementeerders. Met *optionele* 2-factor authenticatie. Waardoor een cybercrimineel altijd kan kiezen om de credentials te gebruiken zonder mobiele verificatie. Pas dat aan, dan zijn de gebruikers wel veilig, en dan werkt de aanval niet meer.

De schuld bij de eindgebruiker leggen is zo gemakkelijk.....

Je zult verbaast zijn als je wist hoeveel mensen internet gebruiken en er totaal niets maar dan ook niets van af weten.
Dit geld ook voor mail, wat ze nodig hebben om het te gebruiken weten ze wel, maar de rest geen interesse.
Vergelijk het maar met een auto, de meesten gebruiken hem maar ze hebben geen idee hoe hij werkt en
het interseert ze ook niet, mischien niet zo snel oordelen want het product hoort gewoon veilig te zijn.

Hoe kun jij iets zeggen over de intelligentie van deze mensen? Het is op dit forum inmiddels geen discussiepunt meer dat phisingmails zó doortrapt en slim zijn opgesteld dat er iedere keer weer mensen in trappen. Dit is een verdrietig verhaal voor de slachtoffers. Op deze manier te reageren vertelt eerder iets over jouw denkniveau dan over dat van de mensen die slachtoffer zijn geworden, dunkt me....

Wat mist in het verhaal is hoe men weet dat het er 200 geweest zijn. Uit de context van het verhaal van de minister (vanaf minuut 33:00), haal ik dat het niet de aantallen aangiften van de slachtoffers zijn.

Het lijkt er dus op dat de site uit de lucht gehaald is en men blijkbaar ook toegang tot de site kreeg met de opgeslagen data van 200 slachtoffers.

Dat er direct een waarschuwing op de overheidssite gezet is, heeft natuurlijk weinig effect gehad op het tegenhouden van slachtoffers, zoals de minister suggereert. De mensen die direct op de link klikken, zullen de officiële site nooit zien.

https://www.security.nl/posting/567534/"Goede+beveiliging+zit+in+de+hoofden+van+mensen"
Gekdezeks zijn vaak jongeren.
Alleen met gedegen onderzoek kom je mogelijk op kwetsbare groepen met verhoogd risico.

Geheimzinnig doen

Zowel de overheid als alle media die erover berichten blijven hangen in het vage.
Hele verhalen en suggestieve omschrijvingen zonder de link, het specifieke nepdomein te noemen!!!

Wat was nou dat nep domein?

Zeg gewoon, deze ... link is niet te vertrouwen opdat mensen het ook kunnen controleren.

In elk geval is een deel van de beoogde slachtoffers beschermd door DMARC. HVolgens bovenstaand screenshot is het "aan" adres nml "overheid.nl" en op dat domein staat een "reject" policy.

Mensen met een mailaccount bij een provider die DMARC controleert, (b.v. gmail) zullen deze mail nooit ontvangen hebben. Het zou dus ook interessant zijn een lijst te zien bij welke mail providers deze 200 personen een account hadden.

Er zijn ook providers/programma's die de mail waarbij de DMARC check mis gaat gewoon als SPAM behandelen.
Dwz die komt in een mapje "ongewenste e-mail" of "junk e-mail" zonder verdere aanduiding waarom.
Mensen die dit mapje min of meer regelmatig controleren (bijvoorbeeld nadat eerder een belangrijke mail daar terecht
is gekomen om een andere reden) die zullen het wellicht gewoon in behandeling nemen omdat ze vinden dat het er
vertrouwd uitziet.

Ik weet dat bij gmail er een waarschuwing bij staat dat de afzender mogelijk vervalst is maar dat doet dus niet iedereen!
(Microsoft Outlook / Office365 bijvoorbeeld niet)

Die heb ik ook gehad in mijn Gmail!!

De overheid zal die kenmerken als dmarc spf dkim wel toevoegen. Ik verwacht dat niet van een pisher. Geen idee welke mail techniek die gebruikt maar zijn doel is om de boel te faken.

Dan moet er in iedere geval nog een extra controle door
de mailproviders er bij. Bepaalde bronnen (from) mogen alleen met bepaalde techniek (dmarc) door. Whitelisting - censuur.
Zit dat er ook in?

Je hebt wel twee verschillende policy instellingen bij DMARC. Quarantaine of Reject. Als je Quarantaine instelt, is het begrijpelijk dat het in een spammap terecht komt.
Maar als een domein een Reject policy instelt (zoals overheid.nl doet), zou ik vinden dat dit gerespecteerd moet worden en zou helemaal niets afgeleverd moeten worden. Zie pagina 18 onderaan van de RFC 7489 over DMARC

https://tools.ietf.org/html/rfc7489#section-6.3

Als je de mail nog niet hebt weggegooid, kun je dan eens kijken vanaf welk IP adres de gmail mailserver deze mail ontvangen heeft en dat IP-adres hieronder vermelden? [*]

En of er een DKIM header in zichtbaar is en zo ja, die hieronder vermelden?

[*] E-mail van "overheid.nl" wordt kennelijk verzorgd door solvinity.com (een Nederlands ICT bedrijf). Het lijk erop dat zij alle IP-adressen waar zij mail vandaan zouden kunnen sturen (of ooit hebben gestuurd) in hun SPF records hebben gezet. Voor mail vanaf *@overheid.nl bestaan op dit moment de volgende DNS (SPF- en A-) records:

Die MX servers resolven momenteel in:
En de SPF include directives leiden tot:
en:

Als een spammer toegang tot slechts één van de systemen met genoemde IP-adressen weet te verkrijgen, of indien deze als e-mail relay werken (evt. een double mail relay waarbij een server X mail van derden accepteert en doorzet naar een mailserver met één van bovengenoemde IP-adressen - die op zijn beurt mail van X accepteert), dan kan de spammer namens overheid.nl -ongehinderd door streng op SPF, DKIM en DMARC- phishingmails verzenden.

Naast dat heel veel ontvangende mailservers niet strikt checken op SPF, DKIM en DMARC (elke mailserverbeheerder heeft daar zo haar eigen ideeën over en/of -vaak slechte- ervaringen mee), is DMARC een halfbakken protocol omdat ofwel SPF ofwel DKIM volstaat. Dus als één van de genoemde servers geheel geen DKIM record toevoegt (of mogelijk, hier twijfel ik over, een DKIM record toevoegt voor een heel ander domein) wordt voldaan aan de DMARC policy.

Met andere woorden, als het een een spammer lukt van of via 1 van de genoemde IP adressen phishing mails van *@overheid.nl te versturen, zal elke ontvangende mailserver, die netjes checkt, concluderen dat de mail daadwerkelijk door "overheid.nl" is verzonden. Ook denkbaar is dat solvinity.com een speciale inbox heeft voor mails die namens "overheid.nl" moeten worden verzonden, en dus alleen door geautoriseerde overheidsdienaars zouden moeten kunnen worden aangeboden, maar dat het de spammer is gelukt om zich voor te doen als geautoriseerde ambtenaar.

Los van of dit scenario van toepassing is, vind ik het uiterst onverstandig van solvinity dat zij, juist voor zo'n gevoelige afzender als overheid.nl, zo'n onzinnig grote reeks IP-adressen toestaat om mail (namens overheid.nl) te verzenden. Het zou mij niet verbazen als daar (wellicht minder goed beveiligde) testsystemen of servers van voormalige projecten bij zitten.

Bijboorbeeld 94.143.208.192 - 94.143.208.223 is van bitbrains.nl/asp4all.nl - die ondertussen verder zijn gegaan als solvinity.nl. Servers zoals synfra.bitbrains.nl, gemma-synfra.bitbrains.nl en acceptatie-gemma-synfra.bitbrains.nl resolven nog wel (niet exact tot de in de SPF records genoemde adressen, maar wel daar in de buurt) maar nemen geen https connecties meer aan. Mogelijk een voormalig project dus, en de ervaring leert dat vaak wordt vergeten om alle betrokken systemen grondig op te ruimen (klant betaalt niet meer betekent altijd low prio).