Heb hem ook gehad. Er staat alleen view in browser of unsubsribe. Maar opent vervolgens niks. Is dit nou fake of?

Ook een dergelijk bericht een aantal keer ontvangen. Lijkt onbetrouwbaar.

Het zelfde bij mij! Het lijkt me geen betrouwbare bron maar ik kan er verder niet veel over vinden. Heb de mail vandaag (21-03-20) gehad.

.
Dat kan je krijgen wanneer je een e-mail campagne laat uitvoeren door een derde en niet de moeite neemt wel de gebruikelijke domeinnamen te gebruiken. Ik heb zelf ook al eens mot gehad met een universitair onderzoeker die hetzelfde flikte. En dit terwijl zijn mailprovider ervoor waarschuwde en er ook de oplossing voor aanbood - tegen extra betaling natuurlijk.

Wel ook weer bijzonder waardeloos dat de Rijksoverheid zo'n onduidelijke domeinnaam gebruikt - nederlandwereldwijd.nl; wie verzint zoiets -,. Waarom niet gewoon onder Rijksoverheid.nl gestopt.

Ik heb ook zo'n email ontvangen, het geeft alleen niet eens een URL maar: "View in Browser" or "Unsubscribe". Niks anders. Het emailadres roept vraagtekens op en ook de link die verschijnt wanneer je over "View in Browser" hoovert. Heel vreemd, ik zou gewoon niet verder klikken. Better safe than sorry.

Ook ik heb gisteren zo'n mail ontvangen: zaterdag 21 maart 21.03 u
Inhoud alleen: View in Browser en Unsubscribe
View Browser heeft geen effect

Facebook pagina van de Nederlandse ambassade in Chili bevestigd dat het hierbij gaat om een verstuurfout en dus geen phising is.

Ook ik heb gisteren zo'n mail ontvangen: za 21 mrt. 20:53

Bericht stond in de SPAM folder.
Ik durf niet op de linkjes te drukken.
Rare manier van communicatie van het ministerie.

Eens. Volgens communicatierijk.nl is dat zelfs een "verplichte richtlijn" (waar communicatierijk.nl zelf niet aan hoeft te voldoen).

Zie ook https://www.security.nl/posting/645035/Grapperhaus%3A+bestrijding+van+phishing+begint+met+awareness#posting645043.

Overigens is het certificaat voor nederlandwereldwijd.nl ook geldig voor:
wellicht om dat niet-Nederlandstaligen niet weten wat "rijksoverheid" betekent.

Het (PKI-Overheid) certificaat voor informatieservice.nederlandwereldwijd.nl is echter alleen geldig voor die site, dus duidelijk bedoeld voor Nederlandstalige communicatie van de rijksoverheid met burgers.

Minister Grapperhaus moet m.i. eerst wat aan awareness doen bij zijn collega's.

Ik heb er verschillende ontvangen. Sommige belandden bij xs bij de spam, sommige in mijn inbox. Ik was verleden week in het buitenland en had me bij Buza opgegeven voor reisadviesberichten. God straft onmiddellijk. De ontdekking van MrAT dat het waarschijnlijk niet om malware gaat is een grote opluchting.

Ik ben bang dat het erop neerkomt dat iemand bij de overheid wel degelijk zo stom is om het advies van iemand anders bij de overheid in de wind te slaan (waarbij "iemand" ook een hele overheidsorganisatie kan zijn - bedenk dat "de" overheid niet bestaat maar dat het een enorm conglomeraat van organisaties is).

De keren dat ik dit heb aangekaart, of het nou bij mijn eigen werkgever was of bij een overheidsorganisatie of bij een bedrijf waar ik als particulier mee te maken had, heb ik opvallend vaak meegemaakt dat men me verzekerde dat het goed geregeld was, met goede afspraken/contracten met een betrouwbare partij, en geen enkele blijk gaf van enig vermogen om te begrijpen dat dat de ontvangers van zo'n e-mail dat allemaal niet weten. Dat het onverstandig is om mensen te trainen om iets onduidelijks als veilig te beschouwen viel ook buiten het bevattingsvermogen.

En dat zijn dan meestal mensen die beroepsmatig met communicatie bezig zijn: voorlichting, marketing, personeelswerk. Als autist heb ik over "mijn soort mensen" gelezen en te horen gekregen dat een van onze kenmerkende eigenschappen zou zijn dat we ten onrechte denken dat wat wij weten ook bekend is aan anderen. In de praktijk zie ik een heel ander slag mensen precies dat probleem hebben.

Heb de mail ongezien verwijderd, nu zie ik dat het een echte overheid mail is, hoe dan .
Dit soort berichten gooi ik direct weg, al rommel genoeg denk ik.
Intussen mis je wellicht belangrijke berichten
Schaam je diep, verantwoordelijke ,

Dit zijn gewoon allemaal overheids website. Dus niet direct wat mis mee.

Daarnaast mag je ook gewoon als bedrijf een PKI overheid certificaat aanvragen.

Ik kreeg na de mail met enkel "view in browser" en "unsubscribe" erin nog een wel juiste mail met de vraag of iedereen zijn gegevens op https://informatieservice.nederlandwereldwijd.nl/ wilt actualiseren zodat ze weten wie nog in het buitenland zitten. Mocht je de mails dus weggegooid hebben, misschien nog handig dit wel even te doen. Gewoon naar je account gaan, op gegevens aanpassen klikken (je hoeft niks aan te passen) en dan opslaan.

Onderstaand de gehele mail:


Van: Het ministerie van Buitenlandse Zaken in Den Haag

Datum: 21 maart 2020


Beste Nederlanders,


Steeds meer grenzen gaan dicht. Daarom hebben wij een actueel overzicht nodig van de Nederlanders die op dit moment (tijdelijk) in het buitenland verblijven.


Actualiseren van je gegevens
Je hebt jezelf aangemeld voor informatie over een bepaald land of meerdere landen.


Dat kan een aanmelding zijn geweest met alleen je naam en contactgegevens. De ambassade voor het land waarvoor je de registratie hebt aangemaakt kan je dan op de hoogte houden over wijzigingen van het reisadvies of de veiligheidssituatie via e-mail of sms.


Door een registratie met alleen contactgegevens is het bij de Nederlandse ambassade niet bekend of je ook echt in het land bent. De Nederlandse ambassade wil graag een actueel beeld hebben van het aantal Nederlanders dat zich nu in het land bevindt. Jij kunt daar bij helpen door je registratie uit te breiden als je in het land bent.


Als je bent ingelogd bij de Informatieservice Buitenlandse Zaken (https://informatieservice.nederlandwereldwijd.nl/) kom je terecht op de pagina “Uw registratie inzien of aanpassen”. Om te laten weten dat je in het land bent klik je op het potloodje achter het land waarvoor je geregistreerd bent. In het scherm wat dan opent vul je zoveel mogelijk gegevens in en klik op “Bewaar”.


Ben je vertrokken uit een land?

Heb je jezelf aangemeld en geregistreerd bij de ambassade voor een bepaald land, maar ben je niet meer aanwezig in dat land of vertrek je eerder dan de geregistreerde verwachte vertrekdatum?


Wijzig dan je registratie door de ‘Verwachte vertrekdatum’ in te vullen bij het land waarvoor je bent geregistreerd. Doe dit ook als je vertrekdatum in het verleden ligt. Je helpt de Nederlandse ambassades daarmee enorm om het bestand van Nederlanders in het buitenland actueel te houden.

Heb je de link van Erik boven het door jou aangehaalde gedeelte gelezen?

Het gaat erom dat ze (overheid|bedrijven) voor elke scheet een ander domein menen te moeten gebruiken, terwijl ze al een prima (hoofd)domein hebben! In dit geval rijksoverheid.nl!
Waarom nederlandwereldwijd.nl en geen wereldwijd.rijksoverheid.nl of zoiets?

als je view in browser aanklikt kun je de verzender in de zoekbalk zien staan: co.com!! dat is een onfatsoenlijk commercieel bedrijf in engeland o.i.d. Ik noem dat ongewenst.Spam dus, en de ambtenaren van onze rijksoverheid laten dit gewoon toe. Ze weten blijkbaar nbiet wat je hiertegen moet doen. MOET doen!!

Zie het antwoord van Anoniem 15:47 hierboven (waarvoor dank :-).

Ja, maar als het goed is, krijg je alleen als je aantoont dat je geautoriseerd ben om namens de organisatie met onderstaande gegevens een https servercertificaat aan te vragen, zo'n certificaat waarin staat:
We hebben het hier niet over DV- (speelgoed-) certificaten.

Het probleem is wel dat de meeste gebruikers geen certificaten checken, en als ze dat wel doen, vaak niet goed weten waar ze op moeten letten (met name welke informatie ontbreekt, zoals de hier wel getoonde gegevens van de organisatie) en -indien aanwezig- hoe betrouwbaar die informatie is (m.a.w. hoe betrouwbaar de certificaat-uitgevende organisatie is). Helaas laten webbrowsers gebruikers steeds meer in de kou staan bij het kunnen onderscheiden tussen fake en echte websites. Juist daarom zijn herkenbare domeinnamen essentieel.

Zojuist zag ik op TV dat Nederlanders die vastzitten in het buitenland (en naar Nederland willen), zich kunnen registreren op https://www.bijzonderebijstandbuitenland.nl/.

Helaas opnieuw geen subsite van rijksoverheid.nl. Kijk uit voor nepsites voordat je persoonsgegevens invult, check of het certificaat is uitgegeven door "QuoVadis PKIoverheid Organisatie Server CA - G3" en is toegekend aan:

Tja, Blok snapt er nog steeds geen reet van, dat blijkt wel weer.
En dan ook nog zo'n ellenlange naam waar gemakkelijk typefouten in gemaakt zouden kunnen worden (of woorden
verkeerd onthouden) waarna je wellicht op een nepsite uitkomt.
Dom dom dom... maar ja, "iedereen doet het" he? precies wat ze ons verwijten en vanaf willen praten, doen ze zelf ook.

Als dit een test was geweest van de oevrheid om te zien hoeveel Nederlanders er in een phishing mail trappen, dan gaan er zoveel mensen nat:
* de grote groep dit overal op klikt als ze dat gevraagd wordt, zonder ook maar iets te controleren.
* de kleinere groep die het email adres gecontroleerd heeft, en het als spam ziet

Blijft over de piepkleine groep die ook nog het certificaat inhoudelijk controleert en snapt.
Mijn vraag: kan er niet ook nog met zo'n certificaat gefraudeerd worden?

Je kunt ook via dit overzicht controleren of het gaat om een legitieme website van de rijksoverheid:
https://www.communicatierijk.nl/vakkennis/rijkswebsites/verplichte-richtlijnen/websiteregister-rijksoverheid

Niets is 100% veilig, maar in dit geval is hiermee frauderen ontzettend lastig.

Klinkt-als/lijkt-op domeinnaam
Het m.i. meest voor de hand liggende risico-scenario is dat cybercriminelen een server met een lijkt-op/klinkt-als domeinnaam registreren en daar een DV (Domain Validated) certificaat voor aanvragen. Door daarna phishing-mails te sturen, kun je eenvoudig mensen in de val laten trappen.

Omdat het bij een domeinnaam zoals "bijzonderebijstandbuitenland.nl" niet overduidelijk om een domeinnaam van de Nederlandse Rijksoverheid gaat, kunnen cybercriminelen voor lijkt-op/klinkt-als domeinnamen ook meer betrouwbare certificaten aanvragen (fatsoenlijke certificaatuitgevers zullen geen certificaat voor een .nl site uitgeven waarin als organisatie "Ministerie van Buitenlandse Zaken" is opgenomen, en het zou een gigantische blunder zijn als cybercriminelen hier een PKI-overheid certificaat voor zouden kunnen verkrijgen).

Exact dezelfde domeinnaam
Wellicht kun je de echte server hacken of een beheerder ervan omkopen om aan gegevens van aanmelders te komen (en die vervolgens, of familie thuis, geld afhandig maken).

Op die manier zou je ook aan de private key behorende bij het echte certificaat kunnen komen (immers, het certificaat is niet geheim; het bezit van de private key behorende bij een certificaat bewijst dat jij de echte eigenaar bent van dat certificaat. Een certificaat kun je vergelijken met een kopie van een paspoort, de private key met het paspoort zelf; als je een https sessie met een server start, moet die server -middels een rekenkundige methode- bewijzen over de private key te beschikken, zonder die private key zelf ooit prijs te geven).

Als je het certificaat plus bijbehorende private hebt, zul je nog DNS van internetters moeten manipuleren (of via BGP-hijacks routes veranderen) om internetters op jouw fake server met echte certificaat uit te laten komen. Dit is niet onmogelijk maar niet zo eenvoudig op grote schaal (voor veel verschillende internetters). Maar is denkbaar voor gerichte aanvallen op één of enkele personen.

Als cybercriminelen die DNS en/of BGP-hijack aanvallen kunnen uitvoeren, kunnen zij op die manier wellicht ook certificaatuitgevers ervan overtuigen dat zij de echte eigenaar zijn van bijvoorbeeld "bijzonderebijstandbuitenland.nl".

Met name als cybercriminelen in weten te breken in het systeem waarin het/de DNS record(s) staan van de betreffende webserver, en het IP-adres wijzigen in dat van hun fake-server, is fraude eenvoudig; cybercriminelen kunnen dan probleemloos een nieuw DV-certificaat verkrijgen. Voor betere certificaten horen uitgevers te checken of de aanvrager geautoriseerd is om dat te doen voor een gegeven domeinnaam, maar dat laat nogal eens te wensen over. Een nietszeggende domeinnaam die iedereen aan zou kunnen vragen (zoals "bijzonderebijstandbuitenland.nl") helpt dan voor geen meter. Je kunt alleen maar hopen dat certificaatuitgevers niet zomaar akkoord gaan met de organisatienaam "Ministerie van Buitenlandse zaken" in een https servercertificaat voor een .nl website, en zeker Quo Vadis zal daar niet snel intrappen (hoop ik).

Conclusie
Internetters:
1) Vertrouw nooit zomaar op de inhoud van e-mails. De afzender daarin is meestal zeer eenvoudig te vervalsen.
2) Google onbekende domeinnamen voordat je klikt (gebruik zoveel mogelijk kopiëren en plakken om tikfouten te voorkomen, vooral bij lange domeinnamen). Vaak geeft zoeken op internet al zinvolle informatie, en evt. waarschuwingen; evt. kun je de zoektekst aanvullen met een spatie gevolgd door scam of fraud). Een andere tip is Googlen naar:
Meestal geeft je dat een overzicht van de pagina's en een indruk van hun inhoud op een site (de domeinnaam achter site: is hier natuurlijk een voorbeeld).
3) Na klikken en elke keer dat de domeinnaam wijzigt (je naar een andere site gestuurd wordt, zoals iDEAL van jouw bank): check de domeinnaam (is dat de domeinnaam die jij kent?) en check het certificaat. Wie is de uitgever, hoe luidt het pad naar het root-certificaat en wie is de uitgever daarvan: vertrouw je deze keten? Wat voor soort servercertificaat is het: in een DV certificaat ontbreken gedetailleerde gegevens van de eigenaar van het certificaat, en die zijn juist essentieel als je niet zeker weet of een domeinnaam daadwerkelijk van de kennelijke (bijv. in een e-mail geclaimde) organisatie is. Als die gegevens ontbreken, is de kans groot dat het niet om een legitieme site van de NL overheid gaat.
4) Als je met redelijke zekerheid hebt vastgesteld dat de site authentiek is (van de geclaimde eigenaar is) moet je je nog afvragen of je die organisatie vertrouwt, inclusief de partijen waar zij servers en diensten heeft ondergebracht (een certificaat helpt alleen vaststellen of een partij is wie zij zegt dat zij is; het zegt weinig tot niets over de betrouwbaarheid van die partij, noch hoe goed jouw gegevens door die partij worden beschermd en met wie deze worden gedeeld).

Website eigenaren:
Verstandige domeinnamen kiezen helpt dus ook voorkomen dat (naast internetters) certificaatuitgevers onterecht certificaten uitgeven, vooral als je ook CAA (Certification Authority Authorization) records publiceert (en Let's Encrypt daar goed op checkt). En hoe korter de sub-top-level domeinnaam is, .gov.nl bijvoorbeeld, hoe moeilijker het is om daarmee te frauderen - mits je strak reguleert wie daar domeinnamen voor mogen registreren en certificaten voor mogen aanvragen (dus niet zoals de USA dat deed, maar kennelijk probeert te verbeteren: zie https://www.bleepingcomputer.com/news/security/us-govt-adds-stricter-requirements-for-gov-domain-registration/).
En voor sites met domeinnamen die niet iedereen kent en onthoudt: verlaag je niet tot het gebruiken van DV certificaten, want dan kunnen ook meer security-aware gebruikers met geen mogelijkheid nepsites van echte onderscheiden.

Dank voor de URL, maar dat domein heeft hetzelfde probleem. Waarom niet communicatie.rijksoverheid.nl?

En ik vraag me ook af waarom rijksoverheid.nl niet rijk.overheid.nl is. Als ik informatie over de laatste corona-richtlijnen zoek en ik heb mijn bookmarks niet bij de hand dan is mijn eerste impuls om overheid.nl in te typen, en als ik zie wat er dan verschijnt denk ik, o ja, hiervoor moet ik op rijksoverheid.nl zijn. Dat is me al een paar keer gebeurd.

Het punt hiervan is enerzijds dat het vindbaar moet zijn voor mensen die niet een stevige dosis parate kennis over de structuur van overheidswebsites in hun achterhoofd hebben zitten, en anderzijds dat als je een link naar een overheidswebsite aantreft je aan een vast onderdeel van de URL kan zien dat het ook echt naar een overheidswebsite verwijst.

Ik weet dat ontzettend veel mensen geen kaas van URLs weten te maken, maar dat zou kunnen verbeteren als overheden én bedrijven eens zouden ophouden steeds spaken in de wielen van de herkenbaarheid te gooien zodat er een patroon is dat mensen kunnen leren te herkennen. En dan zou, als je even nadenkt, wat Erik van Straten en anderen voorstellen eigenlijk een open deur moeten zijn.

Ik begrijp werkelijk de ophef niet. En dan gaan er ook nog mensen moeite doen om uit te zoeken of die mail misschien toch legitiem is.
Als je mij iets stuurt (kan per post of email) dat niet overduidelijk legitiem is gaat het in de oud papierbak resp. naar \dev0

Blijk ik dan later iets gemist te hebben dan had je het maat netter moet versturen.

Ik zou er een dagtaak aan hebben om van alle rommel die ik ontvang te moeten onderzoeken of dat wellicht toch een legitiem bericht was.

Het domein bijzonderebijstandbuitenland.nl is geregistreerd by NAMECHEAP, waarschijnlijk door "worth.systems".
Er zitten geen CAA records op.
Hoe goed is de beveiliging bij NAMECHEAP en is dat een betrouwbare partij om namen te registreren en de DNS te
laten hosten? Kan de rijksoverheid dat niet zelf beter en betrouwbaarder regelen?
De site zelf draait bij Microsoft. Azure neem ik aan.
Hoogstwaarschijnlijk is er aan een paar hippe webbouwers gevraagd een site met wat info en een formulier op te
zetten. Leuk natuurlijk om dit snel te regelen in tijden van crisis, maar is het opzetten van een site met wat info en
een formulier niet dermate core-business voor de rijksoverheid dat ze dat zelf zouden moeten kunnen?
En dan met een duidelijke domein naam structuur zodat we allemaal kunnen zien wat van wie is en wie het beheert.

Het is toch niet relevant of "nederlandwereldwijd.nl" een legitieme site is. Als je er op klikt ga je naar een heel andere site. Onze mailserver past alle mail aan die je ergens anders heen stuurt dan wat in de tekst staat. Er komt dan een dikke rode waarschuwing in de tekst van de mail te staan.

Ja leuk maar jij zit thuis op je zolderkamertje dus je kunt zelf bepalen wat je wel/niet doet.
Echter die mail was gericht aan mensen die in het buitenland vast zitten en terug naar huis willen.
Die kunnen wel zeggen "had je het maar anders moeten sturen" maar dan wordt hun probleem dus niet opgelost.

Die URL is aangepast door de mailinglijst verzender die alle clicks via hun server wil laten lopen om te tellen hoeveel
mensen er op die link klikken. (clicktracker)
Heel dom om dat te doen, zeker in dit soort gevallen, maar die persoon die de betreffende mail gemaakt en verstuurd
heeft weet dat natuurlijk allemaal niet. En de mailinglist (cmemailcampaigns.com) heeft dit natuurlijk default aan staan.

Maar op http://links.cmemailcampaigns.com/ vul je geen vertrouwelijke gegevens in, noch word je daar misleid met "fake news" o.i.d. - omdat jouw browser wordt doorgestuurd (hopelijk, wel heel slecht dat dit een http link is) naar "nederlandwereldwijd.nl".

Als de NL overheid informatie verstrekt die je als burger moet kunnen vertrouwen, is het m.i. wel degelijk relevant om te weten of "nederlandwereldwijd.nl" daadwerkelijk onze overheid representeert.

Je moet mijn opmerking in de context zien. Als je op een link klikt die A heet, maar naar B wijst, is de naam A niet relevant, want daar kun je ook bij phishing mails gerust de naam van een legitieme site neerzetten. Sterker, ik zou als phisher er zelf ook een bekende legitieme site doen om vertrouwen te wekken.

Vandaar dat onze mailserver ingesteld is om bij een mismatch van de naam en de link zelf een dikke waarschuwing in de mail te zetten.

Daarom het advies om altijd linkjes te controleren. In het gegeven voorbeeld is het advies dus om nooit op die link te klikken. Die link wijst niet naar een bekende site. Dat hij daarna re-direct naar een bekende site kun je vooraf niet zien.

Als de overheid dergelijke mailtjes verstuurd is het verspilling van overheidsgeld omdat de overheid zelf campagnes opzet om mensen te leren dergelijke mailtjes ongezien weg te gooien.

Ik denk dat er "bij jullie" maar een paar mensen werken en met een ICT achtergrond die snappen waar die meldingen over
gaan, want bij een "normale kantoorpopulatie" zullen die dikke waarschuwingen die in zowat alle ontvangen nieuwsbrieven
en dergelijke terugkomen (en daar de layout verstieren) al snel in de hersenen van de medewerkers worden weggefilterd.

Immers een voortdurend terugkerend patroon van waarschuwingen, waarbij keer op keer de juiste actie is "klik er toch
maar op in dit geval", die verliest al snel de effectiviteit.

Ik zou dan eerder denken aan het vervangen van alle linkjes door linkjes die echt wijzen naar wat er in de zichtbare
tekst van de link staat, als die tekst er uitziet als een geldige link. In dit geval dus:
http://links.cmemailcampaigns.com/ls/click?upn=t-2BoSpRmI1KRL9
vervangen door:
https://informatieservice.nederlandwereldwijd.nl/
in de href of de javascript functie die er aan click gehangen is.

Dan hoef je je medewerkers niet te vermoeien met meldingen en ga je ze niet trainen om meldingen te negeren.

Bij ons zijn het inderdaad minder dan 10 werknemers. Toch valt het wel mee met die waarschuwingen door mismatches. Ik zie het maar 1 of 2x per jaar. Dat is zelden genoeg om een hoge attentiewaarde te behouden. De meeste linkjes suggereren niet naar een bepaalde website te gaan, maar zijn gewoon een stuk tekst met een link eronder. De waarschuwing verschijnt alleen wanneer de klikbare tekst al suggereert een domein te zijn.

En veel voorkomende mismatches worden ook genegeerd. bijvoorbeeld als de naam "example.nl" je naar het domein "www.example.nl" stuurt.

Edit: Dit gebeurd door het pakket MailScanner en zij beheren op hun site wel een lijst met ca 1500 domeinen die gewhitelist zijn. En ik heb zelf ook een lijst met een 5-tal vertrouwde domeinen moeten toevoegen. Maar de laatste toevoeging in mijn custom lijst is al weer jaren geleden.

Het lijkt mij dat in een grote kantooromgeving waar deze waarschuwingen gemeld worden, je snel zelf ook alle vertrouwde domeinen gewhitelist hebt.