Aiaiai! Het kan snel gebeuren inderdaad, zeker met veel zelfvertrouwen... Het zou mij ook kunnen overkomen, en ik ben me enigzins bewust van de truucs die men gebruikt.
Bijvoorbeeld kan een klik op een neplink van een webshop zoals bol.com kan al leiden tot phishing, en al helemaal als deze vlak na een aankoop in de mail terechtkomt...
Ook is het belangrijk geen search engines bij banken en andere transacties te gebruiken om deze websites te vinden.
Vul zelf de URL handmatig in, in bijvoorbeeld KeepassDX, en klik voortaan op deze URL binnenin het versleutelde Keepass-bestand om naar de desbetreffende website te gaan in plaats van gebruik te maken van zoekwebsites. (Die op hun beurt gemanipuleerd kunnen worden)
https://f-droid.org/packages/com.kunzisoft.keepass.libre/
Vergeet niet het magikeyboard van KeepassDX te gebruiken aangezien copy/pasten een stuk onveiliger is (het paswoord word bij copy/pasten in het clipboard geplaatst) dan de invoer via een keyboard dictionary. (Gebruikt geen clipboard)

Hoe weet je of https://postnl.post/ van dezelfde eigenaar is als https://postnl.nl/? Iemand?

P.S. beide sites hebben een Let's Encrypt certificaat.

En vergeet de 2FA methodes en Yubikeys niet! (-;

Geen idee.

Ik zou willen dat dit waar is, als Cyber security analist zie ik echt enorm veel mensen die op een phishing link klikken.
Het ergste is nog dat de meeste e-mails echt zo slecht zijn dat ik me afvraag hoe het kan. Laaste trend is dat er veel e-mail adressen gemaakt worden via icloud.

Een normale gebruiker kan dit niet achterhalen en zal afgaan op het 'slotje' in de browser en dat zegt niet veel. Dus ja, je haalt (een deel van) het probleem aan...

Fantastisch. Ongeacht wat de rest van de security community er van vond, ik vond EV certificates toch altijd wel een zeker nut hebben - niet perfect, maar toch een paar stappen moeilijker dan DVs. Tegenwoordig doet een certificate echt niks anders meer dan "verzekeren" (kuch) dat de verbinding versleuteld is. Je kunt eigenlijk gewoon weer self-signed inzetten en de hash in je DNS hoesten. Eh, wacht, zelfs dat hebben we al.

39% van de Nederlanders zijn naïef door te denken niet in phishing te trappen!
60% is reeël dat de mogelijkheid er wel is
1% zijn de phisers zelf of de mensen die er al eens in getrapt zijn en daardoor extra voorzichtig zijn.

Voor postnl.post kun je gelukkig veel info vinden (https://www.whois.com/whois/postnl.post), dus die zal wel echt zijn. Die van postnl.nl is duidelijk niet te vertrouwen. Wel goed nagemaakt overigens :-)

Dank voor alle reacties! EV was niet perfect, maar van grootschalig misbruik was geen sprake. Bij alle argumentaties waarom EV "waardeloos" zou zijn, wordt verwezen naar één incident m.b.t. "Stripe, Inc" - beschreven door onderzoeker Ian Carrol (zie bijv. [1]). Helaas zegt EV ook niets over de betrouwbaarheid van de eigenaar van een website, noch iets over de wijze waarop gegevens beveiligd worden en wie (en hoeveel mensen) daar allemaal bij kunnen; wel vergroten ze de pakkans van cybercriminelen.

[1] https://arstechnica.com/information-technology/2017/12/nope-this-isnt-the-https-validated-stripe-website-you-think-it-is/

Keerzijde: zeer veel "post" phishing
In een blog van augustus ([2]) over de wereldwijde "pakket kon niet worden afgeleverd" phishing campagne van de, naar verluidt Chinese, "Chenlun aka Sinkinto01" cybercriminelen, wordt postnl.post als de officiële PostNL site aangemerkt. Later schreef ook Brian Krebs [3] over die kennelijk "succesvolle" scammers, recentelijk gevolgd door DomainTools ([4]). Nu steeds meer Nederlandse Maestro bankpassen door debit/creditcards worden vervangen, verwacht ik een toename van dit soort scams in Nederland.

[2] https://g0njxa.medium.com/chenlun-a-worldwide-phishing-carding-campaigns-provider-a45c4fed6d1b

[3] https://krebsonsecurity.com/2023/10/phishers-spoof-usps-12-other-natl-postal-services/

[4] https://www.domaintools.com/resources/blog/merry-phishmas-beware-us-postal-service-phishing-during-the-holidays/

Die Chenlun groep heeft zeker al honderden en mogelijk tienduizenden domeinnamen geregistreerd en daar DV certificaten voor verkregen (weet ik uit eigen onderzoek). Ik vermoed dat zij steeds nieuwe (semi-willekeurige) domeinnamen registreren zodra bestaande domeinnamen op blocklists, zoals Google Safe Browsing, terechtkomen - terwijl, naast Let's Encrypt, ook Google en andere DV-certificaatverstrekkers, willens en wetens, schier eindeloos gratis certificaten blijven uitgeven voor websites van die phishers. Google + andere DNS-providers, en goedkope hosters (zoals Fastly, zie ook [5]), lobbyen niet voor niets voor DV-certs (en steunen tevens Mozilla, EFF en Let's Encrypt financieel) - waarmee zij ook cybercrime faciliteren.

[5] https://tweakers.net/plan/4086/#r_19435098

Terug naar postnl.post
Als je de certificaten uitgegeven voor postnl.post bekijkt zie je daar ook postnl.nl en subdomeinnamen eindigend op .postnl.nl in staan. Tenzij er bij die certificaatuitgifte iets heel erg mis gaat, ga ik er vanuit dat het om dezelfde eigenaar gaat.

Het beperkt zich echter niet tot postnl.post:

• https://post.nl/ werkt niet, maar http://post.nl/ stuurt jouw browser door naar https://postnl.nl/ (tenzij een AitM je naar een andere site stuurt. Dat kan niet als je https only in jouw browser hebt ingesteld, maar dan kom je weer niet zomaar uit op https://postnl.nl/).

• https://nl.post/ werkt niet (resolvt niet, address not found), maar https://stamps.nl.post/ werkt wél (nl.post is dus, op dit moment, ook van PostNL - je moet het maar weten).

• Ook de domeinnaam in https://postnlpunt.nl/ resolvt niet, maar de domeinnaam in https://bestellen.stg.postnlpunt.nl/ wel - die mijn browser doorstuurt naar https://mijnpostnl--uat.sandbox.my.site.com/mijnpostnlpunt/s/login/?language=nl_NL (flink ingekort, werkt wel) - een pagina waarop je moet inloggen, die ik op geen enkele wijze van een phishingpagina kan onderscheiden (site.com is niet van PostNL).

Op dit moment zijn, zo te zien (in certificaten), de volgende domeinnamen ook van PostNL:

• crossborderreturns.com
• spring-gds.com
• springtracking.com
• adreskenmerken.eu
• cldsvc.net
• floraathome.nl
• postnlpakketten.nl
• internationalparceltracking.com
• mijnpostnl.nl
• postnl.be
• mijnpostnl.be
• monpostnl.be
• mypostnl.be
• postnl.com
• loginpostnl.net

Lastig is dat niet alle websites met genoemde domeinnamen jouw browser doorsturen naar [*.]postnl.nl (zodat bezoekers uitluitend postnl.nl of eindigend op .postnl.nl hoeven te onthouden). En zodra PostNL de registratie van zo'n domeinnaam niet verlengt is deze bemachtigen natuurlijk de kers op de taart voor cybercriminelen.

Bron: https://crt.sh/, o.a. https://crt.sh/?q=postnl.post en bijvoorbeeld https://crt.sh/?id=11395054293 (met in die laatste een lijst met alternatieve domeinnamen, waaronder ook (eindigend op .) postnl.nl).

Zijn 2 verschillende registrars, zou voor mij een aanwijzing zijn dat ze niet in hetzelfde beheer zijn.
Maar ja NL bedrijven he, verschillende afdelingen verschillende inkopers bij verschillende leveranciers.