Security Professionals - ipfw add deny all from eindgebruikers to any

Vitens: AVG? Lets phish!

11-04-2024, 18:15 door Erik van Straten, 20 reacties
0) TL;DR:
Begin bij 10) Conclusie onderaan.

1) Vitens: Geef uw meterstand door!
Klanten van Vitens ontvangen e-mails met de volgende afzender en onderwerp:
From: Waterbedrijf Vitens <noreply@mail.vitens.nl>
Subject: Geef uw meterstand snel en eenvoudig door! (2024)

2) Veel totaal overbodige persoonsgegevens
In de e-mail staat onnodig veel identificerende informatie (persoonsgegevens). Naast het (onvermijdelijke) e-mailadres van de ontvanger, staat in dergelijke e-mails:

• Voorletter(s), tussenvoegsel en achternaam;
• Straat en huisnummer;
• Postcode en woonplaats;
• Aanhef (in mijn geval): "Geachte heer Van Straten," (dus inclusief geslacht);
• Vitens klantnummer;
• Opnamekenmerk: een getal van slechts 10 cijfers;
• Watermeternummer.

Klanten van Vitens weten heus zelf wel hoe zij heten - en waar zij wonen (dat een klant deze info op de website van Vitens moet invullen begrijp ik, maar, zoals gezegd, die gegevens kent de klant al; Vitens maakt hiermee potentiële kwaadwillenden alleen maar wijzer).

En welk intern klantnummer Vitens er voor haar klanten op nahoudt, interesseert klanten niet, laat staan dat zij van elk bedrijf hun klantnummer zouden willen en kunnen onthouden.

Ook het nummer van de watermeter kan de klant, als dat ergens voor nodig zou zijn, zelf aflezen op dat apparaat en vergelijken met het nummer, zoals vermeld onder diens gegevens, op de website van Vitens.

Nb. denkbaar is dat een deel van de klanten, zoals "all in" verhuurders, wél behoefte heeft aan aanvullende informatie. Prima, maar het concept dataminimalisatie vereist dat je niet alle klanten over een kam scheert (hanteer uitzonderingen indien noodzakelijk).

Merk op dat het "Opnamekenmerk" effectief het wachtwoord is om (samen met andere, minder geheime, gegevens) data te kunnen wijzigen in het account dat Vitens er voor haar klanten op nahoudt.

3) Phishing
Midden in de e-mail zit een grote rechthoekige "knop":
                [  Meterstand doorgeven >  ]
De link "onder die knop", die je te zien kunt krijgen als je (afhankelijk van de gebruikte browser, bijvoorbeeld) wat langer op die knop drukt, luidt:

   https://090i5.mjt.lu/lnk/CA[...]bmc9

waarbij [...] uit meerdere regels onleesbare letters, cijfers en leestekens bestaat. Het gaat hier evident om een Luxemburgse domeinnaam "mjt" - waarbij uit niets blijkt dat deze iets met vitens.nl te maken heeft (en ook niet zomaar met mailjet.com, zie verderop).

4) Geboden alternatief: ORDINAIRE MISLEIDING
Onder de bovengenoemde knop in de e-mail staat de volgende tekst:

Werkt de bovenstaande knop niet?
1. Ga naar www.vitens.nl/meterstand
2. Vul uw opnamekenmerk in: [...]
"Onder" www.vitens.nl/meterstand zit óók bovengenoemde link (die begint met https://090i5.mjt.lu/); de Vitens-klant wordt hier opzettelijk MISLEID.

Naast dat er, zoals helaas gebruikelijk, geen https:// aan www.vitens.nl/[...] voorafgaat. Iemand die www.vitens.nl/meterstand naar het klembord kopieert en in de adresbalk van diens webbrowser plakt, en waarbij de browser géén https-verbinding afdwingt, loopt het (meestal kleine, maar toch) risico op een geslaagde AitM-aanval (Attacker in the Middle, ook bekend als MitM, "Man").

5) Tijdsdruk en dreigen met extra kosten
Verderop in de mail staat:
Als wij binnen vier weken geen meterstand ontvangen, dan schatten wij de meterstand. Het kan zijn dat u dan te veel betaalt.

6) Technische details
Leken zegt de onderstaande informatie (terecht) helemaal niets, en in steeds minder e-mailprogramma's (vooral op smartphones) kun je e-mailheaders zichtbaar maken. Voor degenen die het volgende begrijpen, uit de e-mail-"kopregels" (ik heb de tekst geherformatteerd om de leesbaarheid te vergroten):
ARC-Authentication-Results: i=1;
mx.kpnmail.nl;
spf=pass
smtp.mailfrom=
a2405412.bnc3.mailjet.com
smtp.remote-ip=87.253.237.172;
dkim=pass
header.d=mail.vitens.nl
header.s=mailjet
header.a=rsa-sha256
header.b=exeIygbS;
dmarc=pass
header.from=mail.vitens.nl;
arc=none
header.oldest-pass=0;
Dit is allemaal "in orde", in zoverre dat Vitens zélfs de verzending van gepersonaliseerde e-mails (het gaat hier niet om de klassieke "bulk" mail, waarbij dezelfde e-mail naar veel klanten wordt gestuurd) aan haar klanten uitbesteedt aan "mailjet.com".

Kennelijk gebruikt mailjet.com een webserver met een Luxemburgse domeinnaam om te registreren wie, en wanneer precies, op een link in zo'n mail klikt (waarna de browser van de Vitens-klant, door *.mjt.lu, wordt doorgestuurd naar *.vitens.nl); dit is ordinaire spyware. En dat is nergens voor nodig (zie mijn verbetervoorstel verderop), en dus tevens in strijd met de AVG.

Nb. aan het feit dat hier, qua SPF, DKIM en DMARC alles "in orde" is, heeft een Vitens-klant helemaal niets - tenzij die klant weet dat bijvoorbeeld <noreply@mail-vitens.nl> niet van Vitens is (wat mail.vitens.nl overigens ook niet meer is, sinds Vitens het gebruik daarvan heeft uitbesteed aan mailjet.com). Van dit soort impersonerende domeinnamen bestaat een ontelbaar aantal variaties, denk aan mail.vitens.co, vitens-mailings.com en ga zo maar door - waarbij het voor de phishers een koud kunstje is om ook voor die domeinnamen, SPF, DKIM en DMARC te laten kloppen; die protocollen helpen in de praktijk (net als Domain Validated https servercertificaten) voor geen meter tegen impersonatie van domeinnamen.

Dat nog "even" los van het feit dat ik, bijvoorbeeld met Apple mail op mijn iPhone, ongelofelijk veel moeite moet doen om het SMTP-afzenderadres überhaupt zichtbaar te maken.

7) Risico: persoonsgegevens in verkeerde handen
Iedereen die zo'n mail onterecht in handen krijgt, beschikt over meerdere persoonsgegevens van een Vitens-klant. En kan, desgewenst, als zijnde die Vitens-klant, een onjuiste meterstand doorgeven aan Vitens (bijvoorbeeld om de klant op kosten te jagen). Met deze gegevens kan een kwaadwillende mogelijk tevens een Denial of Service aanval uitvoeren - door de klant (bijvoorbeeld telefonisch) te laten afsluiten.

Een ander risico: iedereen die deze gegevens in handen krijgt kan zich voortaan, richting de klant, voordoen als Vitens of als een (bestaand of fictief) NUTS-bedrijf dat iets met waterleidingen en/of watermeters doet. Zo kunnen zij bijvoorbeeld een woning "binnendringen" door aan de voordeur te liegen:
Wij hebben een melding ontvangen dat uw watermeter te veel aangeeft, waardoor u mogelijk te veel betaalt. Volgens onze gegevens luidt het nummer op uw watermeter 17394015. Kunt u dit nakijken, en ons binnenlaten indien exact dat nummer op uw meter staat?
Dat zal de meeste mensen ervan overtuigen dat zij die nepmedewerkers binnen moeten laten, waarna zo'n Vitens-klant kan worden beroofd of op andere wijze schade kan worden berokkend.

De kans dat zo'n e-mail in verkeerde handen valt is overigens allesbehalve klein. De afgelopen jaren zijn meerdere externe partijen, die de verzending van "bulk-mail" verzorgen, gehacked (minstens één van hen meer dan één keer), of was er op andere wijze sprake van een datalek.

Bovendien hebben beheerders van de ontvangende mailserver (met het e-mailaccount van de Vitens-klant) in potentie toegang tot e-mails.

Daarnaast worden e-mails op veel mailservers gescand op kenmerken van spam en phishing, en indien "gevlagd", doorgestuurd naar organisaties die spam/phishingfilters zeggen te verbeteren. Met in een e-mail de tekst www.vitens.nl/meterstand en "daaronder" een totaal afwijkende link, is zo'n e-mail bij uitstek kandidaat om naar een externe partij te worden doorgestuurd, waarvan de betrokken medewerkers, en de veiligheid van hun systemen, ook (blind) moet worden vertrouwd.

Ten slotte, mocht een onbevoegde toegang hebben (verkregen) tot het e-mailaccount van een Vitens-klant, dan krijgt deze informatie in handen die bij uitstek geschikt is om die klant verder om de tuin te leiden.

8) Opnamekenmerk (wachtwoord) en entropie
Het slecht 10 cijfers lange opnamekenmerk zou, in elk geval in theorie, tot een IDOR-kwetsbaarheid [1] kunnen leiden. Bovendien is het idioterie om hier uitsluitend cijfers voor te gebruiken: als je daar 10 cijfers en plus 20 mogelijke hoofd- en kleine letters (*) voor zou gebruiken, hoeven klanten (indien nodig) slechts 8 karakters over te tikken, met als bonus veel meer "entropie" (mogelijke combinaties). Bij 10 "posities" daarmee heb je al meer dan 9 miljoen maal zoveel mogelijkheden dan bij 10 cijfers.

[1] https://cheatsheetseries.owasp.org/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet.html

(*) Door niet alle 26 letters te gebruiken, kun je verwarring tussen bijvoorbeeld '0' en 'O', of 'I' en 'l', helpen voorkómen).

9) Voorstel voor verbetering
In plaats van het strooien met al die persoonsgegevens, notabene via een derde partij van het type dat relatief vaak gehacked wordt, had Vitens kunnen volstaan met iets als:
Beste Vitens-klant,

Vriendelijk verzoek om de standen van uw watermeter binnen één maand aan ons door te geven.

a) Lees eerst de waarschuwing onderaan deze e-mail, die moet overeenkomen met de waarschuwing tegen phishing op onze website.

b) Open https://mijn.vitens.nl/meterstanden/?opnamekenmerk=CSRGUID&via=mailjet in uw webbrowser. Of, indien u een Vitens-account heeft, log daarop in en klik op "Meterstanden doorgeven".

c) Volg de op de webpagina getoonde instructies.

Neem bij vragen contact op met onze helpdesk.

Waarschuwing:
a) De domeinnaam (het webadres) van de website, zoals getoond in de adresbalk van uw webbrowser, moet exact vitens.nl luiden, of moet eindigen op exact .vitens.nl (let op de punt vooraan), zoals mijn.vitens.nl of www.vitens.nl. Nb. een streepje (minnetje) is geen vervanging voor een punt en leidt naar een andere website (meestal nep).

b) Voor gevorderden: indien uw browser het tonen van https servercertificaten ondersteunt, kunt u checken of er in het certificaat van de geopende website als "organisatie" (of "organization") vermeld wordt: "Vitens N.V.". Als dat niet het geval is, heeft u te maken met een nepwebsite; stop dan en neem contact op met onze helpdesk. Daarvoor gebruik u natuurlijk niet mogelijkerwijs op de nepsite vermelde contactgegevens!

<De gebruikelijke bedrijfsinfo en disclaimer>
Hierbij dient de link "onder" de tekstuele weergave van de URL identiek te zijn aan de getoonde.

Genoemde CSRGUID moet vanzelfsprekend een cryptografisch random gegenereerde GUID (Globally Unique Identifier) zijn.

Vitens kan vervolgens aan Mailjet doorgeven hoeveel van haar klanten (niet exact wie waneer) via een e-mail van mailjet.com de Vitens website hebben geopend, en zo de rekening daarvoor betalen (indien het contract met mailjet.com een "pay per click" clausule bevat).

10) Conclusie
Naast dat Vitens de AVG overtreedt door, in e-mails waar derden toegang tot hebben, met absurd veel persoonsgegevens te strooien, en kliks via een website van derde partij laat verlopen, heeft dit bericht meerdere kenmerken van een phishing-mail:

1: De aanhef luidt: "Geachte heer Van Straten,". Dit is tegenwoordig normaal bij de meeste phishingmails. Immers, uw en mijn gegevens liggen allang op straat - ook zonder dat u daarvan op de hoogte gesteld wordt [2]. Daarmee is zo'n aanhef verraderlijk misleidend; in steeds meer gevallen levert dit géén bewijs op dat de afzender is wie zij of hij claimt te zijn;

2: Een link naar een mij totaal onbekende server (met een Luxemburgse domeinnaam);

3: Misleiding: suggereren dat je naar www.vitens.nl/meterstand gaat, terwijl dit niet zo is;

4: Dreigen met extra kosten;

5: Tijdsdruk.

[2] https://autoriteitpersoonsgegevens.nl/actueel/ap-waarschuwt-risicos-cyberaanvallen-vaak-veel-te-laag-ingeschat

Ontvangers doen er verstandig aan om dit soort mails onmiddellijk te verwijderen. Zij kunnen natuurlijk contact proberen op te nemen met de geclaimde afzender en om beterschap vragen, maar IK heb geen zin meer in de tijdverspilling, het onbegrip en de effectiviteit (nul) van dat soort pogingen.

11) WVTTK
Hoe zinvol is het nog, met het hierboven beschreven wangedrag van Vitens (**) om internetters erop te wijzen dat zij links in e-mails moeten checken, vóórdat zij daarop klikken, en niet moeten klikken indien die link naar een onbekende website verwijst?

(**) Vitens is niet de enige partij die zo debiel is. Ik ontvang bijvoorbeeld ook e-mails, naar verluidt van eigenhuis.nl -in mijn spambox- met daarin mijn klantnummer en links die beginnen met https://<lang_hexadecimaal_getal>.svc.dynamics.com/[...].

Het is de hoogste tijd dat de AP (Autoriteit Persoonsgegevens) vette boetes gaat uitdelen voor organisaties die de AVG op dergelijke flagrante wijze overtreden, en/of klanten aanleren dat het normaal is om op bespottelijke links te klikken - met als gevolg dat zij nep-mails niet meer van echte kunnen onderscheiden, en zo in phishing leren trappen. Zolang "marketeers", die totaal niet geïnteresseerd zijn in serieuze beveiliging, bijna hersenloos dit soort mails in elkaar blijven flanzen, blijft het - qua security incidenten (inclusief ransomware en online berovingen) - dweilen met de kraan open. En blijft de AVG een farce.

Om te zien met hoe weinig informatie online cybercriminelen, volstrekt niet "domme" mensen, m.b.v. uren durende en langzaam opgebouwde psychologische oorlogsvoering, totaal op het verkeerde been kunnen zetten, lees het verhaal van (de m.i. zeer dappere) journaliste Charlotte Cowles in https://www.thecut.com/article/amazon-scam-call-ftc-arrest-warrants.html. Onnodig veel mensen worden middels oplichting "op afstand" (via de telefoon, SMS en/of via internet - alle communicatievormen) bestolen. Ook als zij hun geld terugkrijgen, kan de psychologische schade enorm zijn - inclusief het denken aan zelfmoord (of erger dan denken).

Ga ervan uit dat cybercriminelen alles van je weten; bedrijven zoals Vitens gooien de door phishers benodigde informatie simpelweg in hun schoot. En onthoud dat je, op afstand, onmogelijk kunt vaststellen of iemand is wie zij of hij zegt te zijn.
Reacties (20)
11-04-2024, 21:36 door Anoniem
Klacht bij Vitens indienen, overigens blijkt uit hun privacy statement dat ze geen functionaris gegevensbescherming hebben (terwijl dat wel zou moeten).
Op die klacht zullen ze ws. de reactie geven 'iedereen doet het zo'. Dat klopt, autoverhuurbedrijven, bol.com, enzovoorts, doen allemaal hetzelfde.

Terwijl ze allemaal IT'ers hebben lopen die kunnen bevestigen wat Hoepman onlangs maar weer eens schreef (https://blog.xot.nl/2024/04/04/raisin-stop-abetting-identity-theft/index.html):
"Email is notoriously insecure. Customer service departments are notoriously insecure."

Gelukkig weet verder niemand dat e-mail onveilig is. En de AP treedt niet op.
11-04-2024, 22:08 door Anoniem
Klanten van Vitens weten heus zelf wel hoe zij heten - en waar zij wonen

- persoonlijke mail maakt het wel makkelijker phishing (geachte klant) te herkennen. En op zich weet ik wel graag over welke aansluiting het gaat (vakantiehuisje of thuis). Dus deze twee zijn wel handig. ;).
11-04-2024, 22:40 door Anoniem
Door Erik van Straten:

Beste Erik. Jij hebt bij vitens aangegeven dat je per mail benaderd wil worden!!

Ik krijg nog steeds netjes de brief en voer zelf in mijn browser de url in en de opname kenmerk enz..

Dus niet janken..

Je kan nog analoog, want bellen kan ook..
11-04-2024, 23:51 door Anoniem
Door Anoniem: (...)
- persoonlijke mail maakt het wel makkelijker phishing (geachte klant) te herkennen. En op zich weet ik wel graag over welke aansluiting het gaat (vakantiehuisje of thuis). Dus deze twee zijn wel handig. ;).

Daar zijn ook andere manieren voor die voorkomen dat de informatie weglekt naar criminelen en ander tuig. Bijvoorbeeld doordat je na het invoeren van het nummer waarmee je bij Vitens inlogt daarna zelf je achternaam en adres moet invoeren.
12-04-2024, 00:18 door Erik van Straten
Door Anoniem: Klacht bij Vitens indienen, [...]
Ik stop hier met het lezen van jouw reactie, want je begint al met schrijven voordat je zelfs mijn Conclusie helemaal gelezen hebt. Daaruit:
Door Erik van Straten: [...]
Ontvangers [...]. Zij kunnen natuurlijk contact proberen op te nemen met de geclaimde afzender en om beterschap vragen, maar IK heb geen zin meer in de tijdverspilling, het onbegrip en de effectiviteit (nul) van dat soort pogingen.
[...]

Door Anoniem: [...]
- persoonlijke mail maakt het wel makkelijker phishing (geachte klant) te herkennen [...]
Ik stop hier met het lezen van jouw reactie, want je begint al met schrijven voordat je zelfs mijn Conclusie helemaal gelezen hebt. Daaruit:
Door Erik van Straten: [...]
1: De aanhef luidt: "Geachte heer Van Straten,". Dit is tegenwoordig normaal bij de meeste phishingmails. Immers, uw en mijn gegevens liggen allang op straat - ook zonder dat u daarvan op de hoogte gesteld wordt [2]. Daarmee is zo'n aanhef verraderlijk misleidend; in steeds meer gevallen levert dit géén bewijs op dat de afzender is wie zij of hij claimt te zijn;
[...]
[2] https://autoriteitpersoonsgegevens.nl/actueel/ap-waarschuwt-risicos-cyberaanvallen-vaak-veel-te-laag-ingeschat
[...]

Door Anoniem: Beste Erik. Jij hebt bij vitens aangegeven dat je per mail benaderd wil worden!!
Beste Anoniem. Wat fijn om te lezen dat jij jouw zaakjes zo fantastisch voor elkaar hebt - waardoor jou niks onverkwikkelijks meer kan overkomen, gefeliciteerd!!

P.S. Voor zover op mijn persoon van toepassing, schat ik de risico's die ik beschrijf in als klein. Die risico's zijn stukken groter voor minder digitaalvaardige mensen (vermoedelijk méér dan één persoon). Bovendien beperkt deze onzalige werkwijze zich niet tot uitsluitend Vitens...
12-04-2024, 03:12 door Erik van Straten
Uit https://www.rtlnieuws.nl/nieuws/nederland/artikel/5444673/het-concrete-gevaar-van-een-datalek-ik-mis-8000-euro:
Van iedere Nederlander zouden wel privégegevens in verkeerde handen zijn gekomen, zegt de instantie [AP]. Het gaat bijvoorbeeld om e-mailadressen en telefoonnummers.

Zie ook "AP: 26.000 datalekmeldingen vorig jaar, maar slachtoffers vaak niet ingelicht" op deze website (https://www.security.nl/posting/837341).
12-04-2024, 03:58 door Anoniem
Goed om te lezen dat meer een hekel aan massale privacy-schending door bedrijven hebben.
Budget Energie gebruikt in hun links (in de email zelf ook) ook een tracker. Deze wordt uiteraard door uBlock Origin geblokkeerd. De pagina van uBO die dan geopend wordt geeft de gehele link weer, met het kopiëren van het laatste gedeelte open je de link zonder tracking (die heeft de website zelf wel weer). Zonder deze link is het overigens onmogelijk om de meterstanden door te geven.
Heb Budget Energie eerder al om uitleg gevraagd en een verzoek tot verwijdering van gegevens bij derde partijen, je krijgt hier geen enkele reactie op.
Dit laatste of een reactie van "wij vinden privacy echt wel heel belangrijk!" is standaard, gestopt met dit soort zaken melden. Ook datalekken laat ik voortaan aan mij voorbij gaan (bedreigd door een gemeente met aangifte, FG wilde blijkbaar zijn fouten zo verbergen). Al heb ik onlangs toch bij Arriva gemeld dat duizenden mailadressen op straat lagen. Duurde meer dan twee weken voordat Arriva hiermee naar buiten kwam. Wacht eigenlijk nog op een boete voor hun van de AP, persoonsgegevens jarenlang zonder reden opslaan is nog altijd niet toegestaan (al maakt de AVG het wel makkelijker).
Resultaat is dat ik zo min mogelijk zaken nog online regel. Als het kan fictieve gegevens en altijd een uniek mailadres dat zonder problemen geblokkeerd kan worden.
12-04-2024, 06:55 door Anoniem
Het heeft een reden dat ik dergelijke toko's geen email address geef. Ze kunnen er niet mee omgaan, getuigen bovenstaande.
12-04-2024, 08:05 door Anoniem
Bekijk deze even langs de AVG.
Je mag data alleen verwerken als daarvoor een verwerkingsgrond is.

Vitens heeft een verwerkingsgrond om al deze gegevens zo door de week heen te verwerken, maar niet om deze specifiek te verwerken in deze mail.

Niet hoeven verwerken=niet mogen verwerken volgens de AVG.

In de mail volstaat het om te melden dat ontvanger weer mag melden, en om welk pand het gaat.
Beste mijnheer Janssen@mail.com, zou u de meterstand weer door willen geven? dat kan op www.vitens.nl/meterstand/uniekepand-identifier-die-niet-idor-zwak-is
Kom je op de site, staat het adres al voor ingevuld, vul je zelf nog wat in, site controleert dat jij het bent. klaaaaar.
12-04-2024, 09:05 door Anoniem
@van Straten;
Bedankt voor het (weer) beschrijven van ook deze risico’ s voor mij en vele mensen als ik.
Herhalen en steeds opnieuw duiden van de risico’ s is daarin belangrijk.
Tenminste voor mij.

Noob
12-04-2024, 10:03 door Anoniem
Door Anoniem: @van Straten;
Bedankt voor het (weer) beschrijven van ook deze risico’ s voor mij en vele mensen als ik.
Herhalen en steeds opnieuw duiden van de risico’ s is daarin belangrijk.
Tenminste voor mij.

Noob
Goede reactie en vertel dit vooral door zodat mensen dit ook echt gaan begrijpen.
En onthoud dat je, op afstand, onmogelijk kunt vaststellen of iemand is wie zij of hij zegt te zijn.
Nog steeds is dit blijkbaar moeilijk te begrijpen. Zolang wij niet door een muur kunnen kijken moet je dit
zo blijven zien.

En die reacties zoals “je kan nog analoog, want bellen kan ook.. en (vakantiehuisje of thuis) “ laat die
vooral niet je leidraad zijn.
12-04-2024, 10:03 door Anoniem
Als je naar https://090i5.mjt.lu/ gaat, zie je o.a.

This sub-domain is used for link redirection and static content hosting.
Mailjet is a real-time Cloud Emailing platform: it is used by thousands of customers for their transactional messages, as well as their newsletters.
If you have received an abusive message containing links that were shortened through this domain, please forward it immediately to abuse@mailjet.com or contact our Support Team so we can take appropriate measures...

Is dus wel van mailjet.com

En op https://www.vitens.nl/meterstanden kun je gewoon de meterstand opgegeven en zelf je persoonlijke gegevens invullen.

Maar ik ben het met Erik eens: de email bevat veel te veel peroonlijke gegevens. En de gebruikte links zijn veel te verwarrend.
12-04-2024, 10:23 door Briolet
Door Anoniem: Klanten van Vitens weten heus zelf wel hoe zij heten - en waar zij wonen

- persoonlijke mail maakt het wel makkelijker phishing (geachte klant) te herkennen. En op zich weet ik wel graag over welke aansluiting het gaat (vakantiehuisje of thuis). Dus deze twee zijn wel handig. ;).

Dat is ook mijn mening. Door het persoonlijk te maken heb je meer vertrouwen dat het geen phishing is. Ik vind ook dat zowel de naam als het meternummer in de mail moet staan. Ik moet ook voor meerdere locaties een meterstand doorgeven, maar contractadres is steeds mijn huisadres.

Voor mij persoonlijk is de afzender het meest belangrijk. Als daar staat "From: Waterbedrijf Vitens <noreply@mail.vitens.nl>",, kijk ik in de header en als de dkim handtekening door onze mailserver goedgekeurd is, weet ik dat de afzender over de private key van vitens beschikt. (Of dat er een cname vanuit virens gemaakt is naar de mailverzender).

"Onder" www.vitens.nl/meterstand zit óók bovengenoemde link (die begint met https://090i5.mjt.lu/); de Vitens-klant wordt hier opzettelijk MISLEID.

Dit vind ik inderdaad zeer storend. Gelukkig kan ik op onze mailserver instellen om hiervoor te waarschuwen. De mailserver (Het mailscanner pakket) voegt in dit geval een in rood een waarschuwing in de mailtekst toe dat de link ergens anders heen gaat dan in de tekst staat.

Aan de positieve kant: Ik kreeg afgelopen december zo'n mail. Ik heb de meterstand 's avonds doorgegeven en de volgende ochtend zat de factuur al in mijn mailbox. Dat deel van de automatisering hebben ze goed voor elkaar.
Door Anoniem: @van Straten;
Bedankt voor het (weer) beschrijven van ook deze risico’ s voor mij en vele mensen als ik.
Herhalen en steeds opnieuw duiden van de risico’ s is daarin belangrijk.
Tenminste voor mij.

Noob

Ook dank van mij aan Erik van Straten.
Ik hoop toch echt dat Erik, nu hij de moeite heeft genomen dit allemaal op te schrijven, dit ook naar Vitens verstuurt als een klacht, met verzoek om reactie en om herstel van een rechtmatige omgang met persoonsgegevens conform de AVG.

M.J.
12-04-2024, 13:12 door Anoniem
Ik heb even mijn oude Vitens emails bekeken

2020

in 2022 en 2021:
https://www.vitens.nl/service/meterstanden/doorgevenemail?no=<klantnr>&postkode<..>&huisnummer<..>&campainnr<..>

En bij "Werkt de bovenstaande knop niet? Ga naar www.vitens.nl/meterstand" enz. staat deze werkende link: "www.vitens.nl/meterstand" en daaronder staat in de tekst wat je moet invullen (registratienummer, postkode = <...>, huisnr.= <...> en de meterstand); alsof ik mijn eigen postkode/huisnummer niet zou weten.

De afzender was: noreplymeterkaart@postnl.vitens.nl
DKIM-Signature: d=postnl.vitens.nl maar de werkelijke verzender was mailzgbaze.mail.webpower.eu
De Reply-To: "Waterbedrijf Vitens" <noreplymeterkaart@postnl.vitens.nl>


In 2023:
https://mailtracking.ccmaas.eu/lnk/.................... < meerdere regels met letters, cijfers en leestekens >

En deze zelfde link staat ook bij "Werkt de bovenstaande knop niet? Ga naar www.vitens.nl/meterstand" enz.

De afzender was: noreply@mail.vitens.nl
DKIM-Signature: d=mail.vitens.nl; de werkelijke verzender was o171.p12.mailjet.com
De Reply-To: noreply@vitens.nl


In 2024:
nog geen mail ontvangen van Vitens
12-04-2024, 22:00 door PJW9779
Leuk uitgespitte analyse. Maar op zich volstrekt niets nieuws.
Dit soort internetpraktijken vinden bij bijna alle overheids- en semi-overheidsorganisaties plaats. En bij allerlei dienstverleners die boven verdenking zouden moeten staan.
Van gemeenten tot uitkeringsinstanties, van pensioenfondsen tot advocatenkantoren, van energiematschappijen tot huisartspraktijken.
Het gros van het clientside-personeel heeft geen benul waar je het over hebt. Zélfs niet als je het uitlegt en met bewijzen aantoont.

Al decennia reden voor mij om dit soort essentiële aangelegenheden zoveel mogelijk via papieren post te doen.
Hoezeer men mij ook smeekt om mijn mailadres "omdat het zo handig is voor u. Toegang tot alle voor u belangrijke informatie op één plek". Niet zelden blijkt die plek een Google- of MS-cloud te zijn, al dan niet in de VS.

Vitens blijft bij mij dus lekker op papier. Alle pensioenfondsen ook. Woningverhuurder ook.
Alle overige organisaties bekijk ik bij electronisch contact met argusogen. Hun cookies, canvas, gecodeerde links, vermomde links.
12-04-2024, 22:42 door Anoniem
Door Erik van Straten:

8<

Door Anoniem: Beste Erik. Jij hebt bij vitens aangegeven dat je per mail benaderd wil worden!!
Beste Anoniem. Wat fijn om te lezen dat jij jouw zaakjes zo fantastisch voor elkaar hebt - waardoor jou niks onverkwikkelijks meer kan overkomen, gefeliciteerd!!

Niks overkomen, zal ik nooit zeggen, maar ik acht me idd ook redelijk veilig achter mijn linux server met dicht getimmerde firewall, en op mijn linux flappie met TOR browser, met script blockers e.d., om bij Vitens mijn gegevens door te geven.

P.S. Voor zover op mijn persoon van toepassing, schat ik de risico's die ik beschrijf in als klein. Die risico's zijn stukken groter voor minder digitaalvaardige mensen (vermoedelijk méér dan één persoon).

Alleen die mensen zullen dit nooit lezen, helaas.

Bovendien beperkt deze onzalige werkwijze zich niet tot uitsluitend Vitens...

Daarom blijf ik zo veel mogelijk mijn zaakjes analoog regelen. Wat eigenlijk iedereen zou moeten doen! Nog beter zou weer terug zijn naar plain txt mail. Dan zijn we iig snel af van die url verkorters / relay zooi.

Krijg ook al jaren, elke maand post van A.S.R., dat ze ivm met papier besparing, mijn mail adres willen hebben. Nope. Je zou denken, omdat ik dat niet geef, ze de moed wel eens opgeven, maar nee..

Ook de strijd al eens aangegaan met energie bedrijf Engie. 15 script om mijn meterstanden te kunnen doorgeven. Nu een telefoon nummer gevonden om mijn meterstanden analoog door te geven.. Ze kunnen me wat!

Die anoniem :)
13-04-2024, 10:35 door Anoniem
Door Anoniem:
Door Erik van Straten:

P.S. Voor zover op mijn persoon van toepassing, schat ik de risico's die ik beschrijf in als klein. Die risico's zijn stukken groter voor minder digitaalvaardige mensen (vermoedelijk méér dan één persoon).

Alleen die mensen zullen dit nooit lezen, helaas.
Misschien daarom juist extra belangrijk dat wij, die het wél lezen en begrijpen, hierop reageren zodat deze bedrijven hun zaken beter regelen!
13-04-2024, 13:50 door Anoniem
Even het vinkje weggehaald bij Vitens

Een druppel op een gloeiende plaat, ik weet het
En het zal ze wel geen bal kunnen schelen.

Er zal wel een bean counter op het idee komen om dit kosten verhogende effect (briefkosten) voor Vitens af te dekken met een boete (verhoging van de rekening)
Denk niet dat de intelligentie op een dusdanig hoog niveau is bij een gemiddelde it afdeling om een beter email bericht te sturen.
Zou wel netter zijn.
13-04-2024, 23:18 door Anoniem
Door Anoniem: Even het vinkje weggehaald bij Vitens

Een druppel op een gloeiende plaat, ik weet het
En het zal ze wel geen bal kunnen schelen.

Er zal wel een bean counter op het idee komen om dit kosten verhogende effect (briefkosten) voor Vitens af te dekken met een boete (verhoging van de rekening)
Denk niet dat de intelligentie op een dusdanig hoog niveau is bij een gemiddelde it afdeling om een beter email bericht te sturen.
Zou wel netter zijn.

Dat kan ik niet meer, omdat ik geen smartphone heb. Mijn mails waarin ik vraag hoe ik wel weer kan inloggen op mijn.vitens zijn nooit beantwoord door Vitens. Vitens is een verschrikkelijk arrogant bedrijf geworden in de laatste jaren.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.