image

PostNL komt met anti-phishingcode om phishingmails te herkennen

woensdag 5 juni 2024, 17:01 door Redactie, 19 reacties

PostNL heeft een anti-phishingcode geïntroduceerd waarmee klanten phishingmails kunnen herkennen. Klanten moeten de code zelf bedenken en zullen die vervolgens in elke e-mail van PostNL terugzien. "Zo zie je direct of een mail écht van PostNL is", aldus het bedrijf. De code is een zelfbedacht woord of een korte zin die via het PostNL-account is in te stellen.

"Dat kan van alles zijn: de naam van een huisdier, een favoriet gerecht, een vakantiebestemming of een leuke herinnering. Ze zien dit woord of deze zin dan bovenaan elke mail van PostNL staan. Zo herkennen ze heel makkelijk dat de mail écht van PostNL is, en dus betrouwbaar", legt het bedrijf uit. PostNL stelt dat phishingmails steeds echter lijken, waardoor mensen ook aan berichten van PostNL kunnen gaan twijfelen.

"PostNL is een van de eerste grote bedrijven die de anti-phishingcode introduceert. Met deze slimme oplossing bevorderen we de betrouwbaarheid en veiligheid van onze communicatie. Daarmee beschermen we onze klanten en hun gegevens", zo stelt Lex Overmars, directeur consument bij PostNL.

Reacties (19)
05-06-2024, 17:11 door Anoniem
Ja leuk idee. Totdat de database met anti-phishing codes uitlekt natuurlijk. Gelukkig houdt iedereen de naam van z'n huisdier of favoriete gerecht goed geheim!
05-06-2024, 17:14 door Anoniem
Ik zie twee problemen:
1) schaalbaarheid: je moet met iedere partij (PostNL, maar ook bv. je bank) een code afstemmen: is niet praktisch, want hoe weet je nu welke code bij welk bedrijf hoort? Uit je hoofd leren? Als je het op je telefoon of laptop hebt staan, kan een hacker er weer achter komen (en hebben we een password manager nodig)erachter komen. En als je steeds dezelfde code gebruikt, tja, welke zekerheid heb je dan?
2) als zo'n bedrijf gehacked wordt, worden dat soort codes ook verhandeld. Dan krijg je phishing mailtjes met de juiste code, die toch fout zijn...
05-06-2024, 17:24 door Anoniem
Ik heb ook een tip, kies een fatsoenlijke mail provider die gewoon DNSSEC en DANE ondersteund ipv @#$Microsoft https://internet.nl/mail/postnl.nl/1259056
05-06-2024, 17:40 door Anoniem
Door Anoniem: Ik heb ook een tip, kies een fatsoenlijke mail provider die gewoon DNSSEC en DANE ondersteund ipv @#$Microsoft https://internet.nl/mail/postnl.nl/1259056

Precies! Je kunt idd beter een fatsoenlijke provider nemen. Eigenlijk zouden die providers gewoon gedwongen moeten worden om de juiste standaarden te implementeren en geen e-mail te accepteren van ongeauthenticeerde MTA's. Als dan ook nog de backbone providers de juiste filtering youden implementeren (moet wel gezamelijk) dan wordt dit verkeer al bij de bron gestopt.
Technische mogelijkheden genoeg maar we volgen ze helaas niet (idem in mobiele netwerken waar we ook berichten van foute sms-c systemen blijven accepteren).
05-06-2024, 18:08 door Anoniem
Is zeker niet nieuw bij PostNL, want de anti-phising code is al een tijdje actief.
Ook bij de accounts van de Fritzbox (AVM) is overigens een anti-phishing code in te stellen.
05-06-2024, 18:09 door Nescio
Het is ook nooit goed volgens sommige hier,maar zie het gewoon als een extra barrière i.p.v.zonder deze methode inloggen.
05-06-2024, 18:11 door Anoniem
Door Anoniem: Ja leuk idee. Totdat de database met anti-phishing codes uitlekt natuurlijk. Gelukkig houdt iedereen de naam van z'n huisdier of favoriete gerecht goed geheim!
Beter is het om de code even te checken bij HIBP.
https://haveibeenpwned.com/Passwords
05-06-2024, 18:20 door Anoniem
Kwam er achter dat mijn anti-phishing code in de database van Have I been Pwned werd gevonden.
Misschien toch even een code kiezen die de hackerswereld nog niet kent...
05-06-2024, 18:27 door Anoniem
Dit probleem voor e-mail was al in de jaren negentig opgelost door ene Phil Zimmermann in de vorm van PGP. En in alle eerlijkheid, zijn oplossing van clear signing was beter als dit. Één public key publiceren op PostNL.nl en deze gebruiken voor iedereen die een pakketje gaat ontvangen. In de linux en security wereld is dit ook heel gebruikelijk.
05-06-2024, 18:53 door Anoniem
Ik denk niet dat oudere mensen dit leuk gaan vinden, dan word het nóg ingewikkelder voor ze, maar aan de andere kant is het wel een stuk veiliger.
05-06-2024, 21:12 door Anoniem
Het gaat al fout bij 'postNL account'. Waarom zou ik in vredesnaam een account hebben bij een bedrijf wat pakketjes en brieven berzorgt??
05-06-2024, 22:35 door Anoniem
Door Anoniem: Het gaat al fout bij 'postNL account'. Waarom zou ik in vredesnaam een account hebben bij een bedrijf wat pakketjes en brieven berzorgt??

Precies dat. Alleen is het zo jammer dat sommige bedrijven je mail adres doorgeven aan dat derderangs postnl.
06-06-2024, 01:59 door Anoniem
Door Anoniem: Dit probleem voor e-mail was al in de jaren negentig opgelost door ene Phil Zimmermann in de vorm van PGP. En in alle eerlijkheid, zijn oplossing van clear signing was beter als dit. Één public key publiceren op PostNL.nl en deze gebruiken voor iedereen die een pakketje gaat ontvangen. In de linux en security wereld is dit ook heel gebruikelijk.

Zimmermann gebruikt zelf geen pgp meer ivm omslachtig.
06-06-2024, 07:56 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb ook een tip, kies een fatsoenlijke mail provider die gewoon DNSSEC en DANE ondersteund ipv @#$Microsoft https://internet.nl/mail/postnl.nl/1259056

Precies! Je kunt idd beter een fatsoenlijke provider nemen. Eigenlijk zouden die providers gewoon gedwongen moeten worden om de juiste standaarden te implementeren en geen e-mail te accepteren van ongeauthenticeerde MTA's. Als dan ook nog de backbone providers de juiste filtering youden implementeren (moet wel gezamelijk) dan wordt dit verkeer al bij de bron gestopt.
Technische mogelijkheden genoeg maar we volgen ze helaas niet (idem in mobiele netwerken waar we ook berichten van foute sms-c systemen blijven accepteren).
Leuk die technische mogelijkheden die alleen maar beschermen tegen domeinvervalsing. Dus ik maak een domein aan postnI-mail.nl, Daarop implementeer ik de juiste standaarden waardoor mijn mails worden geaccepteerd door de providers en voila: een mooie phishing campagne. Of ik hoef niet eens dat domein te gebruiken. pietjeiscool.nl is ook prima, als m'n FROM: maar zo is opgemaakt: PostNL <postnl@pietjeiscool.nl>. Dat deel van de ontvangers die een mailclient gebruikt waarbij het e-mail adres standaard niet wordt weergegeven heeft het niet in de gaten, en dat is je doelgroep ook. De domme gebruiker, die overigens ook niet zo'n phishingcode gaat instellen.

Hoe meer wij het phishers moeilijk maken, hoe meer de phisher z'n best doet om het allemaal echt te laten lijken. Met ChatGPT verleidelijke teksten genereren in foutloos nederlands. En gebruik maken van https://obfuscator.uo1.net/ om teksten ongezien de filters te laten passeren.

Het verschil tussen nep en echt is soms niet te onderscheiden, en als we argeloze gebruikers beschermen tegen 99% van de phishingmails, dan komt er een moment dat er wel een phishingmail doorkomt. Dan is de argeloze gebruiker niet getraind om de phishingmail te herkennen en klikt op de link in het mailtje.
06-06-2024, 08:33 door Briolet
Door Anoniem: …zijn oplossing van clear signing was beter als dit. Één public key publiceren op PostNL.nl en deze gebruiken voor iedereen die een pakketje gaat ontvangen. In de linux en security wereld is dit ook heel gebruikelijk.

Die public key staat al lang op PostNL.nl. Maar in dit geval gebruikt voor het signeren via de dkim handtekening. Ik kijk altijd naar die ondertekening van belangrijke mail. Jammer dat dit niet publieksvriendelijker gemaakt wordt door mailcliënten.

Bij GMail in de webversie was dit een tijdje te zien via een pulldown menu bij de afzender. Maar blijkbaar begrepen mensen dit niet en heeft google besloten dit weer weg te halen i.p.v. te investeren in betere voorlichting hierover.
06-06-2024, 08:50 door Anoniem
Waarom dit houtje-touwtje systeem? SPF + DKIM + DMARC en een reject policy helpen toch veel beter, zonder dat de gebruiker door hoepeltjes moet springen?
06-06-2024, 10:00 door Anoniem
Door Briolet:
Door Anoniem: …zijn oplossing van clear signing was beter als dit. Één public key publiceren op PostNL.nl en deze gebruiken voor iedereen die een pakketje gaat ontvangen. In de linux en security wereld is dit ook heel gebruikelijk.

Die public key staat al lang op PostNL.nl. Maar in dit geval gebruikt voor het signeren via de dkim handtekening. Ik kijk altijd naar die ondertekening van belangrijke mail. Jammer dat dit niet publieksvriendelijker gemaakt wordt door mailcliënten.

Bij GMail in de webversie was dit een tijdje te zien via een pulldown menu bij de afzender. Maar blijkbaar begrepen mensen dit niet en heeft google besloten dit weer weg te halen i.p.v. te investeren in betere voorlichting hierover.
Het feit dat een DKIM handtekening klopt, zegt alleen iets over de authenticiteit van de afzender. Daarbij moet je dus ook de afzender zelf controleren. Als mailclients een groen vinkje zetten als mailtje een goede handtekening heeft, kan een verkeerd gevoel van veiligheid geven. Want een groene vinkje op zich nog steeds niet of iets phishing is, of echt. Dat zou je dan wel moeten koppelen aan bekende veilige domeinen.
10-06-2024, 11:31 door Anoniem
Door Nescio: Het is ook nooit goed volgens sommige hier,maar zie het gewoon als een extra barrière i.p.v.zonder deze methode inloggen.

Het is natuurlijk helemaal prima dat ze iets proberen maar dit is alles behalve waterdicht. Veel mensen gooien ook alles gewoon op sociale media waardoor dit soort codes relatief eenvoudig goed te gokken valt.
10-06-2024, 15:48 door Anoniem
Door Anoniem:
Door Nescio: Het is ook nooit goed volgens sommige hier,maar zie het gewoon als een extra barrière i.p.v.zonder deze methode inloggen.

Het is natuurlijk helemaal prima dat ze iets proberen maar dit is alles behalve waterdicht. Veel mensen gooien ook alles gewoon op sociale media waardoor dit soort codes relatief eenvoudig goed te gokken valt.

Je moet dus ook niets gebruiken waar je nu over praat. Een prima alternatief voor de naam van je huisdier is je eerste woonadres. Daar heeft niemand het over. Dus straatnaam en huisnummer waar je als baby woonde. En mocht dat echt nog hetzelfde zijn als waar je nu woont: gebruik de naam van je kleuterjuf of iets dergelijks.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.