Eigenlijk werkte ik al een paar dagen aan een ander artikel over de toenemende onbetrouwbaarheid van internet. Toen ik echter vanochtend mijn e-mail checkte en de mail van bunq zag, vond ik dat het volgende mij eerst van mijn hart moet.


Uit https://opgelicht.avrotros.nl/alerts/artikel/wees-gewaarschuwd-voor-bunq-sms-over-valideren-rekening-door-veiligheidsupdate/ van 14 maart:
AARRGGHH!!

Nb. "links" worden ook URL's, weblinks of webadressen genoemd.

Enkele van zeer vele voorbeelden van phishing-sites *met* bunq in de domeinnaam (op slechts één server in Rusland, bron: https://www.virustotal.com/gui/ip-address/91.215.85.79/relations - Nb. ik heb hierboven en hieronder steeds '.' (punt) door '·' vervangen om het onbedoeld openen van phishingpagina's te voorkómen):

Eveneens uit bovengenoemde "Opgelicht" pagina:


Gisteren ontving ik de volgende e-mail:

Alle links beginnen met: https://clicks.bunq.com/f/a/
- in alle gevallen gevolgd door telkens vier onleesbare reeksen van cijfers, kleine letters, hoofdletters, '-', '_' en '~':

[1] <*a>~~/<*1>~/<*2>-<*g>~~
[2] <*b>~~/<*1>~/<*2>-<*h>~~
[3] <*c>~~/<*1>~/<*2>-<*i>~~
[4] <*d>~~/<*1>~/<*2>-<*j>~~
[5] <*e>~~/<*1>~/<*2>-<*k>~~
[6] <*f>~~/<*1>~/<*2>-<*l>~~

Waarbij geldt (gebruik makend van de regex notatie):

<*1>: 7x [a-zA-Z0-9\_]
<*2>: 5x [a-zA-Z0-9\_]
<*a> t/m <*f>: 21x [a-zA-Z0-9\_\-]
<*g> t/m <*l>: 152x [a-zA-Z0-9\_]


1) Volgens opgelicht.avrotros.nl moet je er op letten of een domeinnaam het woord "bunq" bevat om te weten of het om een legitieme website van bunq bank gaat. Zoals ik bovenaan laat zien is dat extreem misleidende informatie.

2) Eveneens volgens opgelicht.avrotros.nl zou bunq in maart hebben geadviseerd om "om geen links te volgen als je een bericht ontvangt dat van bunq afkomstig lijkt te zijn.

Hoezo ben je dan, als bunq, niet compleet hersenloos bezig als je zelf mails verzendt met daarin links waar de ontvanger op zou moeten klikken? Daar suggereert bunq dan toch mee dat het eerdere advies een grapje was of zo, in elk geval dat dit niet serieus genomen hoeft te worden?

3) Bunq stuurt mij e-mails waarin de aanhef luidt:

Hey E,

Een cybercrimineel die mijn e-mail adres kent (noodzakelijk om mij te kunnen mailen) kan doodeenvoudig die aanhef namaken - zelfs zonder mijn volledige naam te kennen. Vanzelfsprekend biedt het opnemen van mijn volledige naam achter "Hey " totaal geen garantie dat het niet om een phishing mail zou gaan, want als ik zelf e-mails verstuur luidt de afzender meestal iets als:

"Erik van Straten" <E(rest door Erik verwijderd)@dom.tld

Bovendien belanden bij het alsmaar toenemende aantal datalekken, zelden uitsluitend e-mail adressen "op straat".

Echter, in veel (stompzinnige) online adviezen die beschrijven hoe internetters phishing-berichten kunnen herkennen, wordt een onpersoonlijke aanhef als één van de criteria genoemd. Dat is puur op het verkeerde been zetten dus, net als punt 1 hierboven. Dat neemt echter niet weg dat die waarschuwing vaak genoemd wordt, en bunq juist door hier van af te wijken het zichzelf en haar klanten moeilijker maakt om nep van echt te kunnen onderscheiden.

4) Bunq verstuurt dus e-mails met daarin links naar https://clicks.bunq.com - waarbij de rest van de URL nietszeggende wartaal bevat. Daarbij wordt de ontvanger uitdrukkelijk uitgenodigd om, liefst zo snel mogelijk, op één van de links te klikken (in plaats van: "open uw bunq app en check news" o.i.d.). Hoe wil bunq dat klanten die links interpreteren? Zijn URL's die grotendeels onleesbaar zijn, juist veilig of juist niet? Of maakt dat niets uit?

5) Om nep van echt te kunnen onderscheiden is het A: aanbevolen c.q. N: noodzakelijk dat (en/en):

• N: internetters beseffen dat pagina's op een nepsite volkomen identiek kunnen zijn aan die op de echte site, en zij daarom altijd als eerste de link moeten checken;

• A: internetters links analyseren vóórdat zij erop klikken ("slechts" aanbevolen omdat een link naar een URL-verkorter zelden iets zegt);

• N: (alternatief en sowieso altijd doen) internetters de link in de adresbalk analyseren na op een link te hebben geklikt (of op andere wijze een webpagina in een browser te hebben geopend);

• N: internetters weten dat uitsluitend nadat een https-verbinding tot stand is gekomen, zij er redelijk zeker van kunnen zijn dat de browser een (niet te kapen en niet af te luisteren) versleutelde verbinding heeft met een server waarvan de domeinnaam in de adresbalk van de browser wordt getoond;

• N: internetters weten hoe je herkent dat er sprake is van een https-verbinding;

• N: internetters weten wat een domeinnaam is en welk deel van een link de domeinnaam bevat;

• N: internetters weten hoe zij, in de browser die zij op dat moment gebruiken, een te lange domeinnaam voor de adresbalk (vooral op smartphones) toch in zijn geheel kunnen inspecteren (één van de trucs van phishers is het bewust gebruikmaken van zeer lange domeinnamen);

• N: internetters weten dat domeinnamen hiërarchisch zijn opgebouwd en dat de "segmenten" daarin van rechts naar links moeten worden gelezen;

• A: internetters weten dat servers met een .nl TLD (Top Level Domein) vaak, maar niet in alle gevallen, betrouwbaarder zijn dan met andere TLD's (zoals .me, .xyz maar ook .com) o.a. omdat niet iedereen op aarde al te eenvoudig een .nl-domeinnaam kan registreren;

• N: internetters precies weten wat het verschil is tussen enerzijds een '.' (punt) en anderzijds elk ander karakter (letters, cijfers en eventuele andere leestekens dan '.') in een domeinnaam;

• A: internetters weten dat voor DNS geldige domeinnamen, naast de cijfers '0'..'9', uitsluitend uit kleine letters 'a'-'z' en '-' (minnetje) mogen bestaan;

• A: internetters zich bewust zijn van optische trucjes zoals 'rn' versus 'm', 'vv' versus 'w', '0' versus 'O', 'l' versus 'I' en dergelijke;

• A: internetters zich bewust zijn van het bestaan van IDN's (International Domain Names), een visuele truc gebruikt in webbrowsers om miljoenen verschillende karakters (o.a. Chinese en Cyrillische tekens) mogelijk te maken in virtuele domeinnamen. En dat IDN's soms worden misbruikt om internetters te foppen met lijkt-op domeinnamen met daarin bijvoorbeeld een 'ï' in plaats van een 'i' (er zijn veel meer mogelijkheden, zelfs volstrekt onzichtbare);

• A: internetters zich er bewust van zijn dat een link die begint met iets als
https://nam02.safelinks.protection.outlook.com/?url=
helemaal niets hoeft te zeggen over hoe veilig zo'n link is. Helaas bestaan er allerlei vormen van dit soort redirects, waardoor het verstandig is om in elk geval de link in de adresbalk van de browser te checken nadat je op een link hebt geklikt;

• N: internetters weten dat een vertrouwd https servercertificaat noodzakelijk is voor een betrouwbare https-verbinding en dus certificaat-getelateerde waarschuwingen of foutmeldingen nooit mogen worden genegeerd;

• N: internetters weten dat een vertrouwd https servercertificaat (zonder waarschuwingen en/of foutmeldingen) uitsluitend de identiteit van de server bevestigt - en niets anders dan dat. En dus ook helemaal niets zegt over de betrouwbaarheid van de eigenaar van de server of ieder ander die daar toegang tot heeft (of, ongeautoriseerd, verkrijgt);

• N: internetters er, elke keer opnieuw, geheel zelf verantwoordelijk voor zijn om vast te stellen dat de domeinnaam (zoals getoond in de adresbalk van de browser) van de bedoelde organisatie is - voordat zij informatie in pagina's op die site vertrouwen (afgeleid van het vertrouwen dat zij in de eigenaar van die domeinnaam hebben) en/of zelf vertrouwelijke informatie in pagina's op die website invoeren;

• N: Er nauwelijks hulpmiddelen en/of organisaties zijn die hen daar betrouwbaar bij kunnen helpen (een uitzondering zijn organisaties als https://thuiswinkel.org - mits je checkt dat de domeinnaam van een organisatie daadwerkelijk bij hen als betrouwbaar geregistreerd is).

Ervan uitgaan dat de bovenstaande kennis, op z'n minst de noodzakelijke, gemeengoed is, is m.i. ongelofelijk naïef. De meeste internetters hebben echt totaal geen idee - waarmee dit, naast in het algemeen in oplichting trappen, wellicht de belangrijkste oorzaken zijn van het in online oplichting trappen

6) Erg technisch: indien de ontvanger van zo'n e-mail toevallig weet hoe doelmeinnamen zijn opgebouwd, moeten zij kennelijk denken dat de server achter de subdomeinnaam clicks.bunq.com tevens van bunq is.

Dat is waarschijnlijk niet het geval; meestal wordt het verzenden van bulk-e-mails uitbesteed aan een derde partij die ALLES van je wil weten. Het onleesbare deel van de links in de e-mail bevat uniek identificerende informatie over de ontvanger van de e-mail, alsmede (opzettelijk verhuld) de doelsite en pagina waar de browser van de link-klikker naar zal worden doogestuurd - doch niet voordat er zoveel mogelijk waardevolle en verkoopbare gegevens van die link-klikker zijn verzameld door de derde partij.

Volgens https://isc.sans.edu/tools/dnslookup.html kun je, in Nederland, via die domeinnaam clicks.bunq.com op vier verschillende servers terechtkomen, met één van de volgende IP-adressen:
• 18.245.60.126
• 18.245.60.2
• 18.245.60.97
• 18.245.60.122
Die IP-adressen zijn (volgens o.a. https://isc.sans.edu/ipinfo/18.245.60.126) door Amazon toevertrouwd aan de CDN-provider "cloudfront.net". Dat is ook te zien aan het https servercertificaat van clicks.bunq.com: hoewel daar geen andere identificerende informatie over de eigenaar van die domeinnaam in te vinden is, is dat certificaat uitgegeven door Amazon (de slager die diens eigen vlees keurt).

Dat certificaat is te zien in o.a. https://www.virustotal.com/gui/domain/clicks.bunq.com/details - een pagina waarin onder de sectie Whois Lookup nagenoeg alle relevante informatie is vervangen door "REDACTED FOR PRIVACY" (tel uit uw verlies, uw bank is zoveel mogelijk anoniem).

Als ik echter bunq.com opzoek op de eerder genoemde isc.sans.edu site, vind ik voor Nederland:
• 35.71.142.77
• 52.223.52.2
Beide ook gehost bij Amazon, maar zonder CDN en met de standaarddomeinnaam awsglobalaccelerator.com.

In https://www.ssllabs.com/ssltest/analyze.html?d=bunq.com&latest zie ik diezelfde IP-adressen terug:
• 35.71.142.77 a0b1d980e1f2226c6.awsglobalaccelerator.com
• 52.223.52.2 a0b1d980e1f2226c6.awsglobalaccelerator.com

In https://www.virustotal.com/gui/domain/bunq.com/details zie ik dat bunq.com een DV (Domain Validated) certificaat van Let's Encrypt gebruikt (in plaats van eentje van Amazon). Ook hier is de meeste "whois" informatie onleesbaar gemaakt (*u* moet natuurlijk wél zoveel mogelijk met de billen bloot).

Er bestaat ook een opmerkelijk verschil tussen:
• https://internet.nl/site/clicks.bunq.com/2889400/
en:
• https://internet.nl/site/bunq.com/2889454/

Die eerste heeft HSTS niet (goed) geconfigureerd, en dat vind ik not done voor een bankwebsite.

Nb. zolang alle links in mails expliciet met https:// beginnen, is geen HSTS-support geen probleem. Maar één keer een foutje (één of meer links die beginnen met http://clicks.bunq.com/ of, geheel zonder protocol-aanduiding, dus clicks.bunq.com/) kan er, in specifieke gevallen, al toe leiden dat de verbinding naar een website van een cybercrimineel wordt omgeleid. HSTS is geen panacea, maar het niet configureren is stom, laks en nergens voor nodig.

Er zijn dus meerdere aanwijzingen dat de servers achter clicks.bunq.com niet door bunq zelf worden gehuurd, maar door een andere partij (een bulk-e-mailer). Maar bewijs daarvoor is zó schaars dat ik dat niet snel kon achterhalen. Sowieso is er sprake van een andere derde partij (zo je wilt, vierde), namelijk Amazon. Ook die club zul je moeten vertrouwen als je "bunqiert".


De kans om in oplichting op internet te trappen wordt steeds groter voor doorsnee internetters, doordat, in elk geval:

• Steeds meer transacties online plaatsvinden en alternatieve mogelijkheden verdwijnen;

• Het aantal cybercriminelen voortdurend lijkt te stijgen en velen professionaliseren (het zijn zelden nog hoodie-dragende puistenkoppen die naar vallende groene cijfers en letters op zwarte schermen turen, doch geöliede organisaties);

• Voorzieningen (tools en online "cloud"-diensten) voor cybercriminelen als paddenstoelen uit de grond schieten;

• De pakkans voor veel cybercriminelen verwaarloosbaar laag is;

• Het voor internetters steeds moeilijker wordt om nep van van echt te kunnen onderscheiden;

• Big tech, maar ook kleinere hosters en CDN-providers, meeverdienen aan cybercrime en dáárom de groei in de toegestane anonimiteit van servereigenaren accepteren. Én zo meewerken aan het, voor doorsnee internetters, opzettelijk lastiger maken om online nep van echt te kunnen onderscheiden;

• Organisaties, waaronder banken, de meest absurde dingen doen waarvan zijzelf, of anderen, claimen dat zij dat "natuurlijk" nooit zouden of zullen doen;

• "Behulpzame" organisaties ongelofelijk stomme adviezen geven;

• Organisaties steeds meer verantwoordelijkheden naar individuele internetters verschuiven, terwijl velen van die internetters hun schouders ophalen (als zij niet "lekker" meedoen aan victim-blaming) zolang zij zélf geen slachtoffer worden - waarbij, m.i., de meesten van hen hun kennis en de ondersteuning door o.a. virusscanners enorm overschatten.

Ongetwijfeld besef ik vanavond dat ik nog meer relevante aspecten ben vergeten te benoemen. Anyway, niet alleen de offline maatschappij verruwt, online gaat dat veel harder.

Nog even los van de datalekken die ons steeds meer om de oren vliegen, en BSOD'ende Microsoft meuk: echt een betrouwbare context (not) om eID's (zoals EDIW/EUDIW) en systemen zoals EHDS in te introduceren. Ik voorspel extreem veel slachtoffers - bij afgebouwde (of überhaupt nooit gerealiseerde) vangnetten.

Wakker worden mensen!