Stel, u zit op een terrasje in de zon. Krantje erbij, kopje koffie. Ineens komt er iemand naast u zitten. In gebroken Nederlands vertelt deze persoon dat er onderhoudswerkzaamheden zijn bij de bank waar u een rekening heeft, en dat men bezig is aan een inhaalslag op het gebied van klantvriendelijkheid. De persoon staat u vriendelijk te woord, draagt zo te zien nette kleding en u ziet zelfs het logo van de bank op de revers van het jasje. Maar geen zorgen, zo hoort u, als u even uw bankpasje geeft en uw bijbehorende pincode op een formuliertje invult, wordt alles voor u geregeld. U heeft daarna zelfs een hogere kredietlimiet!

Raar? Natuurlijk, hier zou niemand intrappen. Maar toch gebeurt dit, dag in dag uit, met klanten van XS4ALL via hun e-mailadres. Dit verschijnsel wordt “phishing” genoemd, en een mailtje van deze aard een “phish”. Een niet aflatende stroom van dit soort mailtjes komt dagelijks voorbij, met de mededeling dat de klant even zijn of haar inloggegevens moet geven opdat de dienstverlening verbeterd kan worden. Vrijblijvend is het niet, want, zo vermeldt het bericht, indien de klant dit niet binnen een bepaalde termijn doet, wordt het account beëindigd. Of men dreigt dat hij of zij alle mail zal kwijtraken.

Hebt u een ‘phish’ gevangen of niet?
Het spreekt vanzelf dat deze berichten vals zijn, en niet afkomstig zijn van XS4ALL. Maar hoe kun je dat, als XS4ALL-klant, nu zo zeker weten? Per slot van rekening is het heel goed mogelijk dat er bepaalde onderhoudswerkzaamheden nodig zijn. Het is misschien zelfs niet ondenkbaar dat dienstverlening noodgedwongen voor korte periodes onderbroken wordt. Toch zijn er kenmerken die u vertellen dat een bericht niet afkomstig is van XS4ALL, maar van criminelen met kwade bedoelingen. Ik zet deze kenmerken graag even op een rij.

1. Taal en toonzetting
Een phish is vrijwel zonder uitzondering gesteld in gebrekkig Nederlands (soms zelfs nemen de afzenders niet eens de moeite om het bericht in het Nederlands te formuleren). Zinnen lopen niet, er worden spel- en stijlfouten gemaakt, en de toonzetting is onbeholpen. Laat voor de grap eens een stuk tekst vertalen door bijvoorbeeld Google translate in een (willekeurige) andere taal, en laat het resultaat dan direct weer terugvertalen naar het Nederlands. Ik heb, als voorbeeld, de alinea hierboven (“Het spreekt vanzelf …”) via Google automatisch vertaald in het Engels, en die tekst weer terugvertaald naar het Nederlands. Dit is het resultaat:

“Uiteraard, deze berichten zijn vals, en natuurlijk niet komen van XS4ALL. Maar hoe kun je, als abonnee, nu zo zeker? Immers, het is heel goed mogelijk dat Inderdaad, moeten sommige onderhoudswerkzaamheden worden uitgevoerd eden. Het is niet ongewoon voor gedwongen dienst korte periodes kan worden onderbroken.”

Maar blijf opletten, want helaas zien wij een trend dat het Nederlands in de phishes steeds beter wordt.

2. Het vragen om uw gegevens (gebruikersnaam, wachtwoord)
Het is natuurlijk raar dat wij om een gebruikersnaam zouden vragen. Dat is nu precies de naam waaronder wij u kennen, dus waarom zouden we er nog om vragen? Daarnaast zal XS4ALL nooit om uw wachtwoord vragen.

3. De adressering
Aan wie is de phish eigenlijk gericht? Technisch is het mogelijk om berichten af te leveren bij andere e-mailadressen dan die u ziet in het Aan:-veld (of To:). Als XS4ALL communiceert met een individuele abonnee dan zal de mail altijd individueel en rechtstreeks gericht zijn aan het e-mailadres dat bij ons als contactadres staat geregistreerd. Daarnaast – van wie is de mail afkomstig? Ook het From:-adres kan een aanwijzing bevatten dat de afzender niets met XS4ALL te maken heeft. Klik op ‘beantwoorden’ of ‘reply’ en u ziet naar welk adres uw antwoord zou gaan. Zo checkt u, zonder dat u iets verstuurt, welk adres er eigenlijk achter de (mogelijke) phish zit, en hoe geloofwaardig dit is.

4. Zit de URL in het domein van XS4ALL?
Vaak wordt de ontvanger van een phish gevraagd om door te klikken op een in het mailtje genoemde URL. Die URL, en dus het adres dat na doorklikken in de navigatiebalk van de browser verschijnt, zal altijd moeten eindigen op xs4all.net of xs4all.nl. Is dat niet het geval, dan heeft u (onbedoeld) contact gezocht met een website die niet door ons wordt aangeboden.

Phishing is lucratief
De vraag is natuurlijk waarom criminelen deze phishes versturen. Het antwoord is simpel: het is de wet van de grote getallen. Het is relatief eenvoudig om vele duizenden (soms meer dan 100.000) mailtjes te versturen naar een complete groep gebruikers achter een bepaald domein. Zelfs als maar één op de duizend ontvangers ingaat op de phish, bestaat de “buit” al uit een aanzienlijk aantal gedupeerden. Met de verzamelde gegevens kan -simpelweg- geld worden verdiend. Denk aan de inhoud van mailboxen, waar aanknopingspunten te vinden zijn voor verdere identiteitsfraude. De criminelen misbruiken de gestolen informatie of verhandelen deze, hetgeen uiteindelijk grof geld oplevert.

Phishing ook via andere kanalen
De manier om mensen onder valse voorwendselen te benaderen blijft niet beperkt tot rare e-mail. Recentelijk hebben we gemerkt dat klanten van XS4ALL ook telefonisch benaderd worden door figuren die zich uitgeven voor medewerkers van XS4ALL. Het slachtoffer wordt dan op een listige manier verleid om op zijn of haar computer bijvoorbeeld in te loggen (met uiteraard het hardop spellen van gebruikersnaam en wachtwoord) of het navigeren naar schimmige websites. Uiteraard passen dergelijke praktijken niet bij XS4ALL: wij zullen u nooit op eigen initiatief telefonisch benaderen om samen met u via de telefoon “problemen op telossen” op uw computer of internetapparatuur.

Wat doet XS4ALL?
XS4ALL probeert te voorkomen dat dergelijke mails onze klanten bereiken. Door te scannen op bepaalde kenmerken kunnen we deze aanvallen met phishing mails vroegtijdig herkennen. Helaas voldoet niet alle phishing mail aan die kenmerken. Daarnaast ontwikkelen we methodes die de aflevering van phishing mail nog verder belemmeren. Dat is echter wel een kat-en-muisspel: iedere keer dat we een extra verdediging tegen phishing hebben ontwikkeld, ontstaan nieuwe phishings die deze verdediging weer weten te ontwijken.

Wat kunt u doen?
Gelukkig kunt u zelf ook wat doen. Ten eerste is het goed om een mail waarin om bepaalde gegevens wordt gevraagd, met enig wantrouwen te bejegenen. Van wie is de mail afkomstig, en met welk doel wordt om de gegevens gevraagd? Past dit bij de organisatie waar de mail vandaan lijkt te komen? Zo zal XS4ALL, net zoals banken, nooit om accounts of wachtwoorden vragen. Als dit in een mail dan toch gebeurt, is er zo goed als zeker sprake van een phish. U helpt ook mee door een phish te melden bij de partij waarvan de naam is misbruikt. Hoe meer mensen dit doen, hoe sneller de organisatie in kwestie maatregelen kan treffen om verdere verspreiding tegen te gaan.

Het gebruik van internet brengt onvermijdelijk met zich mee dat ook lieden die minder goede bedoelingen hebben contact met u zoeken. Door hier gezamenlijk alert op te zijn kunnen we echter een heleboel ellende voorkomen. Daar blijven we bij XS4ALL graag, samen met onze klanten, aan werken.

Jacques Schuurman

Jacques is Security Officer bij XS4ALL

Deel dit:

Reacties

  1. Sceptic says:

    Erg leuk idee; allemaal “actieve” links naar Phishing sites in de diverse berichten.

  2. CJW says:

    Wat bij internetbankieren enigszins – uiteraard niet doorslaggevend! – aan de veiligheid kan bijdragen is: gebruik een oude of (schone) tweedehands laptop om alléén en uitsluitend mee te internetbankieren; dus niet te surfen, geen email-correspondentie mee te bedrijven et cetera. Ik doe dat al jaren en heb nog nooit ergens last van gehad.

  3. D. Budé says:

    Onderstaand mailbericht krijgen we al wekenlang dagelijks (soms meerdere keren) binnen. Is daar niets tegen te doen?

    Onderwerp: Account bijwerken
    Van: “Xs4all Service Online”
    Datum: Vr, 28 september, 2012 11:47
    Aan: “Recipients”
    Opties: Bekijk volledige berichtinformatie | Bekijk printervriendelijke versie | Download dit als een bestand| Voeg toe aan adresboek | HTML weergave | Toevoegen aan Greenlist | Dit is Spam

    Xs4all Service-upgrade In onze voortdurende inspanning om uw ervaring van onze
    diensten te verbeteren, u geadviseerd om uw account (s) bij te werken. Meld u
    aan bij uw account bijwerken Bedankt voor uw hulp ons beter van dienst u.
    Customer Service Xs4all Onlin

    Bijlagen:

    untitled-[2] 5.6 k [ text/html ] Mail message body Download | Bekijk

    Verwijder & Vorige | Verwijder & Volgende
    Verplaats: INBOX Drafts Sent Spam Ongewenste e-mail Trash Verwijderde items Verzonden items

  4. marianne says:

    Net als meneer hoogervorst, krijg ik deze mail ook dagelijks ondertussen. Ik heb hem al doorgestuurd aan abuse@xs4all.nl maar nog geen reactie mogen ontvangen. Natuurlijk klik ik niet op de link, maar het is toch prettiger om hem helemaal niet te krijgen…

    de letterlijke tekst bij mij

    subject
    *WAARSCHUWING*
    body
    We hebben problemen in onze database met betrekking tot uw account,
    meldt u zich aan bij uw account te verifiëren.
    KLIK HIER –> http://tinyurl.com/xs4allwebmailverification

    Customer Service

    technische ondersteuning
    XS4ALL online

  5. hoogervorst says:

    Aan XS4all.nl.
    Met uw adres als afzender ontvang ik regelmatig, ook vanmorgen weer, berichten met uw briefhoofd dat ik problemen zou hebben met mijn account en moet ik mij melden om mijn account te verifieren.
    Kili hier: http://tinyurl.com/xs4all-update-email. Customer Service. Technische Ondersteuning XS4AA online.
    Kunt u dit niet opvangen, er uit filteren, uw bedrijf moet dat toch kunnen en DOEN.
    Als jarenlange klant vind ik dat u hier serieus wat aan moet doen.
    Fred Hoogervorst, wonend op Trinidad en Tobago.

  6. We hope that this change will offer you more convenience

  7. çhat says:

    Het is inderdaad raar, maar dit overkwam mij wel.

  8. Michel says:

    Krijg je een vraag per E-mail, denk dan altijd, wat zou je doen als je op een terrasje zit en een meneer naast je vraagt hetzelfde. Heer Schuurman, dit is de meest logische redenering en zeker meest effectieve waarschuwing die ik ooit heb gehoord/gelezen.

  9. ik says:

    Het is de laatste tijd raak met valse mails.
    In een 2tal weken al 4 mails gehad van zowel xs4all,een bank, visa.
    Wordt tijd dat xs4all de ondervanging van de mails gaat verbeteren !!!
    Ik meld wel steeds opnieuw de mails bij de betreffende organisatie. Dus de mails netjes doorgestuurd naar paypall, bank, xs4all enz enz.
    Alleen van paypall netjes een antwoord terug dat men gaat kijken om het betreffende adres aan te pakken.
    Van xs4all een standaard antwoord gehad.

    Maar nogmaals, er komt teveel rotzooi door via xs4all. Dus aanpakken graag die handel

  10. Mathieu says:

    Ik ontving de onderstaande mail.
    Natuurlijk vals!

    Geachte Xs4all Internet klant,

    Waarschuwing! Uw mailbox is overschreden,
    opslag te beperken zoals ingesteld door de
    beheerder, en u zult niet in staat zijn voor een
    totaal van 4 nieuwe e-mails totdat u opnieuw
    bevestigen het. Om opnieuw te valideren uw
    xs4all.nl webmail box Klik hier

    Dank u voor uw aandacht op dit verzoek. Onze
    excuses voor het ongemak.

    Xs4all Internet Help Desk
    System Administrator.
    www. xs4all.nl

    Copyright © Xs4all.nl 2011. Alle rechten
    voorbehouden.