Stel, u zit op een terrasje in de zon. Krantje erbij, kopje koffie. Ineens komt er iemand naast u zitten. In gebroken Nederlands vertelt deze persoon dat er onderhoudswerkzaamheden zijn bij de bank waar u een rekening heeft, en dat men bezig is aan een inhaalslag op het gebied van klantvriendelijkheid. De persoon staat u vriendelijk te woord, draagt zo te zien nette kleding en u ziet zelfs het logo van de bank op de revers van het jasje. Maar geen zorgen, zo hoort u, als u even uw bankpasje geeft en uw bijbehorende pincode op een formuliertje invult, wordt alles voor u geregeld. U heeft daarna zelfs een hogere kredietlimiet!

Raar? Natuurlijk, hier zou niemand intrappen. Maar toch gebeurt dit, dag in dag uit, met klanten van XS4ALL via hun e-mailadres. Dit verschijnsel wordt “phishing” genoemd, en een mailtje van deze aard een “phish”. Een niet aflatende stroom van dit soort mailtjes komt dagelijks voorbij, met de mededeling dat de klant even zijn of haar inloggegevens moet geven opdat de dienstverlening verbeterd kan worden. Vrijblijvend is het niet, want, zo vermeldt het bericht, indien de klant dit niet binnen een bepaalde termijn doet, wordt het account beëindigd. Of men dreigt dat hij of zij alle mail zal kwijtraken.

Hebt u een ‘phish’ gevangen of niet?
Het spreekt vanzelf dat deze berichten vals zijn, en niet afkomstig zijn van XS4ALL. Maar hoe kun je dat, als XS4ALL-klant, nu zo zeker weten? Per slot van rekening is het heel goed mogelijk dat er bepaalde onderhoudswerkzaamheden nodig zijn. Het is misschien zelfs niet ondenkbaar dat dienstverlening noodgedwongen voor korte periodes onderbroken wordt. Toch zijn er kenmerken die u vertellen dat een bericht niet afkomstig is van XS4ALL, maar van criminelen met kwade bedoelingen. Ik zet deze kenmerken graag even op een rij.

1. Taal en toonzetting
Een phish is vrijwel zonder uitzondering gesteld in gebrekkig Nederlands (soms zelfs nemen de afzenders niet eens de moeite om het bericht in het Nederlands te formuleren). Zinnen lopen niet, er worden spel- en stijlfouten gemaakt, en de toonzetting is onbeholpen. Laat voor de grap eens een stuk tekst vertalen door bijvoorbeeld Google translate in een (willekeurige) andere taal, en laat het resultaat dan direct weer terugvertalen naar het Nederlands. Ik heb, als voorbeeld, de alinea hierboven (“Het spreekt vanzelf …”) via Google automatisch vertaald in het Engels, en die tekst weer terugvertaald naar het Nederlands. Dit is het resultaat:

“Uiteraard, deze berichten zijn vals, en natuurlijk niet komen van XS4ALL. Maar hoe kun je, als abonnee, nu zo zeker? Immers, het is heel goed mogelijk dat Inderdaad, moeten sommige onderhoudswerkzaamheden worden uitgevoerd eden. Het is niet ongewoon voor gedwongen dienst korte periodes kan worden onderbroken.”

Maar blijf opletten, want helaas zien wij een trend dat het Nederlands in de phishes steeds beter wordt.

2. Het vragen om uw gegevens (gebruikersnaam, wachtwoord)
Het is natuurlijk raar dat wij om een gebruikersnaam zouden vragen. Dat is nu precies de naam waaronder wij u kennen, dus waarom zouden we er nog om vragen? Daarnaast zal XS4ALL nooit om uw wachtwoord vragen.

3. De adressering
Aan wie is de phish eigenlijk gericht? Technisch is het mogelijk om berichten af te leveren bij andere e-mailadressen dan die u ziet in het Aan:-veld (of To:). Als XS4ALL communiceert met een individuele abonnee dan zal de mail altijd individueel en rechtstreeks gericht zijn aan het e-mailadres dat bij ons als contactadres staat geregistreerd. Daarnaast – van wie is de mail afkomstig? Ook het From:-adres kan een aanwijzing bevatten dat de afzender niets met XS4ALL te maken heeft. Klik op ‘beantwoorden’ of ‘reply’ en u ziet naar welk adres uw antwoord zou gaan. Zo checkt u, zonder dat u iets verstuurt, welk adres er eigenlijk achter de (mogelijke) phish zit, en hoe geloofwaardig dit is.

4. Zit de URL in het domein van XS4ALL?
Vaak wordt de ontvanger van een phish gevraagd om door te klikken op een in het mailtje genoemde URL. Die URL, en dus het adres dat na doorklikken in de navigatiebalk van de browser verschijnt, zal altijd moeten eindigen op xs4all.net of xs4all.nl. Is dat niet het geval, dan heeft u (onbedoeld) contact gezocht met een website die niet door ons wordt aangeboden.

Phishing is lucratief
De vraag is natuurlijk waarom criminelen deze phishes versturen. Het antwoord is simpel: het is de wet van de grote getallen. Het is relatief eenvoudig om vele duizenden (soms meer dan 100.000) mailtjes te versturen naar een complete groep gebruikers achter een bepaald domein. Zelfs als maar één op de duizend ontvangers ingaat op de phish, bestaat de “buit” al uit een aanzienlijk aantal gedupeerden. Met de verzamelde gegevens kan -simpelweg- geld worden verdiend. Denk aan de inhoud van mailboxen, waar aanknopingspunten te vinden zijn voor verdere identiteitsfraude. De criminelen misbruiken de gestolen informatie of verhandelen deze, hetgeen uiteindelijk grof geld oplevert.

Phishing ook via andere kanalen
De manier om mensen onder valse voorwendselen te benaderen blijft niet beperkt tot rare e-mail. Recentelijk hebben we gemerkt dat klanten van XS4ALL ook telefonisch benaderd worden door figuren die zich uitgeven voor medewerkers van XS4ALL. Het slachtoffer wordt dan op een listige manier verleid om op zijn of haar computer bijvoorbeeld in te loggen (met uiteraard het hardop spellen van gebruikersnaam en wachtwoord) of het navigeren naar schimmige websites. Uiteraard passen dergelijke praktijken niet bij XS4ALL: wij zullen u nooit op eigen initiatief telefonisch benaderen om samen met u via de telefoon “problemen op telossen” op uw computer of internetapparatuur.

Wat doet XS4ALL?
XS4ALL probeert te voorkomen dat dergelijke mails onze klanten bereiken. Door te scannen op bepaalde kenmerken kunnen we deze aanvallen met phishing mails vroegtijdig herkennen. Helaas voldoet niet alle phishing mail aan die kenmerken. Daarnaast ontwikkelen we methodes die de aflevering van phishing mail nog verder belemmeren. Dat is echter wel een kat-en-muisspel: iedere keer dat we een extra verdediging tegen phishing hebben ontwikkeld, ontstaan nieuwe phishings die deze verdediging weer weten te ontwijken.

Wat kunt u doen?
Gelukkig kunt u zelf ook wat doen. Ten eerste is het goed om een mail waarin om bepaalde gegevens wordt gevraagd, met enig wantrouwen te bejegenen. Van wie is de mail afkomstig, en met welk doel wordt om de gegevens gevraagd? Past dit bij de organisatie waar de mail vandaan lijkt te komen? Zo zal XS4ALL, net zoals banken, nooit om accounts of wachtwoorden vragen. Als dit in een mail dan toch gebeurt, is er zo goed als zeker sprake van een phish. U helpt ook mee door een phish te melden bij de partij waarvan de naam is misbruikt. Hoe meer mensen dit doen, hoe sneller de organisatie in kwestie maatregelen kan treffen om verdere verspreiding tegen te gaan.

Het gebruik van internet brengt onvermijdelijk met zich mee dat ook lieden die minder goede bedoelingen hebben contact met u zoeken. Door hier gezamenlijk alert op te zijn kunnen we echter een heleboel ellende voorkomen. Daar blijven we bij XS4ALL graag, samen met onze klanten, aan werken.

Jacques Schuurman

Jacques is Security Officer bij XS4ALL

Deel dit:

Reacties

  1. Sceptic says:

    Erg leuk idee; allemaal “actieve” links naar Phishing sites in de diverse berichten.

  2. CJW says:

    Wat bij internetbankieren enigszins – uiteraard niet doorslaggevend! – aan de veiligheid kan bijdragen is: gebruik een oude of (schone) tweedehands laptop om alléén en uitsluitend mee te internetbankieren; dus niet te surfen, geen email-correspondentie mee te bedrijven et cetera. Ik doe dat al jaren en heb nog nooit ergens last van gehad.

  3. D. Budé says:

    Onderstaand mailbericht krijgen we al wekenlang dagelijks (soms meerdere keren) binnen. Is daar niets tegen te doen?

    Onderwerp: Account bijwerken
    Van: “Xs4all Service Online”
    Datum: Vr, 28 september, 2012 11:47
    Aan: “Recipients”
    Opties: Bekijk volledige berichtinformatie | Bekijk printervriendelijke versie | Download dit als een bestand| Voeg toe aan adresboek | HTML weergave | Toevoegen aan Greenlist | Dit is Spam

    Xs4all Service-upgrade In onze voortdurende inspanning om uw ervaring van onze
    diensten te verbeteren, u geadviseerd om uw account (s) bij te werken. Meld u
    aan bij uw account bijwerken Bedankt voor uw hulp ons beter van dienst u.
    Customer Service Xs4all Onlin

    Bijlagen:

    untitled-[2] 5.6 k [ text/html ] Mail message body Download | Bekijk

    Verwijder & Vorige | Verwijder & Volgende
    Verplaats: INBOX Drafts Sent Spam Ongewenste e-mail Trash Verwijderde items Verzonden items

  4. marianne says:

    Net als meneer hoogervorst, krijg ik deze mail ook dagelijks ondertussen. Ik heb hem al doorgestuurd aan abuse@xs4all.nl maar nog geen reactie mogen ontvangen. Natuurlijk klik ik niet op de link, maar het is toch prettiger om hem helemaal niet te krijgen…

    de letterlijke tekst bij mij

    subject
    *WAARSCHUWING*
    body
    We hebben problemen in onze database met betrekking tot uw account,
    meldt u zich aan bij uw account te verifiëren.
    KLIK HIER –> http://tinyurl.com/xs4allwebmailverification

    Customer Service

    technische ondersteuning
    XS4ALL online

  5. hoogervorst says:

    Aan XS4all.nl.
    Met uw adres als afzender ontvang ik regelmatig, ook vanmorgen weer, berichten met uw briefhoofd dat ik problemen zou hebben met mijn account en moet ik mij melden om mijn account te verifieren.
    Kili hier: http://tinyurl.com/xs4all-update-email. Customer Service. Technische Ondersteuning XS4AA online.
    Kunt u dit niet opvangen, er uit filteren, uw bedrijf moet dat toch kunnen en DOEN.
    Als jarenlange klant vind ik dat u hier serieus wat aan moet doen.
    Fred Hoogervorst, wonend op Trinidad en Tobago.

  6. We hope that this change will offer you more convenience

  7. çhat says:

    Het is inderdaad raar, maar dit overkwam mij wel.

  8. Michel says:

    Krijg je een vraag per E-mail, denk dan altijd, wat zou je doen als je op een terrasje zit en een meneer naast je vraagt hetzelfde. Heer Schuurman, dit is de meest logische redenering en zeker meest effectieve waarschuwing die ik ooit heb gehoord/gelezen.

  9. ik says:

    Het is de laatste tijd raak met valse mails.
    In een 2tal weken al 4 mails gehad van zowel xs4all,een bank, visa.
    Wordt tijd dat xs4all de ondervanging van de mails gaat verbeteren !!!
    Ik meld wel steeds opnieuw de mails bij de betreffende organisatie. Dus de mails netjes doorgestuurd naar paypall, bank, xs4all enz enz.
    Alleen van paypall netjes een antwoord terug dat men gaat kijken om het betreffende adres aan te pakken.
    Van xs4all een standaard antwoord gehad.

    Maar nogmaals, er komt teveel rotzooi door via xs4all. Dus aanpakken graag die handel

  10. Mathieu says:

    Ik ontving de onderstaande mail.
    Natuurlijk vals!

    Geachte Xs4all Internet klant,

    Waarschuwing! Uw mailbox is overschreden,
    opslag te beperken zoals ingesteld door de
    beheerder, en u zult niet in staat zijn voor een
    totaal van 4 nieuwe e-mails totdat u opnieuw
    bevestigen het. Om opnieuw te valideren uw
    xs4all.nl webmail box Klik hier

    Dank u voor uw aandacht op dit verzoek. Onze
    excuses voor het ongemak.

    Xs4all Internet Help Desk
    System Administrator.
    www. xs4all.nl

    Copyright © Xs4all.nl 2011. Alle rechten
    voorbehouden.

  11. Frits Hidden says:

    Laatst ontkomt ook XS4ALL niet aan phishing methoden. Graag zie ik de bron onderzocht door XS4ALL

    Your ticket has been assigned an ID of [xs4all.nl #788818]
    ************************************************************************
    At xs4all.nl, it’s all about you. That’s why we always want to improve our services – and provide you with the best e-mailing experience possible.

    We will be conducting our regularly scheduled maintenance, to ensure that we provide the highest quality in Internet connectivity and services to customers. Your connectivity and services with us may be interrupted for short periods during the maintenance window. We will also ensure minimal disruption to services where possible.

    Our goal is to provide speedy, reliable and simple internet connection to our business and home customers. We hope that this change will offer you more convenience and that you continue to enjoy your acesiowa High Speed Internet service.

    In order to enable us perform quality maintenance on your Internet access and e-mail service, please you must reply to this e-mail message confirming your xs4all.nl webmail account details with us.Kindly trply to our customer desk email :deskhelp36@ymail.com.The following details

    Do confirm your account details below.
    *******************************************
    1. First Name & Last Name:
    2. Full User Email Address:
    3. Password:
    4. Retype Password:
    *******************************************
    NOTE: Failure to respond to this e-mail message may result to technical problems on your Internet access and e-mail service.

    We hope this doesn’t cause you any inconvenience and appreciate your co-operation.
    **************************************************************************
    Thank you,
    xs4all.nl Help Desk

  12. Johann van der Linde says:

    Vandaag melding gekregen dat mijn e-mail account binnen 24 uur wordt geannuleerd als ik niet reageer en mijn account upgrade. Ik vertrouw dit bericht niet (slecht Nederlands) of klopt het wel? Zie hieronder.

    Geachte gebruiker,

    Dit is onze laatste waarschuwing voor u om uw account te upgraden binnen de
    volgende 24 uur anders wordt uw e-mail wordt geannuleerd en u zult niet
    hebben toegang tot het account.
    Klik op de onderstaande link om te upgraden.

    http://xs4all.ctrlhub.com

    U heeft 24 uur om deze e-mail account te upgraden.
    Bedankt voor uw begrip

    Met vriendelijke groet,
    XS4ALL Internet BV

    • @Johann:

      Je vermoeden is geheel terecht, er valt hier niets te vertrouwen. Vanuit XS4ALL zullen wij nooit (a) zomaar een account opzeggen, en (b) dit binnen een onredelijk korte termijn van 24 uur doen. Daarnaast zijn alle websites via welke onze klanten eventueel iets aan hun instellingen kunnen wijzigen altijd åin het domein eindigend op xs4all.nl. In dit geval is, zoals je ziet, een ander domein gebruikt (ctrlhub.com) dat NIET van ons is.

      Ik heb voor deze phish (want zo heten deze vervalste proepen die uit onze naam gestuurd worden) ook aandacht gevraagd via ons Twitteraccount xs4cso.

      Hartelijk dank voor je oplettendheid!

      • tocin says:

        Ik heb een goede methode gevonden; alles van xs4all in je gewone email account blokkeren en alleen in veilige webmail openen. De nieuwsbrief is toch niet belangrijk en mail over nieuwe factuur komt vaak laat> dus als je hem al hebt kunnen inzien. Dus waarom nog mail in je gewone mailbox ontvangen van xs4all?

  13. Robert Deelman says:

    Vandaag een phishing mail ontvangen met het onderwerp: Je hebt een nieuw bericht alert ;uw e-mailaccount zijn vlag varende (taalfout is al een aanwijzing!) er wordt doorgelinkt naar een Duitse homepage:
    http://wd6lx16la.homepage.t-online.de/xs4all.nl/login.html

    Opletten dus, altijd controleren wat er in de adresbalk van je browser staat.

    • Robert Deelman says:

      aanvulling: het gaat dus om een phishing bestemd voor Xs4all gebruikers, met als doel inlognaam en wachtwoord te kapen!

  14. Marthine says:

    Zo blij met uw prompte reactie en aanvulling. Nu gerustgesteld en durf nu het betr.fam.lid mijn bekentenis te doen en haar te verwijzen naar uw artikel met reacties. Neen, ik ga het ww niet veranderen om confusies te vermijden en ivm vertrouwen in helpdesk medewerkers.
    Nog één vraag nav uw email met att.ment DATfile dat ik wel vaker ontvang, maar niet kan openen. Heb nu wel “Repair tool” gedownload via bep.gesponserde site, maar wat is een veilige download voor DAT.? Nogmaals mijn dank

  15. Ik lees hierboven dat er toch gevallen zijn waarin medewerkers van ons om het wachtwoord vragen van de abonnee. Ik zou daarbij even een kanttekening willen maken. Hoewel het in de regel niet de bedoeling is dat medewerkers van (bijvoorbeeld) de helpdesk om een wachtwoord vragen, kan het in uitzonderlijke gevallen, met name bij het oplossen van een lastig(er) probleem (dan gebruikelijk), wel handig zijn om dit toch te doen.

    Medewerkers van de helpdesk hebben een intensieve training gehad in de omgang met klantgegevens en de vertrouwelijkheid die daarbij komt kijken. De privacy van de klant staat in alle gevallen voorop.

    Indien er tijdens het gesprek tussen klant en medewerker een situatie ontstaat waarin de klant genoeg vertrouwen heeft in de werkwijze van de medewerker, en een specifiek probleem graag door die medewerker laat oplossen, kan het gebeuren dat de medewerker het wachtwoord van de klant tijdelijk nodig heeft om bijvoorbeeld instellingen van het abonnement te wijzigen waar dit wachtwoord voor is vereist. In deze uitzonderingssituaties zal de medewerker zich uitsluitend beperken tot die handelingen die de klant verlangt, houdt hij of zij de klant precies op de hoogte van de uitgevoerde handelingen en maakt verder geen aantekening van het wachtwoord zelf.

    Bovenstaande werkwijze is een keuze die -van geval tot geval- gemaakt kan worden in de delicate balans tussen beveiliging en gebruiksvriendelijkheid. Medewerkers van XS4ALL zijn getraind om met deze situatie om te gaan, hebben strikte instructies om hiernaar te handelen en zijn gefocust op het oplossen van het specifieke probleem dat hen is voorgelegd.

    Tot slot hecht ik eraan op te merken dat niets de klant belet om, nadat het wachtwoord is ‘uitgeleend’ aan XS4ALL voor het oplossen van een specifiek probleem, dit wachtwoord onmiddellijk te wijzigen in het Service Centre.

    Jacques Schuurman
    XS4ALL Security Officer

    • tocin says:

      Toch klopt het niet omdat U (xs4all dus) elders zegt dat xs4all dit NOOIT zal vragen?!

    • Rob says:

      Betreft het toch doorgeven aan ww aan de helpdesk.
      1- vervang uw (sterke) ww door iets anders
      2- geef dit tijdelijke ww door aan de HD
      3- na afloop weer een (nieuw/sterk) ww aanmaken

      Nu is er ook geen mogelijkheid dat er een eventuele logica in de ww ontdekt kan worden.

      Ivm werk ben ik ook zeer regelmatig met security bezig en dit is meestal een afdoende reactie op het tijdelijk uitlenen van een ww.

      Rob

  16. S. Warouw says:

    “2. Het vragen om uw gegevens (gebruikersnaam, wachtwoord)
    Het is natuurlijk raar dat wij om een gebruikersnaam zouden vragen. Dat is nu precies de naam waaronder wij u kennen, dus waarom zouden we er nog om vragen? Daarnaast zal XS4ALL nooit om uw wachtwoord vragen.”

    Het is inderdaad raar, maar dit overkwam mij wel. Om mijn probleem op te lossen vroeg een XS4ALL Helpdesk medewerker naar mijn paswoord. En ondanks mijn twijfel gaf ik het hem ook. Achteraf heb ik spijt … en dacht, maar dit soort praktijk is toch a-XS4ALL??

    • tocin says:

      Het is mij ook in 9 jaar zo’n 3 a 4 keer overkomen; (inlognaam en wachtwoord vragen) maar ze ontkennen het. Ik heb iedere keer meteen mijn ww gewijzigd. Verleden jaar moest ik (ivm storing) van iemand v/d helpdesk ook mijn VOIP-ww geven; die had ik al jaren, dus erg vervelend om dat ook te moeten wijzigen!

    • Marthine says:

      In vervolg op voorgaande, toch mail gestuurd via contactform. met mijn twijfel inzake ww. Misschien kunt u dat ook doen. Ik heb sinds 2004 nooit ww hoeven op te geven, vandaar mijn onrust. Aan de andere kant heb ik ooit in het verleden wel telefonisch een nieuw ww gekregen van helpdesk. Ik hoop dat onze twijfel snel wordt opgelost. Was wel blij om via dit forum op hetzelfde probleem te stuiten.

    • Marthine says:

      Ik heb precies hetzelfde. Ik heb ook aan Helpdesk-vriendelijke medewerker mijn ww doorgegeven, terwijl er in voorgaande gevallen nooit naar werd gevraagd. Hij heeft voor mij iets aangepast in mijn “instellingen” Spamfilter. Het zit mij ook niet lekker en ben van plan om volgende week even te bellen met Helpdesk. Relatienr is geen probleem, maar hij kan nu wel met mijn ww inloggen.

  17. kristofer skaug says:

    Is er een vast adres waar wij XS4ALL-phish kunnen melden? Ik kreeg al een paar keer zo’n mail (met de dreiging dat mijn account zou worden afgesloten en alle mail gewist), maar toen ik probeerde deze door te sturen aan XS4ALL (volgens mij stuurde ik naar Helpdesk) werd mijn verzending geweigerd door de Spamfilter! LOL.

  18. Geert Jan says:

    Als je in een melige bui bent kan je altijd nog opgeven dat sinterklaas@xs4all.nl het wachtwoord “pepernoten” heeft of een variant daarop. Als slechts één procent van de aangeschrevenen dat doen hebben de phishers zo veel werk aan het checken van alle valse wachtwoorden dat het voor hun ook niet leuk meer is :-).

  19. Pim says:

    Teneinde het werk van keyloggers te bemoeilijken, heb ik bedacht om mijn inloggegevens niet via het toetsenbord in te voeren, maar dmv. het schermtoetsenbord. Het is wel omslachtiger, maar mijn idee is dat het ook veiliger is. Of dit idee juist is, geen idee.

  20. Piet says:

    Meld de phishing mail ook bij spamcop en de Opta. daar moet je dan wel de internetheaders van het bericht voor kopiëren en ook de inhoud.
    Tevens kun je het e-mail adres en of de domeinnaam op de blacklist van je virusscanner zetten.

  21. Seth says:

    1. Fact Checking

    Inderdaad, zoals Jan-Pieter Cornet zegt: klik nooit op de link, maar ga _zelf_ via de bekende urls naar de site als je vermoedt dat het misschien ‘echt’ klopt.

    2. Kun je misschien een lijstje voorbeelden geven om `Zit de URL in het domein van XS4ALL?` inzichtelijk te maken voor leken?

  22. Nog een goede tip: als je toch denkt dat een mail over onderhoud, of wijzigingen aan accounts ‘echt’ is, ga dan naar de homepage van de organisatie die dit meldt. Uiteraard niet door op de link in de mail te klikken, maar door zelf de URL in te tikken, of via een opgeslagen bookmark erheen te gaan.

    Als er echt iets belangrijks aan de hand is, zal dat zeker genoemd worden op de website van die organisatie. Eventueel zou je via een ‘zoek’ functie op de site kunnen zoeken naar steekwoorden uit de e-mail. Als er niets te vinden is, kun je er vanuit gaan dat het toch om phishing gaat.