Russen versturen e-mails uit naam van Jumbo
Het ontvangen van phishing mails is een groot probleem. Blokkeren, rapporteren, niets helpt meer om deze vorm van oplichting tegen te houden. Het overkomt Meldpunt-redacteur Jantine Stoel. In haar zoektocht naar de bron van dit kwaad, stuit ze op een opvallend gegeven: de mails zijn afkomstig uit Rusland.
Gek van de spam
Sinds een paar maanden verschijnen er allemaal ongewenste e-mails in mijn inbox. Of ik een nieuw afslankproduct wil uitproberen. Of een beter immuunsysteem wil. Het zijn nieuwsbrieven die ik niet wil ontvangen, dus klik ik netjes op ‘afmelden’ onderaan elk bericht. Alleen blijven de mails komen. Ik blokkeer en rapporteer, maar ik kan ze met geen mogelijkheid weren. Wie zit hier achter? Als ik op de mail wil reageren via reply, is het antwoord snel gevonden: no-reply@ns.nl.
Win-actie van Jumbo
En dan ontvang ik een mail van Jumbo. Ik maak kans op een boodschappenpakket ter waarde van 1.000 euro. In de mail lachen 2 winkelmedewerkers mij toe. In plaats van op de win-knop te drukken, klik ik op ‘beantwoorden.’ Maar de afzenderbalk blijft leeg. En dat is bijzonder. Ethisch hacker Sijmen Ruwhof legt me uit hoe dit mogelijk is.
Uit naam van Willem-Alexander
“Het protocol om e-mails te versturen, stamt uit de jaren ’80. Maar daarin staan alleen de technische regels. Beveiliging was destijds helemaal niet belangrijk,” vertelt Ruwhof. “Achter de schermen kan een verzender zijn naam aanpassen, zodat de ontvanger niet ziet wie de daadwerkelijke afzender is. Als je het e-mailadres van Koning Willem-Alexander hebt, kun je in de afzenderbalk zijn e-mailadres invullen. De ontvanger denkt dat de e-mail van de Koning komt, maar in werkelijkheid misbruikt iemand zijn identiteit.” Dat verklaart waarom de NS mij mails stuurt over afslankproducten: hun identiteit is gestolen. Maar als de afzender niet klopt, wie stuurt mij dan die mails?
Mails uit Moskou
Om te zien wie de afzender is, sluist de ethisch hacker mij met gemak naar de achterkant van de Jumbo-mail. Via de 3 puntjes boven aan het bericht, komt u via ‘Weergeven’ bij de ‘Bron van het bericht’. In die bron kom ik een brei van tekens terecht. Opvallend is dat ik daar een bekend mailadres tegenkom: noreply@ns.nl
Anton Pankratov
Aan de achterkant zie ik ook het IP-adres van de afzender staan. Met een IP-adres wordt een computer herkend die op het internet is aangesloten. Zo’n adres is vergelijkbaar met een telefoonnummer. Elke internetverbinding krijgt een uniek adres. Het IP-adres van de afzender vult Ruwhof in op een website die de eigendomsinformatie van IP-adressen verzamelt. Wat blijkt: de server staat in Moskou en op naam van Anton Pankratov. Daar zijn 512 IP-adressen aan gelinkt. En vanaf 1 van die IP-adressen wordt er op dit moment naar mij gemaild. Waarschijnlijk dus vanuit Moskou, denkt Sijmen Ruwhof.
Reactie NS
Ik confronteer NS met het misbruik van hun domeinnaam @ns.nl. De woordvoerder laat weten dat hun domeinnaam beveiligd is. “Elke mail die wij versturen, heeft een onzichtbare handtekening. Als deze handtekening er niet in staat, mag een e-mailprovider deze niet in uw inbox plaatsen.” Maar volgens de woordvoerder zijn er e-mailproviders die deze checks slecht of niet doen. En daar gaat het mis. NS zegt dan ook niet meer te kunnen doen.
Verwijder bericht
Inmiddels blijven bij mij de phishing mails binnenstromen. “Je moet in ieder geval nergens op klikken.” waarschuwt ethisch hacker Ruwhof. “Want dan bevestig je dat je e-mailadres bestaat en daardoor is de kans groter dat je nog meer spam of phishing mails krijgt. Daarnaast gaat er bij de verzender een belletje af: deze persoon kan in onze val trappen.” Want dat is hun doel: inlog- en persoonsgegevens verzamelen waarmee deze criminelen u op een later tijdstip kunnen oplichten. “En hoe ze dat doen, dat is onvoorspelbaar.” aldus Ruwhof.
Maak melding
Wie last heeft van valse e-mailjes uit naam van NS kan melding doen via valse.email@ns.nl. Ook twijfelachtige mails kunnen naar dit adres worden gestuurd. Jumbo waarschuwt op hun website voor nepacties. Daar vindt u tips hoe u kunt zien of een actie daadwerkelijk afkomstig is van Jumbo. Ook heeft Jumbo online een overzicht van hun daadwekelijke lopende win- en spaaracties.
Geef een reactie
U moet inloggen om een reactie te kunnen plaatsen.
Hallo, Zonder afbreuk te willen doen aan uw verhaal of de kennis en kunde van Dhr. Ruwhof wil ik toch opmerken dat hij weliswaar uitkomt bij Dhr Pankratov maar dat dit helemaal niets zegt over de werkelijke verzender van de spam-mail. Deze kan gerust in, noem maar een plaats, op, noem maar een continent zitten. Dat Dhr Pankratov een IP-range op zijn naam geregistreerd heeft en dat de mail een adres uit zijn IP-range passeert zegt op zich ook niet veel. Was de spamwereld maar zo simpel als nu voorgesteld. Maar… goed dat u dit onderwerp behandeld!
Goed verhaal Jantine Stoel,
De oplossing hiervoor moet je zoeken in je eigen e-mail provider. NS heeft gelijk als ze zeggen hier alles aan te doen. In de techniek maken ze daarbij gebruik van DMARC, DKIM en SPF om spam te voorkomen. Dit betekent dat de mailservers van de ontvangende partij kan controleren of de e-mail écht afkomstig is van NS. Je moet hiervoor kijken naar het domein waarop je de valse e-mail ontvangt. Als dit omroepmax.nl is dan zul je bij de eigenaar van de mailserver van MAX moeten navragen of ze gebruik maken van IPv6, DNSSEC, HTTPS, TLS, HSTS, DMARC, DKIM, SPF, STARTTLS en wellicht DANE om valse e-mails naar het domein omroepmax.nl te voorkomen.
TIP: grote techreuzen als Gmail hebben deze technieken prima geadopteerd en zal je bij bijvoorbeeld een @gmail.com account veel minder last hebben.
Groet Ant-Fraude specialist 🙂
Aansluitend, dergelijke valse e-mails hebben vooral en doel je creditcard gegevens te achterhalen (phishing dus) om een abonnement ergens af te sluiten, veelal ook valse webshops. Informeer dus ook je bank “als je gegevens hebt achtergelaten”, controleer je creditcard afschrijvingen en laat je creditcard blokkeren.
Groet Anti-Fraude specialist
Ik klik nooit op de link “afmelden voor deze mails” o.i.d. Als een hacker ergens hackcode onder wil stoppen, dan is dit waarschijnlijk de eerste plek waar hij/zij die code verstopt. Om toch geen last van deze mails te hebben maak ik (in outlook) een regel (zie bestand / regels en waarschuwingen) aan die deze mail (a.d.h.v. het email adres) verplaatst naar de prullenbak.
Hallo Fietser. Er is een andere belangrijke reden waarom je nooit op “afmelden” moet klikken. Door aldoor scherpere wetgeving moeten bedrijven kunnen aantonen hoe ze aan dit adres kwamen. Door op “afmelden” te klikken bevestig je feitelijk voor het bedrijf (of diegene die de spam in hun naam uitvoert) dat het email adres van een “echte persoon” is en mogen ze hem “officieel” gebruiken. Zo ook met telefonische colportage. Die beginnen bijna altijd met “spreek ik met….?”. Dit doen ze zodat U bevestigt dat dit nummer bij die persoon hoort. Dan is de eerste 25 cent voor de beller al verdiend. U kunt beter antwoorden met iets als “zegt u het eens” of iets dergelijks. Ze zullen dan vrijwel altijd doorvragen maar gewoon negeren. Ten slotte, naast dat spam technisch moeilijk te stoppen is loopt de wetgeving op internet-gebied steenvast 10 – 20 jaar achter. Deze wordt ook nog eens vertraagd door sterke lobby groepen en donaties aan partijkassen en personen. Overigens, persoonlijk krijg ik zelden / nooit spam. NOOIT een echt email-adres achterlaten werkt….. (tip: gebruik 10-minute mail of een dergelijke dienst).
[…] Russen versturen e-mails uit naam van Jumbo […]
[…] en misleidende mails belanden regelmatig in uw mailbox. Zo kunt u bijvoorbeeld zogenaamd een mail krijgen van supermarktketen Jumbo dat u iets heeft gewonnen, terwijl hier in werkelijkheid opli… Als u geluk heeft filtert uw mailaccount dit soort spam en phishing automatisch uit de rest van uw […]