Onlangs kreeg ik de vraag van een kennis om een email te bekijken die hij gekregen had van zijn bank.
Zijn rekening was tijdelijk geblokkeerd wegens één of meerdere aanmeldpogingen.
Het bericht wil hem ertoe aanzetten om op een link te klikken en zijn account weer te verifiëren.
Hoewel de email in correct Nederlands opgesteld was, had hij toch zijn twijfels en terecht!
Als we dit bericht bekijken, kunnen we meerdere aanwijzingen vinden die ons vermoeden bevestigd dat het om een phishing email gaat.
Vals emailadres van de afzender
De link in de tekst en de handtekening wil de ontvanger laten geloven dat het bericht afkomstig is van zijn bankinstelling.
Het adres van de afzender is afkomstig van een totaal ander domein. Een email, afkomstig van jou bank zal dus in eerste instantie verzonden worden vanuit het domein van de bank en niet van één of ander willekeurig nietszeggend emailadres.
Een eerste indicatie dat er iets niet juist is.
Phishing-email
Misleidende link
Als je met de muis over de link gaat, zonder hierop te klikken, zie je links onderaan in de statusbalk het echte linkadres waar je terecht komt als je zou doorklikken. In dit geval kan je zien dat je wordt doorverwezen naar een onbekend domein of webadres met daarachter een aantal willekeurige tekens of cijfers. Een tweede signaal dat ons vermoeden juist is dat het hier om phishing gaat.
Het kan wel zijn dat de domeinnaam van de link legitiem is maar in dit geval heeft deze niets te maken met de website van de financiële instelling.
phishing-email-link-domein
Opmaak bericht en vermelden van logo
In dit voorbeeld staat niet eens het officiële logo of is er een correcte handtekening van de bank vermeld.
Let hierbij op dat vele phishing mails er wel degelijk uitzien alsof ze afkomstig zijn van wie ze jou willen laten geloven.
Blijf dus steeds alert bij emails die je niet had verwacht en vanuit het niets in jou mailbox terechtkomen.
Dit bericht is erop uit om je bang te maken met de boodschap over een inbraakpoging op jou bankrekening en wil je laten geloven dat er misschien geld van de rekening gestolen is. De hacker speelt handig in op jou onwetendheid en in paniek klik je op de link waardoor je op een webpagina terecht komt die er net zo uitziet als die van de bankinstelling.
Daar krijg je de mogelijkheid om je logingegevens en wachtwoord in te geven. Vanaf het moment dat je op de aanmeldknop drukt, stuur je eigenlijk jou echte banklogingegevens naar de hacker door. Nu heeft hij vrij spel en zal hij trachten om geld van jou rekening af te halen.
DKIM – SPF – DMARC
Voor de technische mensen is er de mogelijkheid om te controleren op de legitimiteit van een email door de emailheader te kopiëren en te laten valideren.
Hiervoor kan je terecht op de tool van MxToolbox : Mail Header Analyzer.
Elke email bevat een header en een body. De header bevat informatie zoals de IP-adressen van de emailservers waarlangs de mail gepasseerd is.
DMARK / SPF / DKIM : Er wordt gecontroleerd of de emailserver van de verzender wel het recht heeft om in naam van de afzender een mail te sturen.
Een afzender emailadres kan makkelijk gespoofed of vervalst worden. Men kan als het ware in jou naam een email naar iemand sturen.
Eenvoudig gezegd kan aan de hand van DMARK of SPF- DKIM-records gecontroleerd worden jij wel de legitieme afzender bent voor dat domein/mailadres.
Waar kan je de email header vinden ?
Gebruik je Gmail, dan open je de email en klik je rechtsboven op de drie puntjes. Kies in het menu voor ‘Origineel weergeven’.
Klik daarna op de knop ‘Naar klembord kopiëren’
Ga vervolgens naar de website van MxToolbox via deze link
mail header controleren
Klik in het voorziene vak, boven de knop Analyze header. en plak hierin de inhoud die nu in het geheugen staat.
Dit doe je door CTRL+V op je toetsenbord in te drukken met je cursor in dit vak.
Druk nu op de knop Analyze Header
Het resultaat is voor interpretatie vatbaar. Wanneer je praktisch over de hele lijn een rode kruis ziet dan kan je er vanuit gaan dat het over een phising mail gaat. Van waar de interpretatie ? Het kan zijn dat de beheerder voor het domein een fout heeft in de SPF DKIM records.
In dat geval gaat het wel over een legitieme mail maar zullen er zich waarschijnlijk wel meerdere problemen met die mails in kwestie voordoen.
Ik zou in dit geval de email in ieder geval in de prullenbak verwijderen.
phising mail resultaat
Hieronder een voorbeeld van het resultaat van een legitieme email.
Zoals je ziet scoort deze op alle records groen en wil dit zeggen dat de emailafzender wel degelijk de rechtmatige verzender is van het bericht.
Goede email resultaat
Emailheader vinden als je met Microsoft Outlook werkt
Gebruik je Microsoft Outlook dan zal de eerst keer een paar stappen moeten doorlopen om de header van de email te vinden.
De optie ‘Berichtopties’ moet je toevoegen aan het snelmenu of Toolbar.
- Klik hiervoor op het pijltje zoals in volgende afbeelding.
- Kies in het menu voor ‘Meer opdrachten’
3. Klik op het pijltje bij ‘Kies opdrachten uit’ en scrol naar beneden tot je de optie ‘Berichtopties’ ziet.
4. Selecteer de optie ‘Berichtopties’ en klik op de knop ‘Toevoegen’
5. Je kan nu de knop vinden met de opdracht ‘Berichtopties’ zoals afgebeeld hieronder.
6. Ga op de email staan waarvan je de mail header wil controleren en klik op de knop die je net hebt toegevoegd.
Kopieer de inhoud in het vak Internetheaders en ga nu naar de MxToolbox Analyze Emailheader.
Berichtopties outlook
En de SPAM-filter dan ?
De vraag die je ongetwijfeld zal stellen is waarom deze emails niet door de SPAM-filter werden tegengehouden ?
Hier zijn vele redenen voor;
één van de redenen kan zijn dat eenvoudig gezegd, de email er goed genoeg uitzag.
Vele aanwijzingen waarover we eerder in dit artikel spraken is de subjectiviteit van het bericht.
Het zijn slechts aanwijzingen en geen absolute regels. Ze zijn voor interpretatie vatbaar.
Computers en SPAM-filters houden van regels en niet van vage, subjectieve dingen.
Een SPAM-filter kijkt naar elk van de aanwijzingen en geeft hieraan een bepaalt gewicht, een score.
Heeft een bericht een hogere score, dan stelt de SPAM-filter dat dit ‘waarschijnlijk’ spam is en zet deze in je ongewenste mailfolder.
Bij twijfel wordt het bericht doorgelaten en is het aan de ontvanger om te bepalen of dit bericht uiteindelijk spam is.
Helaas komen er ook DKIM en SPF-fouten voor waardoor je email ten onrechte als niet legitiem wordt beschouwd.
Dat is de reden waarom goede emails in sommige gevallen ten onrechte in de ongewenste emailmap terecht komen.
Phishing mails hebben maar één doel en dat is interactie aangaan met de ontvanger.
Klikken op een link en zo je logingegevens te achterhalen van jou bank, of je Microsoft account.
Zo krijgen ze toegang tot jou emails of bankgegevens en kunnen hackers weer andere mensen, jou contactpersonen proberen te misleiden.
Wees dus steeds alert en denk eerst na of je de email van de verzender wel verwacht had.