Alle adressen zijn fictief maar kunnen actief zijn.
Een e-mail adres
Bijna iedereen maakt tegenwoordig wel gebruik van e-mail. Zowel zakelijk als privé. Veel van deze e-mail adressen lopen via ‘gratis’ services zoals Hotmail, Yahoo of Gmail. Je krijgt dan e-mail adressen met deze service providers in de naam. Veel mensen maken gebruik van dit soort services. De e-mail staat dan vaak in een online omgeving.
Voorbeelden :
Hier is:
- “henkdevries” de gebruikersnaam
- “provider” de ISP naam
- “.com” de topleveldomein-aanduiding
Ook geeft de je internet provider zoals Ziggo, KPN, T-mobile je ook vaak de mogelijkheid een aantal e-mail adressen aan te maken die dan eindigen op de naam van deze provider. Er is vaak een speciaal e-mail programma nodig om deze mail op te halen bij de provider.
Voorbeelden:
famvanderkerk@ziggo.nl
famvanderkerk@knpmail.com
Sommige mensen hebben zelf een domeinnaam of een zakelijk e-mail adres op een zakelijk domein. Ook hier geldt weer dat het vaak via een e-mail programma wordt opgehaald. Hierover in het volgende gedeelte meer uitleg.
Voorbeelden:
wilmavanleeuwen@defietsenmaker.nl
wilmavanleeuwen@fietsservice.nl
Alles wat voor de providernaam staat dus …@ is een unieke naam die maar een keer voor kan komen. Er kan dus niet tweemaal henkdevries@gmail.com bestaan. Als je probeert deze mail adressen aan te maken op de site van de provider dan krijg je hier ook melding van en wordt vaak een alternatief voorgesteld zoals bijvoorbeeld henkdevries2@ of iets dergelijks.
Bijna alle tekens in het gedeelte voor @ zijn toegestaan behalve @ zelf en meerder opeenvolgende punten, komma’s of andere leestekens. In het gedeelte na de @ zijn alleen letters en cijfers toegestaan. Soms zijn er meerdere punten maar dit komt later aan bod.
Webmail en E-mail clients.
Nu heb je een e-mail adres en wil je je mail kunnen lezen. Bij de eerste groep online e-mail adressen is dit vrij simpel omdat je vaak via een pagina inlogt met gebruikersnaam (het e-mail adres zelf) en een zelf verzonnen of gegenereerd wachtwoord.
Hieronder een voorbeeld van het login venster van gmail op www.gmail.com en een voorbeeld van de omgeving waar je in terecht komt.
Onderstaand een voorbeeld van het programma outlook. Als je deze voor het eerst op een Windows computer opstart vraagt het programma de instellingen van het e-mail adres in te geven. Dit zijn dus vaak de e-mail adressen die via de internetprovider lopen of als je zelf of zakelijk een eigen domein hebt. Het is echter ook mogelijk om e-mail adressen van Google Gmail en andere providers in te voeren. De functionaliteit wordt dan wel beperkt.
Wij werken zelf voornamelijk met het gratis e-mail programma van Mozilla namelijk Thunderbird. Dit is een e-mail programma wat beschikbaar is voor zowel Windows, Apple en Linux. We gaan de hand van dit programma kijken wat er allemaal mogelijk is aan instellingen.
Het programma is te downloaden op de site van Mozilla waar ook de beroemde Firefox webbrowser te vinden is.
https://www.thunderbird.net/nl/
Na installatie wordt het programma voor het eerst gestart en dan zal je gevraagd worden om e-mail adres gegevens in te voeren.
We vullen de gegevens die we weten in.
Thunderbird probeert nu zelf te detecteren wat de juiste instellingen voor het e-mail adres zijn. Voor dit adres zal dit werken maar het komt bij andere adressen voor dat je zelf bepaalde instellingen voor het e-mail adres in moet voeren. Deze worden vaak vermeld op de pagina van de provider.
Na het invoeren van het e-mail adres kan het programma gaan werken en zal het e-mail op gaan halen. In postvak in zullen berichten verschijnen als deze al naar het adres verzonden zijn.
We gaan eerst even terug naar de instellingen van het mail account.
We gaan dan naar extra → accountinstellingen zoals in onderstaand scherm.
Wat opvalt is dat je de naam, de e-mail van de afzender en het retour e-mail adres zelf in kan vullen en kan wijzigen. Dit is in principe in elk e-mail programma zo dus niet uniek aan Mozilla Thunderbird.
De uitgaande mailserver is vaak de mailserver van de domeinhost of de internetprovider. Vaak is hier een wachtwoord nodig (wat hetzelfde is als van het e-mail account zelf) om mails te mogen verzenden. Indien dit niet gedaan wordt dan zou iedereen via deze digitale postkantoren massa’s mail kunnen sturen. Veel spammers maakten hier vroeger gebruik van toen dit nog niet goed geregeld was.
Je kunt je echter in je naam en e-mailadres nog steeds voordoen als iemand anders en die informatie is vaak waar het mis gaat bij ontvangers van de mail. Ze denken van iemand mail te krijgen die niet daadwerkelijk die persoon of organisatie is.
Deze gegevens die met elke e-mail mee worden gezonden kunnen dus zo gemanipuleerd worden zodat mensen om de tuin worden geleid met valse e-mails.
Sommige organisaties/personen vereisen SPF records en/of DKIM signing. Dit zijn mijn methodes zodat gevalideerd kan worden of de mails daadwerkelijk afkomstig zijn vanaf de persoon of organisatie die het claimt te zijn. Dit zijn echt meer zaken voor bedrijven en minder voor particulieren omdat je dan echt in de instelling bij de domeinhoster aanpassingen moet maken.
Later gaan we wat meer gedetailleerd in op SPF en DKIM.
E-mail fraude
Ondanks deze methodes is het nog steeds mogelijk dat je malafide mails ontvangt zelfs van legitieme mail adressen. Begin 2021 werd bijvoorbeeld bekend dat de webwinkel bol.com getroffen was door oplichting door middel van een frauduleuze mail vanuit het bedrijf Brabantia.
Wat bleek ? Het e-mail adres van de bewuste medewerker bij Brabantia was overgenomen door criminelen en deze hebben vanuit haar legitieme mail adres een verzoek gestuurd naar de administratie van Bol.com het bankrekeningnummer voor de betalingen te wijzigen naar een ander Spaans bankrekeningnummer. De schade bedroeg uiteindelijk E 750.000 en de rechtbank heeft Brabantia in het gelijk gesteld. Bol.com had beter op moeten letten. De Pishing mail bevatte zelfs heel gebrekkig Nederlands.
Ook Pathé is in 2018 het doelwit geworden van een professionele bende van fraudeurs, welke door geraffineerde communicatie het vertrouwen van enkele Pathé medewerkers wisten te winnen. Op deze manier hebben ze Pathé Nederland 18 miljoen euro (!) afhandig gemaakt.
Dit zijn natuurlijk een paar extreme gevallen, maar op kleinere schaal komt het ook veelvuldig voor.
Het blijft dus altijd goed opletten zelfs al zijn de mails afkomstig van een legitieme bron of dit wel klopt. Zelf raden wij aan bij twijfel collega’s die daartoe rechten hebben mee te laten kijken of zelf een ICT beveiliger intern of extern raad te plegen.
Ook zouden belangrijke wijzigen dubbel of driedubbel nagelopen moeten worden.
We gaan nu verder kijken naar welk type mails je kan krijgen en welke bedreigingen daar aan vast kunnen kleven.
Phishing
In eerder genoemde gevallen is sprake van fraude via e-mail omdat criminelen zich voor kunnen doen als iemand anders of een ander bedrijf. Ze kunnen dus zelfs e-mail adressen in sommige gevallen overnemen.
Tegenwoordig is er ook een stroom aan valse e-mails in omloop die niet direct aan 1 persoon maar aan meerdere personen gericht kunnen zijn.
Je kunt er vanuit gaan dat je e-mail adres openbaar is en dat criminelen hier eenvoudig achter kunnen komen.
Om te proberen om achter nog meer gegevens te komen kunnen ze ‘vis’ of phishing e-mails sturen.
De verzender doet zich voor als een bekende instantie zoals een bank of betaalprovider zoals Paypal of een creditcardbedrijf. Ze vragen om bepaalde gegevens te verifiëren en op links te klikken of bijlages te openen die in de e-mail zitten.
De mails lijken daadwerkelijk van de instantie af te komen en ook de links lijken vaak legitiem te zijn.
Kenmerken
Vaak kun je een phishing-bericht herkennen aan onderstaande elementen:
- De mail is algemeen gericht”geachte klant”
- De mail bevat geen kloppende Nederlandse taal
- Er wordt gesuggereerd dat iets “geverifieerd” (op juistheid onderzocht en bevestigd) moet worden met de inloggegevens van de klant.
- Er zijn consequenties als niet onmiddellijk gehoor gegeven wordt aan de mail.
- De link waarnaar wordt verwezen lijkt legitiem te zijn met bijvoorbeeld de naam van de instantie in de URL (het webadres)
Een veelgebruikte methode is dat de fraudeur een e-mail stuurt met een bijlage waarin een keylogger of andere malware zit verborgen. De mail functioneert dan als een Trojaans paard. Zodra de gebruiker de bijlage heeft geopend, wordt – op de achtergrond – de keylogger geactiveerd. Hierdoor kan de fraudeur via internet zien welke wachtwoorden de gebruiker gebruikt bij het inloggen bij zijn of haar bank.
Omdat tegenwoordig veel met identifiers wordt gewerkt is het lastig voor fraudeurs om alleen met gebruikersnaam en wachtwoord in het systeem in te loggen.
Voor diensten als Paypal welke wel met wachtwoorden werken kan dit nog wel een risico zijn.
Gevaarlijker is dat er om gegevens van andere accounts zoals e-mail adressen wordt gevraagd. Hierdoor krijgen fraudeurs namelijk toegang tot jouw adres en kunnen ze e-mail legitiem vanuit jouw naam sturen. Hetgeen bijvoorbeeld bol.com is overkomen.
Wat doen e-mail programma’s hier tegen ?
Omdat inhoud van e-mail niet op taal te scannen is door bijvoorbeeld een anti-virus scanner biedt deze geen bescherming tegen malafide e-mails.
Moderne e-mail programma’s zoals Thunderbird herkennen vaak vooraf al of bepaalde e-mails legitiem zijn of niet en waarschuwen hiervoor.
Thunderbird heeft hiervoor bijvoorbeeld een ongewenste berichten of spam filter. Spam is benaming voor ongewenste vaak reclame berichten die in grote getale naar een grote groep mensen wordt verzonden.
Nu volgt een uitleg waar we gaan kijken hoe we de functionaliteit voor ongewenste berichten kunnen gebruiken in Thunderbird.
Links in e-mail
De links die in e-mails staan kunnen op hun beurt gecontroleerd worden door anti-virussoftware. Zo hebben de meeste moderne virusscanners een Online Threat Prevention waar de aangeklikte link nagelopen wordt. Dit biedt wel meer veiligheid maar is zeker geen 100% garantie. Nog steeds lopen mensen malware, spyware en ransomware infecties op ondanks vrij goede maatregelen.
De opbouw van links in e-mail en nakijken of dit legitiem is.
Links lijken vaak legitiem en te verwijzen naar een echte website. Een link bestaat eigenlijk uit 2 delen. Het eerste deel is de linknaam en het tweede deel het link adres. Beide zijn door de verzender zelf in te stellen.
We zullen dit uitleggen aan de hand van een voorbeeld.
Stel we krijgen een e-mail van de ING bank met het verzoek het wachtwoord te wijzigen vanwege een beveiligingsprobleem (de echte bank zal dit overigens nooit doen)
van: helpdesk@ingbank.nl<ingbank@freemail.co.kr>
aan: janniesleepers@hotmail.com
onderwerp : ING Bank waarschuwing pas uw gegevens onmiddelijk
Beste Klant,
Vanwege een beveiligingsprobleem is het nodig dat u onmiddellijk uw wachtwoord aanpast om te voorkomen dat er geld van uw rekening wordt overgeboekt.
Volg deze link om uw inloggegevens aan te passen :
Met vriendelijke groeten,
Klaas de Ruiter
ING bank Nederland
Dit ziet er allemaal vrij echt uit zou je zeggen. De mail is in goed nederlands en het afzendadres is van de ingbank helpdesk zo lijkt het. Allereerst zal een bank nooit dit soort mails sturen. Als je twijfelt neem dan eerst contact op met de betreffende instantie.
Als je echter wat dieper gaat kijken naar deze mail dan vallen een aantal zaken op waardoor dit nooit een echt bericht kan zijn.
Ten eerste is de naam van afzender weliswaar de ingbank maar is het daadwerkelijke e-mail adres een heel ander adres. Hier staat ook ingbank in maar het gedeelte na @ is wat heel anders namelijk freemail.co.kr. Dit lijkt op een gratis e-mail adres van iemand. Zo kun je vrij snel zien dat dit niet van de officiele ing bank afkomstig is. Let op want soms lijkt ook dit adres te kloppen. Het is dus geen zekerheidje als het afzendadres wel naar bijvoorbeeld helpdesk@ing.nl lijkt te verwijzen. Het is beter om ook de link in de mail zelf goed te bestuderen.
Sommige mensen hebben al op de link geklikt en kunnen in een omgeving terecht komen welke heel erg lijkt op een legitieme site. De frauders nemen veel moeite om het echt te doen lijken met gebruik van logo’s, lettertypen, kleuren etc.
In de voorbeeldmail lijkt het adres ook te verwijzen naar de echte ING bank. Zoals eerder gezegd zijn er echter 2 delen waaruit de link bestaat. De naam en de echte link. De naam kan elke vorm aannemen en dat is wat je afleest uit je scherm. Dat is dus https://mijn.ing.nl/login.
Ga je echter met je muisaanwijzer op de link staan. Dan komt er een andere hyperlink tevoorschijn. Dit is de werkelijke link waarnaar verwezen wordt.
Ook hier staat ingbank in, maar na de . Staat een heel ander adres namelijk freeweb.hk. Dit is dus een heel andere website dan bijvoorbeeld www.ing.nl
Heb je twijfels dan is het zoals gezegd beter om even te bellen of google even het officiele adres van de betreffende instantie en vergelijk de domeinnamen of deze overeen komen. Het gaat met name om de laatste 2 delen. Het allerlaatste deel verwijst vaak naar het land (.nl .be .com etc.) en het deel daarvoor naar het bedrijf of instantie (rabobank ing belastingdienst). Kloppende laatste 2 delen zijn dan (rabobank.nl google.com etc.). Komt een link hier niet mee overeen dan is het vaak een frauduleuze link.
Het derde gedeelte wat weer voor naaminstantie.nl komt is vaak gewoon www. Maar kan ook andere vrij in stellen namen hebben maar zijn eigendom van de hoofddomeinnaamhouder zoals rabobank.nl of ing.nl
Een frauder kan dus niet de werkelijke link (let op niet de naam van de link !) overnemen zoals https://mijn.ing.nl
Overigens zijn ook diensten zoals whatsapp of sms zeer gevoelig voor dit soort fraude. Met name omdat je hier niet met een muis kan hooveren over de link en deze kan checken. Beter open je deze links niet. Ok betaalverzoeken van familie of vrienden die je niet hebt geverfieerd met de persoon zelf gewoon negeren.
Ook via online platformen zoals Marktplaats en Ebay kunnen frauduleuze links of betaalverzoeken binnenkomen. Benader alles met enige gezonde skepsis.