Help mijn bank phisht mij!

October 7, 2009
2

U krijgt, net als ik, waarschijnlijk regelmatig ongevraagde "spam" mailtjes met als onderwerp bijvoorbeeld "Congratulations!!! Your E-mail Address is Qualified", of van ene Mrs. Alice Benson uit Ivoorkust die een enorme smak geld heeft die ze graag aan u wil geven. En anders zijn het wel aanbiedingen voor Viagra ("Thinking desire left you forever?"), een uitnodiging voor het casino ("We doen het niet voor minder"), of een waarschuwing dat een email account dreigt te verlopen ("Dear webmail user"). Net als u geloof ik er geen donder van, en dus verwijder ik zulke mailtjes direct.

Op dergelijke spam ingaan is namelijk af te raden. Het kan er toe leiden dat u het slachtoffer wordt van identiteitsfraude door middel van phishing: via een betrouwbaar lijkende mail proberen criminelen persoonlijke informatie van u te pakken te krijgen. Bijvoorbeeld door u te verleiden op een link naar een website te klikken die betrouwbaar of echt lijkt, maar dat niet is.

Onlangs kreeg ik zo'n mailtje dat mij deed twijfelen. Het had als onderwerp "Hoe pakt 2010 uit voor uw portemonnee?". Waarom verwijderde ik dit mailtje niet meteen? Ten eerste omdat het in keurig Nederlands was geschreven (spel en taalfouten zijn een perfecte phishing indicator). Maar vooral omdat het beweerde van mijn bank, de ING, te komen. Via het mailtje probeerden ze mij over te halen een nieuwe verzekering af te sluiten en toch vooral rentepunten te sparen. Ik was perplex. Eerst dacht ik dat de mail niet echt van de ING kwam. Dat zouden ze toch nooit doen...? Maar bij navraag bevestigde de ING dat het dergelijke mails inderdaad verstuurt.

Dat een bank dergelijke emails verstuurt is werkelijk een verschrikkelijk slecht idee, om onderstaande redenen. De ING moet daar dan ook onmiddellijk mee moet stoppen.

Voor de veiligheid van bijvoorbeeld internetbankieren is het van het allergrootste belang dat u nooit uw inloggegevens of TAN-codes aan anderen geeft. In de mail van de ING die ik ontving staat dan ook keurig dat "Medewerkers van de ING zullen nooit naar uw gebruikersnaam, wachtwoord, activeringscode of TAN-codes van Mijn ING vragen. Niet via e-mail, telefoon of op welke andere manier dan ook.". Echter, in de mail staat ook een link naar de bijbehorende webpagina. De bedoeling is dat ik hier op klik om de hele nieuwsbrief te lezen.

Het probleem is dat door het versturen van dergelijke mails, ING haar klanten leert dat het klikken op een link in een email van de ING een goed idee is. Er is echter geen enkele garantie dat de email die u leest ook echt door de ING verstuurd is. De afzender van een email is eenvoudig te vervalsen. Op een dag maakt een criminele bende een kopie van een dergelijke advertentie email (dus zonder spel en taalfouten). Ze veranderen allen de link die nu niet naar de nieuwsbrief op de website van de ING verwijst, maar naar de website van de criminele organisatie (welke verder overigens als twee druppels water op de website van de ING lijkt). Misschien voegen ze ook nog een fantastisch aanbod van de laatste smartphone toe, exclusief voor ING klanten. Het enige wat u hoeft te doen, is in te loggen op Mijn ING en een bedrag van 50 euro over te maken...

Het spreekt voor zich dat u de beloofde telefoon nooit ontvangt, en een maand later een aanzienlijk hoger bedrag, tegen een voor u onbekende rekening, op uw afschrift terugvindt.

De schade die ING door dergelijke fraude ondervindt is (nu nog) vele malen lager dan de extra inkomsten die ze via deze vorm van reclame binnen haalt. De marketing afdeling van ING wint dus vooralsnog van de security afdeling. Maar ING is niet de enige die hier schade lijdt. Fraude met internetbankieren bij ING leidt tot imago schade voor de hele sector. Het publiek zal internetbankieren in het algemeen, dus ook bij andere banken, als minder veilig beoordelen. Ook internetwinkelen zal hier schade van ondervinden. Erger nog is echter dat ING haar klanten traint om te reageren op spam, en het mensen moeilijker maakt om phishing mails te herkennen. Dit zal leiden tot meer identiteitsfraude op het internet, niet alleen bij ING. En voor die kosten, veroorzaakt door het onverantwoordelijke gedrag van ING, moeten wij uiteindelijk allemaal opdraaien.

In case you spot any errors on this page, please notify me!
Or, leave a comment.
Leuker kunnen we het niet maken, wel makkelijker… Graag ook veiliger… « Jaap-Henk Hoepman – on security, privacy and…
, 2010-01-07 14:59:27
(reply)

[…] Dit is een voorbeeld van “The tragedy of the commons” in de informatiebeveiliging: rationeel gedrag van individuele dienstaanbieders verlaagt de beveiliging van de groep als geheel. Zie ook “Help mijn bank phist mij!“. […]

De ongelijke strijd tegen phishing. « Jaap-Henk Hoepman – on security, privacy and…
, 2012-06-28 16:02:42
(reply)

[…] klanten van ABN AMRO hier intrappen. Helemaal omdat in het verleden een bepaalde bank (hallo ING) haar klanten wel via een authentieke email probeerde te bereiken. Vergelijkbare slim opgestelde […]