Een paar dagen geleden werd bekend dat een aantal Nederlandse banken doelwit zijn geweest van een geavanceerde cyberaanval. Vandaag (maar een paar dagen later dus!) ontving ik de volgende email.

Geachte klant,

Graag vragen wij uw aandacht voor het volgende.

Zoals u weet doet de ABN-AMRO er alles aan om uw Internet Bankieren en Mobiele applicaties zo optimaal mogelijk te beveiligen. Tot onze spijt is de ABN-AMRO samen met andere Nederlandse banken doelwit geworden van grootschalig internetfraude. Na aanleiding van het hoge percentage slachtoffers zijn wij een campagne gestart om dit te bestrijden en door uw medewerking in het vervolg te kunnen voorkomen. Alle online bankrekeningen dienen daarom te worden gekoppeld aan een nieuw ontwikkeld beveiligingssysteem, zodat verdachte pogingen tot fraude op uw Internet Bankieren sneller getraceerd en opgelost kunnen worden.

Er is helaas geconstateerd dat uw Internet Bankieren tot op heden nog fraudegevoelig is en niet is voorzien van het nieuwe beveiligingssysteem. Wij vragen u dan ook 5 tot 10 minuten van uw tijd, om deze update compleet te maken om de beveiliging van uw Internet Bankieren zo snel mogelijk in orde te maken.

Hierbij vragen wij u gebruik te maken van de onderstaande link:

De mail is in bijna perfect Nederlands geschreven en door te refereren aan de recente cyberaanval neemt de geloofwaardigheid en betrouwbaarheid van deze email enorm toe. Toch is het wel degelijk een phishing mail: de link verwijst namelijk niet naar de site van ABN AMRO.

Ik kan me echter erg goed voorstellen dat nietsvermoedende klanten van ABN AMRO hier intrappen. Helemaal omdat in het verleden een bepaalde bank (hallo ING) haar klanten wel via een authentieke email probeerde te bereiken. Vergelijkbare slim opgestelde spam berichten ben ik ook al als comment op mijn blog tegengekomen.

Met de huidige inrichting van onze computersystemen, het Internet, en Internetbankieren in het bijzonder, is het bijna ondoenlijk om dergelijke phishing aanvallen te voorkomen. Iedere binnenkomende email wantrouwen is geen optie, en SPAM filters houden dergelijke mails maar beperkt tegen. Ook worden de sites waar de phishing mails de consument naar toe proberen te leiden wel geblokkeerd. Maar ook hiermee lopen we in feite achter de feiten aan. Een structurele oplossing ontbreekt vooralsnog.

Op dit moment zijn we dus volledig afhankelijk van de nietsvermoedende, ongetrainde, consument die moet beoordelen of een email echt is of niet. Tegen professionele internetcriminelen is dat een ongelijke strijd. Zelfs met de door ABN AMRO aangekondigde structurele waarschuwing tegen phishing.