AcceptEmail en het risico van phishing

August 12, 2013

Acceptgiro's verdwijnen. In plaats daarvan word je steeds vaker gevraagd om per AcceptEmail (of iets vergelijkbaars) te betalen. Je ontvangt dan een email met de factuur en een link waarop je moet klikken om te betalen. Maar deze manier van betalen introduceert een groot risico op phishing. Beter is het FiNBOX te gebruiken.

Dit heeft te maken met het volgende.

De link in de AcceptEmail brengt je naar de website van AcceptEmail, die je de mogelijkheid geeft om de factuur via iDEAL te betalen. Bovenaan die webpagina staat

Controleer of het adres hierboven begint met https://transaction.acceptemail.com/. De AcceptEmail hieronder is gelijk aan die in uw e-mail.

En daarmee geven de makers al aan dat ze zich hebben gerealiseerd dat er een potentieel gevaar schuilt in deze manier van betalen. En volgens mij is dat zelfs een behoorlijk groot risico.

Het probleem is namelijk dat criminelen ook dit soort emails kunnen versturen. Ze proberen op deze manier toegang tot je internetbankieren site te krijgen, door je via zo'n link in zo'n email naar een malafide website te sturen. Deze site lijkt net echt, maar wordt beheerd door de criminelen. Wat je ook op die website doet of intypt (username, wachtwoord) geef je dus rechtstreeks aan hun door.

Dit heet phishing, en is verbazingwekkend lastig te voorkomen. Als je een rekening van het energiebedrijf verwacht, en er komt een mailtje met de maandelijkse voorschotnota binnen, dan klik je op de link en handel je de betaling af. Zonder ergens echt bij na te denken.

De melding die AcceptEmail bovenaan de webpagina zet helpt daar absoluut niet tegen. De crimineel zet daar gewoon zijn eigen (betrouwbaar uitziende) webadres neer, en dan lijkt alles gewoon te kloppen. Het slotje in je browser (SSL/TLS/https voor kenners) dat aangeeft dat de website authentiek is helpt ook niet, want de link in de email hoeft je helemaal niet naar https://transaction.acceptemail.com te sturen: emailaccept.com kan ook (en één of andere slimmerik heeft daar al een Apache servertje achter draaien).

Met andere woorden: ik denk dat het niet lang duurt voordat een stortvloed van dit soort phishing emails bij ons binnenkomt. En er is dan maar één oplossing: op geen enkele (ook niet de echte) reageren.

Een veiliger alternatief, wat dit betreft althans, is FiNBOX. In dit systeem komen al je facturen in een financiële inbox binnen je eigen omgeving voor internet bankieren terecht. Dus bij je eigen bank - en niet bij een website als AcceptEmail waar je nog nooit eerder van gehoord had. Bovendien typ je zelf het adres van de website van je bank in, of klik je gewoon op de link in je bookmarks. Niet op een link in een frauduleuze email. Na inloggen krijg je dan een melding als er nieuwe facturen voor je klaar staan.

Je kunt er ook voor kiezen om hierover per email of sms bericht te krijgen. Dit verschilt per bank. Ik hoop alleen van harte dat alle banken zo slim zijn om in die emails géén link naar de internet bankieren omgeving te zetten. Want anders zijn we natuurlijk terug bij af...

In case you spot any errors on this page, please notify me!
Or, leave a comment.
Martijn Oostdijk
, 2013-08-12 09:45:49
(reply)

Die typfout in “en niet bij een website als AccpetEmail” is met opzet? ;)

Jaap-Henk
, 2013-08-12 10:07:35
(reply)

Had gekund ;-) Maar nee dus en dus gefixt.

D. Joris Dirks
, 2013-08-12 20:11:28
(reply)

Ik vrees alleen dat gebruikers zich niet kunnen herinneren dat ze geen mail zouden horen te ontvangen van hun FiNBOX. Ik voel zelf meer voor structureel regelen van een decentralere, meer internationale oplossing: S/MIME. Waarschijnlijk werkt geen enkele technische oplossing als gebruikers niet een simpel begrip van beveiliging hebben. http://www.coding2learn.org/blog/2013/07/29/kids-cant-use-computers/

Jaap-Henk
, 2013-08-12 20:19:18
(reply)

Is inderdaad een issue. Maar geldt nu ook al voor internet bankieren op zich. Onthouden dat ze geen email van FiNBOX horen te krijgen is makkelijker dan iets als S/MIME begrijpen (helaas!)

Rolf E. Sonneveld
, 2013-08-12 22:25:49
(reply)

Jaap-Henk,

wat ik mis in je artikel zijn de technieken SPF [1],[2], DKIM [3],[4],[5] en DMARC [6]. Met name DMARC is bedoeld om phishing tegen te gaan, waarbij DMARC gebruik maakt van de combinatie van SPF en DKIM (+ ‘alignment’). Ik beweer hiermee overigens niet dat deze technieken alle problemen uit de wereld helpen. Wel dient m.i. elk bedrijf, dat serieus gebruik wil maken van e-mail als onderdeel van haar primaire bedrijfsproces, minimaal zijn zaken wat betreft SPF, DKIM en DMARC op orde hebben.

Omdat ik geen voorbeeldbericht heb van AcceptEmail kan ik niet beoordelen of men wat dit betreft z’n huiswerk gedaan heeft. Maar op de website van AcceptEmail valt hier verder niets over te lezen (of ik moet het gemist hebben)…

ING en XS4ALL hebben vorig jaar een interessant experiment uitgevoerd met DMARC, met goede resultaten, zie [7].

[1] www.openspf.org [2] http://tools.ietf.org/wg/spfbis/draft-ietf-spfbis-4408bis/ [3] http://tools.ietf.org/html/rfc6376 [4] www.dkim.org [5] www.dkim.nl [6] www.dmarc.org [7] http://www.ing.nl/nieuws/nieuws_en_persberichten/2012/09/xs4all_en_ing_samen_valse_emails_te_lijf.aspx

/rolf

Geerten Oelering
, 2013-08-13 08:52:13
(reply)

Inderdaad, door de steeds verdergaande adoptie van DMARC bij de internetproviders en grote emailproviders (outlook.com, gmail) wordt het steeds makkelijker voor de ontvanger om het kaf van het koren te scheiden. Als je als verzender correct gebruik maakt van SPF en DKIM, dan komen volgens DMARC spoofmails immers nooit onder ogen van de bedoelde ontvanger. AcceptEmail stuurt vanaf het domein van het bedrijf van wie de betaalverzoeken zijn. De mails zijn DKIM signed, voorzover het bedrijf van SPF gebruik maakt is de mailserver hierin geautoriseerd.

Geerten Oelering
, 2013-08-13 09:13:45
(reply)

“Je kunt er ook voor kiezen om hierover per email of sms bericht te krijgen. Dit verschilt per bank. Ik hoop alleen van harte dat alle banken zo slim zijn om in die emails géén link naar de internet bankieren omgeving te zetten. Want anders zijn we natuurlijk terug bij af…”

De banken zullen misschien géén links plaatsen, maar de spoofer kan zo’n mail natuurlijk evengoed namaken, en dan wél met een phishing link.

AcceptEmails zijn bijzonder veilig omdat De mails te verwachten zijn, ze komen van het bedrijf waar je zaken mee doet, en er middels DKIM signing en Sender Policy Framework bij internet en mailproviders middels DMARC spoofing wordt voorkomen; De mails herkenbaar zijn op aspecten die niet eenvoudig na te maken zijn, zoals de dynamische afbeelding die ook op de landingspagina terugkomt, evenals een EV certificaat zodat het duidelijk is dat het om een echte AcceptEmail gaat; Er zo mogelijk een kenmerk wordt genoemd dat alleen de echte afzender zou kunnen weten; Er op die landingspagina met iDEAL betaald moet worden, hetgeen alleen kan met zowel kennis als bezit.

Een regelmatige notificatie, bijvoorbeeld van FiNBOX of een myPortal van een bedrijf is véél phishinggevoeliger, omdat de ontvanger veel meer gewend zal raken om maar klakkeloos in te loggen zonder op veiligheidsaspecten te letten, en niet alle bedrijven verstand hebben van veilig mailen.

Jaap-Henk
, 2013-08-13 09:49:09
(reply)

Het kan best zijn dat het proces dat AcceptEmail (waar de commenter Geerten volgens zijn email adres voor werkt) zelf gebruikt voor het verwerken van de betaling veilig is - dat heb ik niet gecontroleerd, maar dat is ook niet het punt dat ik maak met mijn post. Iedere andere dienst die via email facturen stuurt en aanbiedt om ze meteen via het klikken op een link te laten betalen leidt tot phishing problemen. Simpelweg omdat het gebruikers traint om via een link in een email naar hun vertrouwde betaalomgeving te gaan (of dat nu iDEAL, PayPal, internet bankieren zelf, of desnoods een creditcard form). Des te meer van dit soort, verschillende, mogelijkheden voor betalen worden aangeboden, hoe lastiger het voor de gebruiker wordt om het kaf van het koren te scheiden.

FiNBOX is juist veiliger omdat het helemaal niet erg is als gebruikers maar klakkeloos inloggen: ze doen dat namelijk door of zelf de link in te typen in de adresbalk van de browser of op de link in hun bookmarks te klikken.

Overigens: als bedrijven geen geen verstand hebben van veilig mailen, dan kunnen ze dus ook niet veilig een AcceptEmail aan hun klanten sturen.

P.S.: In de link van Geerten waarin wordt uitgelegd waarom AcceptEmail veilig is valt me wel op dat er erg veel dingen zijn die de gebruiker moet controleren: of het email adres van de afzender wel klopt, op de inhoud van de email klopt, of je de factuur kunt verwachten, en of de betaling wordt gestart vanaf de beveiligde landingspagina. Dat vraagt wel veel van een gemiddelde internet gebruiker die maar nauwelijks oplet of er wel een slotje naast het webadres in zijn browser staat…

Geerten Oelering
, 2013-08-13 11:25:51
(reply)

Een phisher zou een FiNBOX notificatie kunnen maken met een link naar een spoofsite. AcceptEmail heeft juist NIET een directe link vanuit een mail naar de betaalomgeving, maar altijd een duidelijk herkenbare landingspagina om eenvoudig te kunnen controleren of het zuivere koffie is, AcceptEmail ontvangers zijn dit gewend.

Overigens: AcceptEmail heeft verstand van veilig mailen dus zij doen dat voor de bedrijven.

P.S.: Wat we adviseren aan de ontvanger om te controleren wijkt niet af van de controles die men normaliter doet als er een papieren factuur in de bus valt: Ken je de afzender, ken je de op de factuur genoemde bedragen, is het terecht dat je überhaupt een factuur ontvangt. Bij die gebruikelijke controle worden wat extra tools geboden om het zelfs nog wat veiliger dan papieren rekeningen te maken.

rolfsonneveld
, 2013-08-13 22:43:11
(reply)

Geerten,

kan je aangeven hoe AcceptMail gebruik maakt van DMARC? Immers, wanneer AcceptMail berichten voorziet van een DKIM-signature, dan zal het DKIM d= domein een domein van AcceptMail zijn (kllopt deze aanname?). Maar wanneer ook DMARC wordt toegepast, dan moeten afzenderadres en DKIM d= domein ‘aligned’ zijn en dat wordt erg lastig als het domein van de afzender in het bericht toebehoort aan de klant van AcceptMail.

Geerten Oelering
, 2013-08-14 16:06:17
(reply)

Rolf, AcceptEmail weet in toenemende mate haar klanten te overtuigen om DKIM te gebruiken en een key pair speciaal voor AcceptEmail te maken zodat de domeinen inderdaad aligned zijn. Als dat (nog) niet lukt is het DKIM domein inderdaad dat van AcceptEmail.

Martijn Spruit
, 2013-08-13 14:22:11
(reply)

Ik begrijp dat meneer Oelering zijn werkgever liever niet als voorbeeld ziet in een blogpost over hoe het niet moet, maar feit blijft: de consument moet wel erg veel controleren, én het wordt de kwaadwillende spammer / valse factuurverzender wel gemakkelijk gemaakt, zoals Jaap-Henk Hoepman aangeeft. De vergelijking met papieren facturen gaat niet geheel op: verzenden via email is zo veel eenvoudiger, veel spammers nemen die zelfde moeite niet met papieren facturen. Ik ben niet tegen facturen per email, maar dan ga ik zelf wel naar mijn bankwebsite en klop de gegevens handmatig in om te betalen.

Geerten Oelering
, 2013-08-14 16:13:35
(reply)

Gegevens overtypen kan natuurlijk ook, en inderdaad, de vergelijking gaat niet helemaal op, maar wel voor een groot deel. Men controleert toch altijd wel van wie een factuur komt en of deze klopt? AcceptEmail biedt daar eenvoudig te gebruiken hulpmiddelen bij.