De ASN bank stuurt 88.000 klanten een phishing email.

March 31, 2017

Banken en phishing, het blijft lastig. Vandaag stuurde de ASN mij de perfecte phishing email. (De ING deed dit jaren geleden al eens). De ASN vraagt mij om, per email, een nieuwe scan van mijn identiteitsbewijs te sturen. Ik heb maar even gebeld hoe het zit. Want als dit niet van de ASN zou zijn geweest... dan was het een perfecte phishing email geweest.

Het blijkt dat de ASN vandaag inderdaad deze email aan 88.000 van haar klanten heeft gestuurd. Waarom?

Bij het aanvragen van mijn rekening heb ik ooit een kopie van mijn identiteitsbewijs gestuurd. Dat is verplicht. Het blijkt dat bij een interne audit de ASN er achter is gekomen dat destijds niet alle noodzakelijke checks op het identiteitsbewijs zijn uitgevoerd. Dat identiteitsbewijs is inmiddels verlopen. Om de vergeten checks alsnog te doen heeft ASN een nieuwe kopie van mijn identiteitsbewijs nodig.

Je kunt je vraagtekens stellen bij het 'waarom', maar veel erger is de manier 'waarop' ASN mij vraagt om een nieuwe kopie te sturen.

Ten eerste stuurt ASN een email (zie hier), in plaats van een brief. Terwijl ik al mijn rekeningafschriften wel per post krijg!

Ten tweede noemt ASN in haar email alleen de mogelijkheid om een scan van je identiteitsbewijs te sturen naar een email adres, zonder een optie van encryptie. Dat is extreem onveilig. Niet genoemd wordt de mogelijkheid om een kopie per post te sturen. Terwijl die mogelijkheid er wel blijkt te zijn!

Ten derde vergeet de ASN te adviseren om de scan te beschermen, bijvoorbeeld door er op te schrijven dat de kopie bedoeld is voor ASN Bank, en het BSN door te strepen.

ASN. Deze manier van communicatie is waardeloos. Zo train je je klanten om dat te doen wat ze juist niet moeten doen: reageren op een email met de vraag om persoonlijke informatie. Grappig genoeg staat onder aan de email

Twijfelt u of deze e-mail van ASN Bank is? Dan is het goed om te weten dat wij in onze e-mails nooit vragen om uw bankgegevens, zoals uw pincode en de codes van uw digipas of digicode.

Maar jullie vragen dus wel om een scan van een identiteitsbewijs! WTF!

Klant van ASN, als je dit leest: stuur ASN geen scan van je identiteitsbewijs via de email. Maak een veilige kopie, en stuur deze copie naar

Antwoordnummer 1188 2501 WB, Den Haag.

En ASN: stuur morgen even een correctie naar al je 88.000 klanten met daarin netjes de goede, veilige, manier beschreven waarop dit wel moet. Dit keer nog per email, om de verwarring zo kort mogelijk te laten duren. Maar in het vervolg dit soort berichten per post graag.

P.S.: nog even terug naar het waarom... Steeds vaker worden we gevraagd om een kopie van een identiteitsbewijs op te sturen, als bewijs wie we zijn. Daarmee krijgen steeds meer mensen zo'n kopie in handen, waarvan we maar moeten hopen dat ze er goed mee omgaan. De waarde van zo'n kopie neemt daarmee navenant af. (Sowieso is een kopie al een slechte manier om iemand te identificeren, laat staan te authenticeren.) Ergens vind ik het wel een beangstigende gedachte dat een willekeurig iemand in mijn naam een bankrekening kan openen, als hij maar een kopie van mijn identiteitsbewijs kan overleggen.… Laten we stoppen met die onzin!

In case you spot any errors on this page, please notify me!
Or, leave a comment.
Werkman M.
, 2017-03-31 07:49:10
(reply)

Regeltjes. Regeltjes. Het nakomen ervan is belangrijker dan het doel waarvoor zij in leven geroepen zijn. Jaren geleden moesten mijn collega bank accountmanagers en ik, voor een bepaalde strikte deadline, bij klanten een door ons ‘voor origineel gezien gewaarmerkte’ kopie paspoort ophalen. Wij kregen zelfs een digitale camera mee (smartphones waren nog niet in zwang) om er zelf een foto van het originele document mee te maken. Wanneer de eerder genoemde deadline door de bank niet gehaald werd dan zou dat, voor de bank, tot repercussies leiden en voor ons die het als persoonlijke target meekregen een dreiging met mogelijk ontslag. In elk geval gebeurde het nog persoonlijk na schriftelijke aankondigingen. Er kon met de zo direct aan de eigen accountmanager verstrekte gegevens eigenlijk maar weinig fout gaan. Het feit dat ASN nu voor deze aanpak kiest getuigt een beetje van dezelfde paniekkerige haast om de klus zo goedkoop mogelijk in korte tijd te kunnen klaren. In deze tijd met phising risico’s onbegrijpelijk.

Manon de Vries
, 2017-03-31 10:04:30
(reply)

Bovendien, geeft asnbank op twitter (waar zij veel vragen hierover krijgen) twee alternatieven: post en een direct message op twitter. Ja dat lees je goed. Ze geven dus als “beter” alternatief het versturen van je IDkopie via twitter. Hun twitter account heeft straks tientallen (honderden?) IDkopien in hun inbox. Buiten de discussie of we dit wel bij een partij als twitter willen hebben liggen (en of dit uberhaupt mag), blijven deze dus daar waarschijnlijk rondzweven. Hoezo bewaartermijnen? En dan maar hopen dat ze geen partij als twittercounter gebruiken die toegang heeft tot het account. Ook vraag ik me ten zeerste af of ze hun twitter account goed genoeg beveiligd hebben voor dit soort gevoelige informatie. Om over autorisatie maar niet te spreken.

Marco Devillers
, 2017-03-31 12:27:32
(reply)

Ik vind dat meneer Hoepman hier wel heel aardig blijft tegen de ASN bank.

Zonder er heel veel vanaf te weten heeft het alle schijn dat de fout aan de kant van de bank zat. Die fout wentelen ze nu af op hun klanten die maar tot actie over moeten gaan.

Minimaal zou ik eisen: Een heel vriendelijke brief met daarin een verontschuldiging dat er een fout gemaakt is, en een bijzonder vriendelijke uitnodiging om op het kantoor te verschijnen voor het maken van een kopie waarbij jij ter compensatie een kopje koffie krijgt of een ander presentje. Voor minder moet je het hier niet doen, lijkt mij.

Zowel digitaal of fysiek verzenden van je persoonsgegevens is nu eenmaal ontzetten onbetrouwbaar, dus je moet je hier gewoonweg niet laten gebruiken om een fout die zij gemaakt hebben te herstellen.

Manon de Vries
, 2017-03-31 12:43:42
(reply)

Feit is dat ze hier ontzettend onhandig mee om zijn gegaan. En te reactief, en alleen op de mensen die ze er direct mee confronteren.

De meerderheid heeft alleen deze mail gehad. Die weet nog steeds niet dat ze per post mogen reageren, dat ze velden zwart mogen maken. Ook de reactie via twitter was onhandig, met het zeggen dat via het DM gestuurd mag worden (waar ze nu op terug zijn gekomen). Waar blijft inderdaad een tweede mail? Met daarin vermeld dat er volgende week een brief komt met retourenvelop (dit zou correct zijn), en excuses voor de verwarring. EN excuses voor de fout waardoor dit in de eerste plaats moet: ZIJ hebben een fout ontdekt waardoor zo veel mensen nu opeens dit moeten doen, maar ze doen net alsof dit routine is.

Jaap-Henk, hoe weet je dat het zoveel mensen zijn? en dat het door een interne audit komt?

Jaap-Henk
, 2017-03-31 12:50:40
(reply)

De persoon van de helpdesk die mij te woord stond heeft me dit verteld.

Jeroen
, 2017-04-04 10:41:07
(reply)

Interessant, dat is het eerste stukje echte informatie van de ASN Bank dat ik hierover lees. Ik heb via alle kanalen (email, telefoon, Twitter) voornamelijk generieke antwoorden gekregen; alle inhoudelijke vragen worden tot nu toe genegeerd. Waarschijnlijk was je er vroeg bij; voor de complete informatie-lockdown die ze in de loop van donderdag inzetten.

Kees
, 2017-03-31 13:45:42
(reply)

Bij de eerste ronde van deze audit, kort na de invoering van de wet die banken deze onzin verplicht, ben ik uiteindelijk persoonlijk naar het hoofdkantoor van ASN in Den Haag gegaan om een beveiligde kopie van mijn identiteitsbewijs te overhandigen.

Vorig jaar kreeg ik opnieuw hetzelfde verzoek. Navraag bij de helpdesk wees uit dat de administratie bij ASN blijkbaar een puinhoop is, want er is geen spoor meer te achterhalen van mijn ingeleverde kopie. Aan een dergelijke wanordelijke organisatie moet ik zeer gevoelige documenten toevertrouwen? Mooi niet dus. De oplossing is simpelweg niet reageren. Krijg je over enkele jaren nog een keer het verzoek.

Poppe Wijnsma
, 2017-03-31 21:23:28
(reply)

Maarten, heel goed dat je dit op twitter brengt. Dit is een voorbeeld van hoe het niet moet en hoe slecht de bank georganiseerd is. Grote management fout, een dergelijk brief wordt niet doord de jongste bediende verstuurd. En dan ook nog verantwoordelijkheid nemen voor iDIN, image iDIN hier door in Discrediet.

Dick Hopman
, 2017-03-31 21:45:05
(reply)

Ik zeg per direct mn spaarrekening op,rente krijg je toch amper,kan je het geld net zo goed op je betaalrekening laten staan

Martin
, 2017-04-01 23:15:05
(reply)

Bedankt voor deze informatie. Ik begreep al niet waarom ik opnieuw een kopie van mijn paspoort moet opsturen, met als reden dat mijn paspoort niet meer geldig is. Ik heb van de ING, waar ik al sinds het postbank tijdperk klant ben, nooit het verzoek gehad om opnieuw een kopie te sturen. Er is dus door de ASN zelf een fout gemaakt. Het voelt niet goed om een kopie naar de algemene email van de bank te sturen. Ik vermoedde dat het een phissing mail was. Maar het email adres is wel echt van de ASN. Het is bijzonder amateuristisch hoe ze dit aanpakken. Wat zou er gebeuren als we geen kopieën gaan sturen?

Ellen Timmer (Pellicaan Advocaten)
, 2017-04-03 11:41:20
(reply)

Even ter informatie: - de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) schrijft voor dat een bank bij de aanvang van de zakelijke relatie (= bij het openen van de rekening) de client identificeert, daarna is dat niet meer nodig; - identificatie vindt plaats doordat de client het ID toont, daar mag de bank een kopie van maken en bewaren, dus opsturen van kopie-ID is verboden (geldt ook voor alle anderen die onder de Wwft valen. De ASN bank hoort alle cliënten al geïdentificeerd te hebben en handelt in strijd met de wet door opnieuw een ID te vragen en cliënten te verleiden dit op een onveilige weg te doen.

Jeroen
, 2017-04-04 10:47:46
(reply)

Bent u bekend met een wettelijke grondslag die het versturen van een kopie identiteitsbewijs via email daadwerkelijk verbiedt? Ik kom als leek niet veel verder dan artikel 13 van de Wet bescherming persoonsgegevens waarin schijnbaar slechts ‘passende’ maatregelen geëist worden, maar dat lijkt dus aan wisselende interpretaties onderhevig — wat niet wegneemt dat de manier waarop ASN Bank dit aanpakt m.i. verontrustend incompetent is.

Jaap-Henk
, 2017-04-16 22:24:55
(reply)

Privacywetgeving vereist inderdaad passende beschermingsmaatregelen. Vragen om een kopie paspoort te e-mailen is onveilig, dus niet toegestaan.

T99
, 2017-04-05 14:06:09
(reply)

Op moment van schrijven(5 april 2017), gebruikt de mailserver die ASN bank gebruikt geen DANE(Geen DNS TLSA record, maar wel dnssec gebruikt op asnbank.nl. 1) er is wel STARTTLS. Met alleen STARTTLS is versleuteling tussen mailservers niet gegarandeerd en dus nog onveilig, 2. Daarnaast is er geen briefgeheim(grondwet) op e-mail van toepassing. 3 Reden genoeg om geen e-mail te gebruiken.

bronnen: 1 https://ssl-tools.net/mailservers/asnbank.nl 2 https://www.ncsc.nl/actueel/factsheets/factsheet-beveilig-verbindingen-van-mailservers.html 3 http://www.iusmentis.com/maatschappij/juridisch/briefgeheim/