De Essent "phishing" training

September 9, 2020

Mailtje van Essent met de maandfactuur. Normaal gesproken open ik deze mail om op een link te klikken om vervolgens via iDEAL de rekening te betalen. Dat voelt altijd al behoorlijk ongemakkelijk, omdat ik eigenlijk nooit zeker weet of ik Essent zelf betaal, of een scammer die erg goed zijn best doet alsof hij/zij Essent is.

Ik heb eerder, in 2013 alweer, over dit risico geschreven. De discussie in de comments is ook interessant, met name over de vraag of technieken als DMARC tegen deze vormen van fraude kunnen beschermen (ik denk eerlijk gezegd van niet, maar moet de argumenten hiervoor misschien nog eens een keer goed opschrijven).

Deze keer waarschuwt mijn email programma mij echter luid en duidelijk (met witte letters op een fel rode achtergrond) voor het risico dat dit een valse email kan zijn die een link bevat waar ik maar beter niet op kan klikken. Dan zou namelijk spyware geïnstalleerd kunnen worden, of zou ik verleid kunnen worden persoonlijke gegevens (zoals mijn inlogcodes voor internetbankieren).

De link in kwestie is https://web.flowmailer.net/link?id=6NdxSIFx.... En die link is inderdaad een probleem (ook al leidt die, voor zover ik heb kunnen nagaan, inderdaad wel naar de juiste pagina). Want het domein flowmailer.net zegt mij niets. Ik heb geen enkele reden om aan te nemen dat Essent gebruik maakt van de diensten van "flowmailer" (wat die diensten dan ook mogen zijn). Ik heb dus geen enkele reden om die link te vertrouwen (buiten het feit dat die link in een mail staat die van Essent afkomstig lijkt te zijn, maar ook dat kan ik zelf niet controleren, en we krijgen tegenwoordig allemaal zogenaamd mailtjes van de Rabobank of de ING of whatever die er behoorlijk authentiek uitzien). Eigenlijk zou ik dus nooit op die link moeten klikken.

Wat Essent dus doet (en waar deze waarschuwing van mijn email programma mij weer eens op wees) is ons trainen in het doen van iets wat we eigenlijk nooit moeten doen: zomaar klikken op links in emails (naar sites die ons niets zeggen). Essent traint ons dus eigenlijk om willoos slachtoffer te worden van phishing scams. Dat zouden zij niet moeten doen. (Misschien dat als genoeg email programma's hun gebruikers gaan waarschuwen voor deze emails van Essent, en daarmee het incasso proces van Essent wordt verstoord, ze hun leven beteren.)

In case you spot any errors on this page, please notify me!
Or, leave a comment.