Banken en phishing, het blijft lastig. Vandaag stuurde de ASN mij de perfecte phishing email. (De ING deed dit jaren geleden al eens). De ASN vraagt mij om, per email, een nieuwe scan van mijn identiteitsbewijs te sturen. Ik heb maar even gebeld hoe het zit. Want als dit niet van de ASN zou zijn geweest… dan was het een perfecte phishing email geweest.

Het blijkt dat de ASN vandaag inderdaad deze email aan 88.000 van haar klanten heeft gestuurd. Waarom?

Bij het aanvragen van mijn rekening heb ik ooit een kopie van mijn identiteitsbewijs gestuurd. Dat is verplicht. Het blijkt dat bij een interne audit de ASN er achter is gekomen dat destijds niet alle noodzakelijke checks op het identiteitsbewijs zijn uitgevoerd. Dat identiteitsbewijs is inmiddels verlopen. Om de vergeten checks alsnog te doen heeft ASN een nieuwe kopie van mijn identiteitsbewijs nodig.

Je kunt je vraagtekens stellen bij het ‘waarom’, maar veel erger is de manier ‘waarop’ ASN mij vraagt om een nieuwe kopie te sturen.

Ten eerste stuurt ASN een email (zie hier), in plaats van een brief. Terwijl ik al mijn rekeningafschriften wel per post krijg!

Ten tweede noemt ASN in haar email alleen de mogelijkheid om een scan van je identiteitsbewijs te sturen naar een email adres, zonder een optie van encryptie. Dat is extreem onveilig. Niet genoemd wordt de mogelijkheid om een kopie per post te sturen. Terwijl die mogelijkheid er wel blijkt te zijn!

Ten derde vergeet de ASN te adviseren om de scan te beschermen, bijvoorbeeld door er op te schrijven dat de kopie bedoeld is voor ASN Bank, en het BSN door te strepen.

ASN. Deze manier van communicatie is waardeloos. Zo train je je klanten om dat te doen wat ze juist niet moeten doen: reageren op een email met de vraag om persoonlijke informatie. Grappig genoeg staat onder aan de email

Twijfelt u of deze e-mail van ASN Bank is? Dan is het goed om te weten dat wij in onze e-mails nooit vragen om uw bankgegevens, zoals uw pincode en de codes van uw digipas of digicode.

Maar jullie vragen dus wel om een scan van een identiteitsbewijs! WTF!

Klant van ASN, als je dit leest: stuur ASN geen scan van je identiteitsbewijs via de email. Maak een veilige kopie, en stuur deze copie naar

Antwoordnummer 1188
2501 WB, Den Haag.

En ASN: stuur morgen even een correctie naar al je 88.000 klanten met daarin
netjes de goede, veilige, manier beschreven waarop dit wel moet. Dit keer nog per email, om de verwarring zo kort mogelijk te laten duren. Maar in het vervolg dit soort berichten per post graag.

P.S.: nog even terug naar het waarom… Steeds vaker worden we gevraagd om een kopie van een identiteitsbewijs op te sturen, als bewijs wie we zijn. Daarmee krijgen steeds meer mensen zo’n kopie in handen, waarvan we maar moeten hopen dat ze er goed mee omgaan. De waarde van zo’n kopie neemt daarmee navenant af. (Sowieso is een kopie al een slechte manier om iemand te identificeren, laat staan te authenticeren.) Ergens vind ik het wel een beangstigende gedachte dat een willekeurig iemand in mijn naam een bankrekening kan openen, als hij maar een kopie van mijn identiteitsbewijs kan overleggen…. Laten we stoppen met die onzin!