Is een mailtje te vertrouwen?

Phishing is een probleem dat de laatste jaren steeds groter is geworden. Bij phishing probeert iemand de ontvanger van een mailtje of de bezoeker van een website te overtuigen dat men te maken heeft met een bekende, vertrouwde instantie (zoals een bank of de belastingdienst). Vervolgens wordt er gevraagd om in te loggen en iets te controleren, of om bepaalde gegevens te updaten. Indien de betreffende persoon de e-mail of site inderdaad vertrouwt en de gevraagde gegevens invoert, geeft hij hiermee zijn inloggegevens, n.a.w.-gegevens of creditcardgegevens prijs, met alle nare gevolgen van dien. Maarten schreef er in het verleden op dit weblog al diverse berichten over.

Vanmiddag twitterde de Consumentenbond het volgende bericht:

Herken jij namaak sites van banken en nep e-mails? Doe de phishing quiz en leer je er tegen wapenen http://ow.ly/36LKR

Voordat je verder leest (en ik een deel van de clou verklap), doe dan zelf de test: Consumentenbond phishing test

In de eerste plaats is het goed dat de Consumentenbond hier de aandacht op wil vestigen. De overheid is sinds een jaar of twee ook actief geworden in het wijzen op de mogelijke gevaren bij internetgebruik, zie bijvoorbeeld de site Veilig internetten, waar de bekroonde Stanislav-campagne ook onderdeel van uitmaakte. Maar op Twitter ontstond (terecht) ook kritiek op de quiz (1, 2, 3, 4). Want hoe kan een gebruiker nou weten of het klikken op een link naar iets.mailplus.nl of ietsanders.e-mailstation.nl wel te vertrouwen is, maar het klikken op bla.phishmailprovider.nl niet? Zoiets kun je niet van een gebruiker verlangen, en daarmee is de kritiek op de quiz indirect ook kritiek op de verzenders van de legitieme e-mails.

Links van e-mailproviders
Om te begrijpen waarom mails van vertrouwde instellingen in veel gevallen toch links in hun mail hebben, waarvan je niet in één oogopslag kunt zien waar ze naar toe gaan, is het goed om te weten dat een heel groot gedeelte van het bedrijfsleven het versturen van e-mails heeft uitbesteed. Het versturen van (grote hoeveelheden) e-mail is -mede door de wildgroei van spam- een vak apart geworden. In Nederland heb je bijvoorbeeld MailPlus, E-Village en E-mailstation die het verzenden van e-mails voor honderden bedrijven uit handen nemen. Een groot voordeel van het versturen van mail via zo'n e-mailprovider is dat er uitgebreide rapportages beschikbaar zijn. Onderdeel van die rapportage is de click-ratio, oftewel: hoe vaak wordt er doorgeklikt op de linkjes uit mijn e-mails? Voor marketeers is dat hele kostbare informatie, want het gebruik van een ander subject of een ander template kan in sommige gevallen een grote factor schelen in de uiteindelijke conversie.

De enige manier om die click ratio in de rapportages op te kunnen nemen, is de linkjes te redirecten via de server van de e-mailprovider. De e-mailprovider kan aan de hand van de link zien wie er op heeft geklikt, en hoe vaak dat is gebeurd. Dit wordt vervolgens opgeslagen, en de bezoeker wordt doorgestuurd naar de oorspronkelijke link.

Hoe lossen we dat op?
De makkelijkste oplossing is natuurlijk gewoon de oorspronkelijke links in de e-mails opnemen, maar hiermee verliezen de marketeers een heel waardevol instrument, en verliezen ook de e-mailproviders een gedeelte van hun bestaansrecht. Ik heb eerlijk gezegd geen idee of de e-mailproviders zelf al hebben nagedacht over een oplossing voor dit probleem, maar wat ik me heel goed kan voorstellen is dit op te lossen met DNS. Grote Bank N.V. zou wat mij betreft een subdomein aan moeten maken (bijv. mailings.grotebank.nl) en dit naar de e-mailprovider moeten doorlussen. Op die manier komen linkjes naar mailings.grotebank.nl en naar iets.mailplus.nl uiteindelijk op dezelfde server uit. Dit is eigenlijk zo simpel, dat ik me niet kan voorstellen dat er nog geen e-mailproviders zijn die zoiets al inzetten. (Wellicht weet iemand hier meer van?)

Gerelateerde problematiek
Ik bedacht me net dat het probleem van niet-herkenbare links nog verder gaat dan het bovenstaande. Want met de opkomst van Twitter, waarbij een limiet van 140 karakters geldt, zijn ook de diverse link-verkort-diensten explosief gegroeid (zoals TinyURL, bit.ly en is.gd). Ook in de tweet van de Consumentenbond wordt gebruik gemaakt van zo'n service, in dit geval ow.ly. Het is voor mij als internetter niet te zien waar die link naar toegaat.

Gelukkig hebben de meeste mensen tegenwoordig wel een virusscanner, en zullen de meeste moderne browsers je waarschuwen als je op een phishingsite terechtkomt. Het klikken op een link zal daarom in de meeste gevallen geen ernstige gevolgen hebben, mits de gebruiker maar goed oplet. Doe ik inderdaad zaken met mijn bank of de belastingdienst? Of is het inderdaad een slimme phisher die door mijn phisingfilter heen is gekomen? Het is zaak om goed de domeinnaam van de site te checken, en ook op te letten of de site wel via een beveiligde verbinding om je gegevens vraagt. Vrijwel alle moderne browsers geven de gecheckte identiteit van de website ook weer in hun adresbank:

Rabobank verified

Ik ga even op zoek naar wat mensen uit de e-mailmarketing hoek, eens kijken of ze iets zinnigs aan deze discussie toe te voegen hebben ;)

09-11-10 Gepost door: Jelle-Jan van Veelen Comment (1)

Reacties

Remy Bergsma - 2010-11-09 18:40

Leuk artikel, en zeker terecht: dit is iets wat zeker een punt is mbt trackable links in e-mails.

Er zijn inderdaad e-mailproviders in binnen- en buitenland die dit al aanbieden om het phishing probleem te omzeilen/voorkomen: hiermee wordt bv een subdomein a la nieuwsbrief.bedrijf.nl aangemaakt waar alles op binnenkomt aan links.

Het lastige is wel dat een dergelijk subdomein + linkjes wel mogelijk moet zijn aan de klant-kant en ESP-kant, wat om uiteenlopende redenen niet altijd het geval is..

De url-shorteners zoals die van bit.ly en t.co vormen een groter probleem: doordat deze juist zo kort zijn is een subdomein van de hoofdsite niet een oplossing. Pre-fetching van urls door Twitter-clients gebeurt echter steeds meer (oa Hootsuite en volgens mij ook Tweetdeck ondersteunen dit) waardoor je als Twitteraar niet per se een link hoeft open te klikken om te zien waar deze uiteindelijk naartoe gaat, maar het dus al in de interface zichtbaar is.

Add Comment


E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA