Belastingdienst waarschuwt voor explosie van phishingberichten

De Belastingdienst waarschuwt voor een explosieve stijging van phishingmails en -sms'jes. De fiscus kreeg deze week honderden meldingen per dag, terwijl dat er normaal slechts enkelen zijn. In de meldingen staat dat de ontvanger een schuld heeft openstaan.

De Belastingdienst schrijft dat de mails niet van de fiscus zelf afkomstig zijn. De berichten zijn in de afgelopen dagen verstuurd. Naast e-mails worden ook sms-berichten verstuurd. In de mail staat dat de ontvanger een schuld heeft bij de Belastingdienst. Er staat een link in de berichten waarmee een zip-file wordt gedownload. Daarin zit een JavaScript-bestand dat malware installeert. Het is niet bekend wat voor malware dat is.

De Belastingdienst zegt dat er een explosie van meldingen is. Normaal krijgt de dienst enkele tientallen melden per week binnen. Tegen de NOS zegt de Belastingdienst dat er vorige week zeker 500 meldingen kwamen, en afgelopen maandag zeker duizend. Waar de grote phishingaanval precies vandaan komt is niet bekend.

Belastingdienstspam_2

Reacties (99)

wildhagen

Beveiliging en antivirus

6 december 2019 17:35

Ik heb hem ook gehad (2x). Hij zit best knullig in elkaar, waardoor hij vrij snel op zou moeten vallen:

- "De referentienummer" ipv "Het referentienummer"
- Ze spreken over een bijlage, maar die zit er niet aan, alleen een download-link
- De belasting stuurt geen facturen, maar aanslagen.

Ook de layout is totaal niet professioneel zoals je van een Belastingdienst zou verwachten.

Ik mag gezien bovenstaande aannemen dat er dan ook niet al teveel mensen in zullen trappen?

De waarschuwing van de Belastingdienst is natuurlijk wel goed, voor de mensen die het toch niet doorhebben ondanks alle overduidelijke onjuistheden,

Sokratesz @wildhagen • 6 december 2019 20:13

Die crappy opmaak en spelfouten zitten er bewust in. Ze gebruiken het als eerste filter om alleen domme en kwetsbare mensen binnen te hengelen zodat de kans groot is dat ze ook met de vervolgstappen (betaling ed) doorgaan. Mensen die snugger genoeg zijn om die mail te doorzien zouden anders toch later ook afhaken.

De site 419eater (als hij nog bestaat) had veel info over de handelswijze van dit soort scammers al vanaf de begintijd van het internet, en daarvoor per brief en telefoon.

Dit artikel beschrijft dit fenomeen en bevat een link naar een onderzoek van Microsoft met dezelfde conclusie: https://www.mentalfloss.c...emails-are-poorly-written

[Reactie gewijzigd door Sokratesz op 22 juli 2024 14:02]

SpiceWorm @Sokratesz • 7 december 2019 00:26

Ik denk dat ze met een goed opgemaakte email zonder spelfouten veel meer binnenhalen maar dat ze dat domweg niet lukt.

Met een nette email zien nog veel meer mensen het aan voor echt.

Sokratesz @SpiceWorm • 7 december 2019 08:05

Zou je denken, maar dat is niet zo. Zoek eea maar op online, de crappy eerste contact berichten zijn een belangrijk deel van de strategie om zoveel mogelijk kwetsbare mensen binnen te hengelen.
Het opstellen van een correcte te brief is triviaal dus anders hadden ze dat ook al lang gedaan

het zijn immers geen domme mensen die dit soort afpersing schema's opzetten.

Dit artikel beschrijft dit fenomeen en bevat een link naar een onderzoek van Microsoft met dezelfde conclusie: https://www.mentalfloss.c...emails-are-poorly-written

[Reactie gewijzigd door Sokratesz op 22 juli 2024 14:02]

SpiceWorm @Sokratesz • 7 december 2019 13:33

Dan ga je er wel vanuit dat je tijd kwijt bent aan de mensen die waarschijnlijk niet gaan betalen - als je de boel geautomatiseerd doet biedt het opzettelijk slechter maken van je content geen voordeel.

Sokratesz @SpiceWorm • 7 december 2019 17:06

We hebben het over scammers die al sinds vóór het bestaan van het internet op deze manier opereren, dus hun methoden zijn geperfectioneerd om met minimale tijdsinvestering zoveel mogelijk mensen binnen te halen. Zo snel mogelijk de intelligente personen eruit filteren is daar deel van.

Als je inhoudelijke kritiek hebt op het onderzoek van Microsoft dat dit alles bevestigd horen ze het graag, denk ik

[Reactie gewijzigd door Sokratesz op 22 juli 2024 14:02]

SpiceWorm @Sokratesz • 7 december 2019 18:30

In het onderzoek hebben ze het over minimaliseren van de kosten van een false positive (tijd minimalisatie voor gevallen die niet er in gaan trappen).

En goede kans dat dat in best wat gevallen een terechte aanname is. Maar in het geval van een encryptiemalware die volledig geautomatiseerd is heb je er belang bij dat zoveel mogelijk mensen je software installeren. En mensen afschrikken werkt dan averrechts, het is vrij simpele logica. Je wil zo veel mogelijk mensen verleiden tot het installeren van de software en niet groepen expres uitsluiten.

Edit: mijn opmerking is offtopic maar sokratesz krijgt een +2?

[Reactie gewijzigd door SpiceWorm op 22 juli 2024 14:02]

CivLord

Belastingdienst

@SpiceWorm • 9 december 2019 09:22

Misschien gaat het ook om de effectiviteit voordat tegenmaatregelen genomen worden.
Een slecht geschreven mail zullen veel mensen weggooien zonder verdere actie te ondernemen. Wanneer mensen getriggerd worden tot een actie, waarbij ze er op dat punt pas achter komen dat het niet pluis is, zijn ze meer geneigd om daar melding van te maken. En genoeg meldingen kunnen een fishing-campagne bekorten, doordat er meldingen in het nieuws komen, een server wordt afgesloten, etc.

Een mailtje van de Belastingdienft over een betaalachterstand van € 50 zullen veel mensen weggooien omdat ze zien dat Belastingdienft verkeerd gespeld is. En daarmee is voor hen de kous meestal af.
Maar wanneer ze in een email van de Belastingdienst op een link klikken om de € 50 betalingsachterstand te betalen en ze zien dat die link naar Scammers.com leidt, zijn ze meer geneigd om het mailtje aan de belastingdienst te melden, omdat ze er zelf bijna ingetrapt waren. Diegenen die over Belastingdienft heen lezen zullen in de meeste gevallen ook niet door hebben dat er iets mis is met de link naar Scammers.com.

GeoBeo @wildhagen • 6 december 2019 18:47

Ik heb hem ook gehad (2x). Hij zit best knullig in elkaar, waardoor hij vrij snel op zou moeten vallen:

- "De referentienummer" ipv "Het referentienummer"
- Ze spreken over een bijlage, maar die zit er niet aan, alleen een download-link
- De belasting stuurt geen facturen, maar aanslagen.

Ook de layout is totaal niet professioneel zoals je van een Belastingdienst zou verwachten.

Ik mag gezien bovenstaande aannemen dat er dan ook niet al teveel mensen in zullen trappen?

De waarschuwing van de Belastingdienst is natuurlijk wel goed, voor de mensen die het toch niet doorhebben ondanks alle overduidelijke onjuistheden,

Als "niet al te veel" mensen erin zouden trappen, dan zou phishing niet bestaan.

Niet iedereen is even slim geboren en niet iedereen heeft de kans gehad een opleiding te volgen in z'n leven.

Zomaar een feitje om je even wakker te schudden: in Nederland wonen ongeveer 2,5 miljoen laaggeletterden (mensen die niet echt kunnen lezen of helemaal niet kunnen lezen). Bron: https://www.lezenenschrij...heid/veelgestelde-vragen/

En dat is exclusief mensen als ouderen en andere groepen die geen idee hebben hoe internet werkt en er net mee in aanraking komen.

En dan heb je nog de mensen die dus wel kunnen lezen, maar laag begaafd zijn en niet echt precies weten wat een factuur, aanslag, heffing, boete, kwitantie, etc is en wie die wel / niet stuurt en hoe je wel / niet kunt weten dat de bron betrouwbaar is.

Ik mag gezien bovenstaande aannemen dat een zeer significant deel van de mensen hierin zal trappen.

[Reactie gewijzigd door GeoBeo op 22 juli 2024 14:02]

phoenix2149 @GeoBeo • 6 december 2019 23:47

Precies.

Bedrijf had iets geniaals bedacht.

Collega en ik zaten bij een klant en kregen een mail met iets van je account opnieuw activeren van ons registratie systeem. Delink gecheckt was logisch, iets van https://www.bedrijfsnaam....iesysteem/login/activeren, dus op geklikt, waarin we ons wachtwoord moesten geven, niets meer. Beide gelijk van.... hmmm er klopt iets niet. Mail doorgestuurd naar IT.

Bleek om een interne “trap” te zijn om te checken hoe wachtwoorden in elkaar steken en dat mensen dus nog steeds abc123 gebruiken en zo. Simpele constructies.

Op basis daarvan is er een wachtwoord reset uitgegaan die screent op logische vervolgen en herhalingen.

Mooie bait waar ruim 60%!!!! In is getrapt. Allemaal “hoger opgeleide” HBO en WO mensen.

[Reactie gewijzigd door phoenix2149 op 22 juli 2024 14:02]

Recklezz @phoenix2149 • 7 december 2019 08:25

Of je zet even het password complexity vinkje aan in de default domain policy...

Robbedem @phoenix2149 • 7 december 2019 10:25

Wat verwacht je dan?
Bedrijf:
- elke 3 maand moet je je wachtwoord veranderen
- het moet minimaal 8 en maximaal 12 tekens zijn
- er moet minstens een kleine letter, hoofdletter en cijfer in voorkomen.

Aangezien je geen software mag installeren op bedrijfscomputers => geen password manager.
Uiteraard mag je ook geen post-its met het wachtwoord gebruiken.

En als je 3 keer een verkeerd wachtwoord ingeeft, dan ben je ene halfuur tot een uur bezig met een nieuw wachtwoord te krijgen...

Mss niet zo onlogisch dat er veel gelijkaardige en slechte wachtwoorden gebruikt worden?

GeoBeo @phoenix2149 • 7 december 2019 08:52

Ik heb nog wel erger meegemaakt bij een gigantisch internationaal bedrijf waar ik tijdelijk zat (niet lang geleden).

Die stuurden ook !om de paar maanden! zo'n email rond met "click hier om je passwords te wijzigen voor ze verlopen". Alleen die was echt. Ze trainden mensen dus om juist wel op die link te clicken om hun wachtwoord te wijzigen.

We hebben het over een bedrijf met meer dan 50k werknemers wereldwijd.

Met dat soort beleid maakt het weinig uit of een wachtwoord "welkom" is of "HaLL[--O JA B33R SPIN 23423$*%4728349 !! $*%&#$*#".

Verwijderd @phoenix2149 • 7 december 2019 22:59

Ik kan je met zekerheid vertellen dat er genoeg HBO/WO mensen zijn die een wachtwoord als voornaam+geboortejaar gebruiken...

Er zit niets veel anders op dan campagnes over cybersecurity te geven, en bijvoorbeeld het delen van de website laatjeniethackmaken.nl

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:02]

Bux666 @GeoBeo • 6 december 2019 22:43

Zomaar een feitje om je even wakker te schudden: in Nederland wonen ongeveer 2,5 miljoen laaggeletterden (mensen die niet echt kunnen lezen of helemaal niet kunnen lezen).

Een nuance, van dezelfde bron als die jij opgeeft, over laaggeletterdheid:

Wat is laaggeletterdheid?
Laaggeletterden zijn mensen die moeite hebben met lezen, schrijven en/of rekenen. Vaak hebben zij ook moeite met omgaan met een computer. Zij beheersen het minimale niveau om volwaardig in de Nederlandse maatschappij te kunnen functioneren niet. Dat niveau is door de overheid vastgesteld op eindniveau VMBO of niveau mbo-2/3 (niveau 2F binnen de Standaarden en eindtermen volwassenen educatie).

Wat is het verschil tussen laaggeletterdheid en analfabetisme?
In tegenstelling tot laaggeletterden kunnen analfabeten (ongeletterden) helemaal niet lezen en schrijven.

[Reactie gewijzigd door Bux666 op 22 juli 2024 14:02]

GeoBeo @Bux666 • 7 december 2019 08:46

Daar staat in meer woorden wat ik ook al schreef "mensen die niet echt kunnen lezen".

[Reactie gewijzigd door GeoBeo op 22 juli 2024 14:02]

CivLord

Belastingdienst

@GeoBeo • 9 december 2019 09:10

De grootste fout die le kunt maken is denken dat alleen minder begaafden/ laag geletterden in fishing zullen trappen.
Bepaalde vormen richten zich op minder begaafden of zitten zo vol met taalfouten dat het anderen dan laag geletterden al snel opvalt. Maar er worden genoeg fishing mails verstuurd die er wel goed uit zien. Ik heb laatst een mail van de Rabobank gekregen die voor mij maar op twee punten alarmbellen af deden gaan. Ten eerste heb ik geen bankrekening bij de Rabobank en ten tweede stond er en een link in, wat geen enkele bank meer doet. De afzender en de link zelf heb ik niet nader bekeken.

Maar zelfs taalfouten zijn geen effectief filter voor iedereen die niet laag geletterd is.
Internetfora staan bol van taalfouten (ook een goede indicatie van de stelligheid of de mate van extremiteit van de mening, hoe stelliger of extremer een mening gebracht wordt, des te meer taalfouten staan er in de regel in). Daardoor kun je een beetje 'taalfoutblind' worden. Wanneer je snel een mailtje leest kan het zijn dat zelfs de meest duidelijke taalfouten je niet meteen opvallen.

mr_evil08 @wildhagen • 6 december 2019 18:37

Bepaalde bevolkingsgroepen hebben er moeite mee, zou je vragen mag ik je huissleutel dan zal iedereen nee zeggen, wordt per mail gegevens/acties gevraagd wordt dit probleemloos overhandigd, zolang die lui er zijn blijven we dit soort ongein houden, er hoeft maar 0,001% te reageren dan is het al jackpot.

WoutervOorschot

@wildhagen • 6 december 2019 18:14

Ik vrees voor de dag wanneer phishingmails goede opmaak en correct nederlands gaan gebruiken.

K-aroq @WoutervOorschot • 6 december 2019 19:01

Dat is geeneens nodig. Moet je eens op consumentenfora gaan kijken bij klachten over dubieuze webwinkels. Dan zeggen de slachtoffers dat de webwinkel er professioneel en betrouwbaar uit ziet, en als je gaat kijken kom je de meeste vreselijke websites tegen. Slecht taalgebruik, lelijke layout, geen gegevens over het bedrijf. En er wordt massaal gekocht. Uiteindelijk hoef je alleen maar te zeggen dat iets goedkoop is, en je loopt binnen.

[Reactie gewijzigd door K-aroq op 22 juli 2024 14:02]

janbaarda @WoutervOorschot • 7 december 2019 00:27

Phishingmails worden vaak met opzet een beetje knullig in elkaar gezet. Op deze manier krijg je een geselecteerd deel van de bevolking dat gevoeliger is voor vervolgacties. Vooral Nigeriaanse dating syndicaten gebruiken deze truc om minder mail van ongeschikte(te slimme) kandidaten te hoeven beantwoorden.

Pietervs @WoutervOorschot • 6 december 2019 20:22

Ik kreeg deze week 2 e-mails van Paypal.
Dat wil zeggen: phishingaanvallen.

Zeker de eerste mail heb ik 4x gelezen, want het zag er toch echt legitiem uit. Desondanks natuurlijk niet op de link geklikt, maar gewoon ingelogd op een andere PC op mijn Paypal account. Toen een half uur later exact dezelfde mail kwam wist ik zeker dat het om een phishingaanval ging.
Bleek overigens ook uit de link: die verwees naar bit.ly.

Maar ze worden dus wel beter...

Patches @Pietervs • 7 december 2019 12:50

Die kwam bij mij ook binnen, ook 4 keer en liep tegen het zelfde probleem aan. Mijn eigen wantrouwen heeft ervoor gezorgd dat ik buiten de mail om naar mijn PayPal account ben gaan kijken. Maar was er zeker bijna ingetrapt.

Voor die hem nog krijgen: het ging er over dat mijn account geblokkeerd was door bijzondere transacties. De 'red flag' voor mij was dat het een Engelse mail was en ik ben Nederlands van PayPal gewend.

RoestVrijStaal @wildhagen • 6 december 2019 17:47

Ook de layout is totaal niet professioneel zoals je van een Belastingdienst zou verwachten.

Aangezien zowat iedere instantie om de 1-2 jaar de layout vernieuwd, zou ik dat niet als vuistregel nemen. Tegenwoordig moet het allemaal superversimpeld, plat, vlak en veel witruimte zijn terwijl het vroeger glossy en sprankelend moest aanvoelen.

Ik mag gezien bovenstaande aannemen dat er dan ook niet al teveel mensen in zullen trappen?

Helaas is er vergeleken met betaalservices (PayPal, Visa, MasterCard) en banken (Abn Amro, ASN, Rabobank, ....) maar één fiscus waar Nederlanders uit kunnen kiezen: de Belastingdienst.

Iedere Nederlander krijgt ermee te maken, dus ik vrees van wel.

Bensimpel @RoestVrijStaal • 6 december 2019 18:31

Een mailtje dat eruit ziet als platte text neem ik nooit serieus. Ik zou op zijn minst altijd nog een overheid icoontje verwachten.

KiD_KRiool @Bensimpel • 6 december 2019 20:50

ik krijg altijd een mailtje dat er iets in mijn overheid staat, daar kan ik idd zien waar het om gaat

jurroen @Bensimpel • 6 december 2019 23:16

Jammer; platte tekst is eigenlijk veel beter dan die overbodige opmaak en nonsense in HTML mail. Dan zie je ook direct wat de daadwerkelijke link is. Je kunt dan geen link toevoegen naar een phishing website en als tekst “mijn.belastingdienst.nl” gebruiken.

Ik heb zelf ingesteld dat ik standaard de tekst versie te zien krijg en pas na een klik de HTML versie. Ik

phoenix2149 @Bensimpel • 6 december 2019 23:57

Mijn overheid stuurt ook nagenoeg plein text berichten. Maar op zijn minst met een ministerie plaatje.

Geen links wat ik heel goed vindt.

_Eend_ @RoestVrijStaal • 6 december 2019 18:30

Ik heb vaak mensen horen zeggen "Ik ben geen klant van $Bedrijf, dus waarom krijg ik mail van ze? Toch maar even kijken klik"

ToolBee @wildhagen • 6 december 2019 17:45

De belastingdienst heeft me toevallig gisteren een mail gestuurd, dat er een bericht in mijn inbox stond.
In die mail staat overduidelijk dat deze instantie NOOIT een mail met een link, naar wat dan ook, stuurt.
(Ik zocht zelf de link naar "mijn overheid" maar zelfs die sturen ze niet mee!)
Als iedereen dit weet...

Verwijderd @ToolBee • 6 december 2019 18:39

De belastingdienst heeft me toevallig gisteren een mail gestuurd

Kan je uitleggen hoe je zo zeker wist dat het van de BD was?

Als iedereen dit weet...

dan... ?

ToolBee @Verwijderd • 6 december 2019 18:52

Wat je altijd moet doen: Domein van afzender checken. Of beter in je adresboek zetten en het spamfilter zijn werk laten doen.

SpiceWorm @ToolBee • 7 december 2019 00:28

Domein van de afzender checken biedt nog steeds geen garantie, dat kan gewoon gespoofed zijn.

rickdtop @ToolBee • 6 december 2019 23:23

niet helemaal, ook altijd een whois doen op het ip van de zendende mailserver

Verwijderd @ToolBee • 7 december 2019 12:19

Domein van afzender checken

Ik weet niet waar je technische kennis ligt, dus misschien sla ik richting jou de plank mis. Maar mijn reactie is (in dat geval) ook bedoeld voor de overige lezers die enkel de tekst van de domeinnaam controleren, zonder per se te begrijpen wat er feitelijk (achter de schermen) moet gebeuren. En ongetwijfeld zie ik zelf ook e.e.a. over het hoofd.

DNS controle van het domein in e-mailberichten is evenals DNS controle van reguliere websites technisch best lastig. Gelukkig gebeurt dat vooral achter je rug om door technieken die veel doneinnaamhouders en e-mailproviders gebruiken, maar je moet wel weten of dat ook gebeurt. Goede e-mailsoftware zou iedereen hier bij kunnen helpen, maar doet dat lang niet altijd.

Zonder zaken als DMARC/SPF/DKIM/DNSSEC is alleen de controle van de domeinnaam een weinig betrouwbare manier om phishing e-mail te identificeren. @Warbringer linkte een presentatie die werd gegeven door de BD. Daarin werd een e-mail getoond waarvan een oplettende maar feitelijk onbekwame gebruiker vermoedelijk goede zou denken te doen met een domeinnaam controle op tekst, maar vrolijk de mist in kan gaan als aan de technische voorwaarden niet wordt voldaan.

Nogmaals: misschien weet je precies hoe je adequaat een phishing e-mail identificeert o.b.v. de genoemde technieken, en zelfs dan zijn er vast uitzonderingen te bedenken. Voor de duidelijkheid: zelf wantrouw ik elk bericht met een link of content anders dan platte tekst, en ga uit van phishing tot het tegendeel bewezen is. Helaas bestaat de wereld ondertussen in grote mate uit e-mail met frivole kleuren en unsubscribe links etc. Dat helpt niet naar mijn mening.

edit: tekst deels aangepast

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:02]

metalmania_666

@wildhagen • 6 december 2019 17:50

Mensen die onzeker met de computer zijn.
Afgelopen maand nog 2 mensen moeten helpen die het slachtoffer geworden waren.

K-aroq @metalmania_666 • 6 december 2019 18:59

Misschien wordt het dan toch tijd voor een "internetrijbewijs". Ik weet niet hoe je dit praktisch kunt inregelen maar de gevolgen van gebrekkige kennis van de materie worden gewoon te groot. Aan de andere kant: er zijn ook nog steeds mensen die in verkoopreisjes trappen, terwijl daar toch al tientallen jaren tegen wordt gewaarschuwd.

tweazer @K-aroq • 6 december 2019 21:09

En een halfjaartje wachten, CBR is nu de achterstand aan het inhalen

CivLord

Belastingdienst

@K-aroq • 9 december 2019 08:53

Een internetrijbewijs klinkt leuk, maar zal effectief betekenen dat je een hoop mensen van internet af zult sluiten.

memphis @wildhagen • 6 december 2019 18:17

De 1e dag dat ik ze kreeg waren het er direct 8, allemaal verschillende bedragen en heel knullig verschillende afzenders, maakt het ook echt geloofwaardig. Een normaal persoon zou hier nooit in trappen maar helaas zijn er meer digibeten dan kenners op deze aardbol.

Ook de SMS betreffende de Rabobank pas gehad, vreemd genoeg heb ik geen Rabobank en zijn die spammers/acammers verkeerd ingelicht.

Trousercough @wildhagen • 6 december 2019 19:57

Ik werk voor een partij die vandaag ook grootschalig is getroffen door een phishing aanval. Binnen een paar uur was er 10.000+ keer geklikt op de meegestuurde betaallink (konden we achterhalen via de partij die de link aanbiedt). Mensen klikken toch helaas erg veel op dit soort dingen.

Het lijkt daarnaast dus niet alleen te gaan om de Belastingdienst, maar ook om andere bedrijven.
Het bijzondere aan de phishing aanval die bij ons werd uitgevoerd is dat het enkel verstuurd is naar e-mailadressen van een bepaalde ISP

Ienni1983 @wildhagen • 6 december 2019 20:06

Ik heb hem inderdaad ook drie keer ontvangen voordat ik mijn spamfilter instelde om een html bestand als bijlage te weigeren.

Want bij mij zaten er bij elke mail een html bestand als bijlage.

Eerste keer schrok ik wel een beetje, tot ik zag wat er in de mail stond.

Magic Power @wildhagen • 6 december 2019 21:04

Ook de layout is totaal niet professioneel .. Ik mag gezien bovenstaande aannemen dat er dan ook niet al teveel mensen in zullen trappen?

Ik heb eens een keer gelezen dat ze die berichten expres niet helemaal goed maken. Daardoor vallen diegene die er verstand van hebben niet over, en strik je voornamelijk mensen die hier niet wetend over zijn.

Kort gezegd: Het zou ervoor zorgen dat je alleen reacties krijgt van mensen die vatbaar zijn voor manipulatie, en zo weinig mogelijk mensen die hier minder vatbaar voor zijn.

KeesAlderlieste @wildhagen • 6 december 2019 22:00

Bij alle exemplaren die ik gezien heb zat er een html bestand als bijlage bij

darknessblade @wildhagen • 7 december 2019 00:02

niet te vergeten het mail adres is meestal zoiets als:

jasdhfp9a8f7a89df6ysfd90awef6w78aerf6asd789f6as0d89f67a90@da890sf7asd98f7asdf89yasdf98yasdf98asf6yas98df7as098f7,com

eivissa100 @wildhagen • 7 december 2019 11:39

Zo'n 15 procent van de mensen is uh niet zo slim of heeft een beperking. Daar richten de boeven zich op. Dus bijna altijd kassa!

bloq @wildhagen • 8 december 2019 11:50

Ik heb hem ook gehad (2x). Hij zit best knullig in elkaar, waardoor hij vrij snel op zou moeten vallen:

- "De referentienummer" ipv "Het referentienummer"
- Ze spreken over een bijlage, maar die zit er niet aan, alleen een download-link
- De belasting stuurt geen facturen, maar aanslagen.

Ook de layout is totaal niet professioneel zoals je van een Belastingdienst zou verwachten.

Ik mag gezien bovenstaande aannemen dat er dan ook niet al teveel mensen in zullen trappen?

De waarschuwing van de Belastingdienst is natuurlijk wel goed, voor de mensen die het toch niet doorhebben ondanks alle overduidelijke onjuistheden,

Bedankt voor je feedback, ik neem het mee in de volgende iteratie.

Warbringer 6 december 2019 18:43

Grappig, de belastingdienst heeft eerder dit jaar op de jaarlijkse Splunk conferentie een hele presentatie gegeven (die ze ook op BlackHat hebben gegeven trouwens) over hoe dat ze phishing campagnes inzichtelijk maken die uit naam van de belastingdienst worden gestuurd. Zal wel een gevalletje persvoorlichter zijn die niet weet wat het SOC van de belastingdienst allemaal echt aan het doen is. Wie meer wil weten over deze techniek kan me een PM sturen.

Michelli

@Warbringer • 6 december 2019 20:06

Ook op de One Conference afgelopen oktober

SebasC88 6 december 2019 17:34

Deze week ook al aantal mensen gehoord die phishing-SMS kregen voor hun bankrekening, waarbij ze een SMS kregen dat hun bankpas zogenaamd verlopen was en of ze even een link wilden volgen. Afzender was zelfs een herkenbaar mobiel nummer dus het zijn niet echt subtiele pogingen, maar ben bang dat er toch altijd wel iemand intrapt.

Cyw00d @SebasC88 • 6 december 2019 17:54

Ik heb hem ook 2x gehad, heb hier een screenshot, wellicht handig om dit erbij te vermelden zodat ze herkenbaar zijn:

https://tweakers.net/ext/f/IkHYxerBCIcueGyCHlYVUq0f/full.png

slaay @Cyw00d • 6 december 2019 17:57

Ook even gemeld bij de provider van het nummer?
Zodat ze het nummer offline kunnen halen en er geen berichten meer via dat nummer verstuurd kunnen worden.
Je kan heel makkelijk achterhalen welke provider eigenaar is van het nummer: https://www.acm.nl/nl/ond...ummers/nummers-doorzoeken

supersnathan94 @slaay • 6 december 2019 18:28

Heeft geen zin. Er wordt iedere keer een nieuw nummer gebruikt. Heb em ook meermaals gehad.

Freeaqingme @Cyw00d • 6 december 2019 17:58

https://rabobank.nl.anderdomeinnaam.tld is toch wel creatief. Kan je nog 100 keer mensen op het hart drukken dat ze in de adresbalk moeten controleren dat daar echt 'https://rabobank.nl' staat, dat heeft met dit soort constructies ook weinig zin.

DJMaze @Freeaqingme • 6 december 2019 21:18

Ach mijn servers blokkeren elke dag e-mails uit rusland met als afzender betaalpas@rabobank.veiligbankieren.nl
Die gaan bij anderen om een reden wel door spamfilters (iemand outlook/hotmail?

)

darknessblade @Cyw00d • 7 december 2019 00:04

nu snap ik waarom mensen erin zouden trappen, die zien aanvragen,rabobank,nl.???????.?????????
maar niet het ????? gedeelte, dus dan denken ze het is officieel.

vooral omdat er weinig screenshots van rondgingen, snapte ik niet waarom iemand er in zou trappen.

[Reactie gewijzigd door darknessblade op 22 juli 2024 14:02]

Ventieldopje @SebasC88 • 6 december 2019 17:38

Klopt die krijg ik nog steeds vaak van de Rabobank, die lijken een stuk echter. Ik zit niet bij de Rabobank maar toch

Melkunie @SebasC88 • 6 december 2019 17:45

Daar is een paar dagen geleden nog iemand in getrapt met enorme gevolgen:
https://www.ad.nl/tech/ma...de-z-n-pasje-op~ae777509/

ToolkiT 6 december 2019 17:39

Ik had er afgelopen dagen ook veel van 'paypal'... dat was rond black friday/Cyber monday.. waarschijnlijk denken phise-ers dat mensen er nu eerder in trappen aangezien er vaker gebruik van gemaakt word..

Of ze hebben geld nodig om kerstkadotjes te kopen natuurlijk

Melkunie @ToolkiT • 6 december 2019 17:45

Zo hé, die heb ik ook gehad. Stuk of 4 per dag, bijna een week lang.

ToolkiT @Melkunie • 6 december 2019 17:50

yup ik had precies hetzelfde.. op een gegeven moment kreeg ik al meteen een nieuwe toen ik de 1e als phising had gemarkeerd..

Pietervs @ToolkiT • 6 december 2019 20:49

Doorsturen naar spoof@paypal.nl

Ik heb er meer vertrouwen in dat zij er iets mee doen dan die waardeloze spamfilters van Hotmail of Gmail...

darknessblade @Pietervs • 7 december 2019 00:13

hotmail is echt extreem erg. veel spam met EXACT diezelfde layout en CONTENT maar een ander scrambled adress, komt toch in de gewone inbox.

vooral:
fake mediums, bitcon,afslank zooi, fake trials, en fake prijzen

Skit3000

6 december 2019 19:00

Wat de Belastingdienst (en elke andere organisaties) hier kan doen is iedereen een voor ieder persoon unieke code toekennen die ze op elke brief of mail naar je toe zetten. Zie je die code dan niet staan, dan is het nep.

Hoe die code er precies uit moet zien weet ik niet. Misschien moet je die zelf wel kunnen kiezen, of moet het een identicon worden zoals laatst ook bij Tweakers is geïntroduceerd?

Edit: Dit kan je natuurlijk ook gebruiken om phising via de telefoon bij inkomende gesprekken te voorkomen. In plaats van dat jij je geboortedatum aan de persoon met wie je spreekt geeft, zeggen zij jouw persoonlijke codewoord. De enige narigheid in dit systeem zit 'm in dat als je codewoord eenmaal uitlekt, je hem overal moet laten veranderen. Ik zie er niks in om dat via een app of website te doen (want; te moeilijk en dan krijg je weer dat mensen naar nepsites worden gelokt) maar ergens aan een balie in het gemeentehuis. Je krijgt dan een belletje of telefoontje dat je code "appel banaan citroen" is gelekt en dat je een nieuwe op moet komen halen. Banken en andere vertrouwde websites kunnen daarna jouw nieuwe code weer opvragen.

[Reactie gewijzigd door Skit3000 op 22 juli 2024 14:02]

darknessblade @Skit3000 • 7 december 2019 00:20

mischien dan ook de oplossing geven om zelf een code aan te maken.

een goede zou dan zijn, "gij verekte gieldzuger, mien cente kriegt ge nie"

heerlijk plat nederlands, verstaan die oplichters 99 van de 100 keer toch niet.

avdongen

@darknessblade • 7 december 2019 00:34

Gewoon mail op je eigen domein, overal een ander mailadres opgeven. Je kunt controleren of het van de juiste partij komt, weten wie je mailadres gelekt heeft en rules instellen als dat zo is. Heb je geen eigen domein, dan ondersteunt je provider misschien wel de syntax "user+rabobank@provider.nl" en kun je nog steeds overal een uniek adres opgeven.

tweazer @Skit3000 • 6 december 2019 21:34

Ze kunnen beter belasting heffen op junk mail

CivLord

Belastingdienst

@Skit3000 • 9 december 2019 09:38

Werkt niet. Mensen vergeten die code en wanneer er een mailtje binnen komt met een willekeurige code er op zullen ze eerder geneigd zijn om te denken dat het wel klopt, dan hun code op te zoeken en te controleren.

Dit zijn methodes van mensen die denken dat ze er slim genoeg voor zijn, om het probleem neer te leggen bij mensen van wie ze vinden dat die niet slim genoeg zijn om met de methode toe te passen. Vervolgens krijgen die mensen de schuld omdat ze te stom of te lui zijn om iets simpels te onthouden of na te kijken en wordt er verder niets gedaan om het eigenlijke probleem op te lossen.

Skit3000

@CivLord • 9 december 2019 10:59

Wat werkt dan wel? Die code kun je natuurlijk ook in je portemonnee of aan je sleutelbos bewaren.

De rollen omdraaien en de mensen zelf laten inloggen om te kijken of er nieuwe berichten zijn zoals op Mijn Overheid werkt ook niet. Het is namelijk niet één organisatie die je iets wilt laten weten, maar tientallen. Zelfs een mail dat je een nieuw bericht hebt is gevaarlijk, want een phiser stuurt dezelfde mail gewoon mét link en dan wordt er alsnog op geklikt.

CivLord

Belastingdienst

@Skit3000 • 9 december 2019 11:14

Ik zeg niet dat ik dé methode heb waarmee fishing is tegen te gaan. (Wanneer ik die wel had was ik waarschijnlijk druk bezig om daar erg rijk mee te worden.)

Er is nog een ander probleem met een code in een email.
Een email is in principe niets meer dan een elektronische postkaart, waarvan iedereen op de route die de email aflegt de inhoud kan lezen. Wanneer je daar met een eigen node tussen gaat zitten kun je de emails met codes onderscheppen en zelf gaan gebruiken voor fishing mails. Misschien iets bewerkelijker dan wat nu gebeurt, maar wel met een veel hogere kans dat mensen er intrappen. Dat is iets dat criminelen met meer kunde en mogelijkheden aantrekt.
De oplossing daarvoor, beveiligde email voor iedereen zal je in de nabije toekomst niet voor heel Nederland kunnen implementeren.

telenut 6 december 2019 18:41

Heb al mensen zien posten op facebook dat hun hele bankrekening leeg gehaald is hierdoor... En dat waren dan mensen die werken bij de overheid...
Als ik dit zou zien als werkgever, die zou het nog eens mogen komen uitleggen ook!
Wij hebben hier al verplichte les phishing voor het ziekenhuispersoneel, en nog gaan er zijn die er in trappen..

K-aroq @telenut • 6 december 2019 18:56

Bij de overheid werkt ook maar een dwarsdoorsnede van de bevolking. De resultaten zullen elders hetzelfde zijn. Bij mij op het werk worden regelmatig phishing tests gedaan, en er zijn toch altijd weer zo'n 20% van de mensen die er op reageren. En dat is bij een IT bedrijf.... Je zou het bijna meenemen in het HR dossier, net zoals als mensen een email reply naar het hele bedrijf doen....

tonkie_67 @K-aroq • 6 december 2019 19:27

Bij ons hebben we een "report phising" knop in Outlook en vervolgens stuurt it-security fake phise mails. Omdat ik in vrij korte tijd een aantal van die nep/test physmails correct herkende en melde kreeg ik toch leuk 1650 inspire punten (waarde zon €20).. leuke manier om het onder de aandacht te brengen

tweazer @tonkie_67 • 6 december 2019 21:33

Zal ik de mails genereren, delen we de 'winst'

tonkie_67 @tweazer • 13 december 2019 23:51

Nope... je krijgt alleen punten voor het correct melden van test mails... niet voor echte phising mails.
Voor die laatste krijg je wel een terugmelding of het idd een "dangerous threat" was of een geldig verzoek van een ander bedrijf of afdeling.
Maar voor zover ik weet geen Inspire punten

darknessblade @K-aroq • 7 december 2019 00:16

ze kunnen het gewoon beter doen, meerdere malen traps mails sturen, en dan markeren hoevaak mensen er in zijn getrapt, en bij 5+ keer, van een no risk test, 1 high risk test sturen waarbij die persoons computer een syskey krijgt. wat door de ICT zelf is gedaan, dan een HR meeting, van waarom die er nog steeds in trapt.

hierdoor leren ze het wel,

regmaster @telenut • 6 december 2019 19:51

Ik kan het je nog sterker vertellen, ik heb bij een bewustwordingstraining een phishing mail als voorbeeld laten zien. Helemaal geanalyseerd hoe je phishing kunt herkennen. De volgende dag heb ik dezelfde mail rondgestuurd en ja hoor, meer dan 40% heeft de links in de mail geopend, De links wezen gelukkig naar een lokale webserver met een stevige boodschap.
Dan vraag je je toch af waarom je nog de moeite neemt om het te vertellen.

Houtenklaas @regmaster • 6 december 2019 22:42

Tja, ik herken wat je zegt. Kortgeleden bij ons in het bedrijf een phishingmail gestuurd met een poll om de koffie van gratis naar betaald te brengen. Dan is de factor emotie gewoon te sterk voor een hoop mensen ... En elk jaar moet iedereen verplicht een "Hoe herken ik ..." weblearning ding doen met toetsje er bij. De keer ervoor dat het thuiswerken aan banden werd gelegd en nog een paar van dat soort onderwerpen waarbij wordt ervaren dat aan "vrijheden" wordt getornd. Ook een leuke is dat je niet meer tussen 07:00 en 09:30 mag beginnen maar alleen tussen 08:00 en 08:30 zodat er einde middag ook nog voldoende personeel binnen is. En dat je daarop gaat klokken. Wedden dat je boven die 40% komt? Emotie is daarin een gek ding, die schakelt even domweg het collectieve gezonde verstand uit

CivLord

Belastingdienst

@regmaster • 9 december 2019 09:32

Dan vraag je je toch af waarom je nog de moeite neemt om het te vertellen.

Dat mag je je inderdaad afvragen. Je moet alleen niet de fout bij de ontvangers neerleggen, maar inzien dat dit soort trainingen een nutteloze verspilling van tijd en geld zijn.

Maar serieus, wanneer 40% een boodschap niet doorkrijgt, mag in de eerste plaats de boodschapper zich heel diep gaan schamen.

tonkie_67 @CivLord • 13 december 2019 23:58

Denk dat t niet alleen bij de boodschapper ligt. Veel mensen denken bij de training 'da's logisch... ik herken phising direct
... training is er voor anderen, niet nodig voor mij maar omdat t verplicht is klik ik er snel doorheen... en dan maakt t weinig uit of training goed is of niet.
En die mensen zullen "test phising" herkennen als ze erop bedacht zijn, maar als t onverwacht komt klikken ze snel. Zeker als er emotie bij komt kijken zoals hierboven genoemd.
De boodschapper beschuldigen is te kort door de bocht

Nostalgmus

6 december 2019 18:20

Apart, in mijn gehele leven heb ik nog nooit een phishing mail ontvangen en mijn huidige email heb ik toch al zo'n 10 jaar.

Ik maak dan ook geen gebruik van internetbankieren, misschien een correlatie of toevalligheid.
Daders moeten natuurlijk wel enige informatie van je hebben om de juiste phishing mail te versturen.
Alhoewel een bulk aan mails ook wat positieve resultaten zal kunnen opleveren.

Bensimpel @Nostalgmus • 6 december 2019 18:36

Check de spam box maar eens

K-aroq @Nostalgmus • 6 december 2019 18:54

Phishers weten niet of jij internetbankiert. Ze sturen gewoon een schot hagel naar zo veel mogelijk mensen. En dan ook nog namens een grote bank of andere grote organisatie. Als je in NL zo'n bericht stuurt alsof je ING bent dan heeft 30....40% van de geadresseerde een ING rekening.

CivLord

Belastingdienst

@Nostalgmus • 9 december 2019 09:27

Er zal eerder een correlatie zijn met andere zaken waar je je emailadres niet voor gebruikt. Zoals voor nieuwsbrieven, webshops etc.
Emailadressen voor fishing mails en spam komen meestal van adressenlijsten die zijn gekocht of gehackt van bedrijven die nieuwsbrieven versturen en webshops.

Cid Highwind 6 december 2019 17:45

Klinkt legitiem, de fishcus.

Muncher 6 december 2019 18:16

Heeft iemand de mail headers van deze phish? Ben wel benieuwd waar die meuk vandaan komt.

tweazer @Muncher • 6 december 2019 21:28

Ook al heb je de headers, de mail komt waarschijnlijk van een botfarm, tor netwerk, tijdelijke account, etc etc.

Zelf zou ik (met eventuele hash codes veranderd in de url) de site met een 100tal bots een dag of zo downladen...

Verwijderd 6 december 2019 18:54

Op dit soort screendump-plaatjes van 1/8 van het normale formaat kunnen we niet heel veel ontcijferen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (99)

Sorteer op:

Weergave: