PostNL introduceert antiphishingcode voor e-mails

PostNL introduceert een antiphishingcode voor e-mailcommunicatie zodat klanten kunnen controleren of de mail daadwerkelijk van het postbedrijf is of niet. Klanten kunnen vanaf het moment van schrijven zelf een antiphishingcode instellen via hun PostNL-account.

In alle e-mailcorrespondentie met PostNL wordt deze code na activatie voortaan getoond. De code kan een woord of een korte zin van maximaal twintig tekens zijn en moet bovenaan iedere legitieme e-mail van PostNL verschijnen. Het bedrijf waarschuwt dat het na activatie 24 uur kan duren voordat de code daadwerkelijk in e-mails verschijnt.

De implementatie van de antiphishingcode is volgens PostNL een maatregel tegen cybercriminaliteit. Het tonen van de zelfbedachte code moet eventuele twijfel over de echtheid van de mail bij klanten wegnemen. Het concept is overigens niet nieuw; meerdere grote cryptoplatformen gebruiken deze techniek bijvoorbeeld al.

Reacties (136)

Anonymoussaurus 4 juni 2024 18:04

Klanten kunnen dit hier instellen (je moet uiteraard eerst inloggen): https://jouw.postnl.nl/ac...ti-phishingcode-instellen

Tourmaline @Anonymoussaurus • 4 juni 2024 18:09

Dank voor de link. Heb een code ingesteld.

Krijg inderdaad veel phishing mails van verzendbedrijven zoals dhl, post.nl enz.

[Reactie gewijzigd door Tourmaline op 23 juli 2024 08:50]

lameeuw

@Tourmaline • 4 juni 2024 18:25

Mwah lijkt me niet dat je de phishing mails VAN DHL of PostNL krijgt, maar van mensen die zich voordoen als DHL of PostNL...

JBVisual @lameeuw • 4 juni 2024 19:07

En sommigen valide websites komen onbetrouwbaar over dankzij wildgroei aan domeinen.

Zo kreeg ik een e-mail van GLS om mijn packet te volgen op: https://www.gls-info.nl/

Ik ging er eerst vanuit dat het phishing was, omdat ik gewoon GLS.COM of GLS.NL zou verwachten (al dan niet een subdomein). Maar het blijkt vervolgens een valide e-mail te zijn.

Door het gebruik van dat soort extra domeinen zorgen bedrijven er juist voor dat phishing door mensen nog steeds er doorheen komt, omdat we op deze manier mensen nooit alert zullen worden op vreemde domeinnamen.

striper @JBVisual • 4 juni 2024 21:02

Dat vind ik ook een kwalijke zaak. Zo kreeg ik laatst een mail van security@facebookmail.com; dat bleek na een whois zoekopdracht en wat googlen gewoon een valide mail domein te zijn van Facebook. Ongelofelijk

mocean @striper • 4 juni 2024 22:11

Dat komt omdat mailservers tegenwoordig zo'n enorme configuratiehel zijn voor dit soort bedrijven, dat ze liever een apart domein nemen vanwege DNS, DMARC, SPF etc. etc.

Murfy @mocean • 4 juni 2024 22:54

Maar hadden ze dan niet beter mail.facebook.com genomen...

joker1977 @Murfy • 5 juni 2024 07:40

Dat is geen apart domein, maar een subdomein van facebook.com, toch ?

Murfy @joker1977 • 6 juni 2024 07:40

Je kan een subdomein aparte nameservers geven zodat je het apart kan managen.
Facebook.com is in een zin ook een subdomein van .com.

joker1977 @Murfy • 6 juni 2024 08:53

Ah dat wist ik niet, dan ben ik het helemaal met je eens, was een stuk duidelijker geweest!

the_stickie @mocean • 4 juni 2024 23:17

Er is wat meer werk te doen dan 20 jaar geleden, maar echt complex kan je SPF en DMARC niet noemen imo. Bovendien geeft het an sich geen verschil in welk domain je de records publiceert, als het maar in het domain is dat je voor je mails gebruikt.
In mijn ervaring is de wildgroei van dns domains bij (grote) bedrijven vaak het gevolg van gebrekkig centraal beheer van domains en certificaten en de bijhorende 'delegations of privilege' waardoor het voor afdelingen her en der gewoon makkelijker is te doen of dat allemaal niet bestaat en zelf iets te registreren.
Soms is het makkelijker je te verontschuldigen dan toestemming te vragen/krijgen.

Cyberpuppy @the_stickie • 5 juni 2024 12:49

Helder. Maar zorg er in je communicatie met klanten voor dat je een eenduidig domein gebruikt. Scheelt een boel.

Christoxz @JBVisual • 4 juni 2024 20:22

En dan heeft GLS ook nog:
https://gls-group.com/NL/nl/home/
https://gls-group.eu/NL/nl/home/W
https://www.gls-us.com/ (Voor de US, maar dan nog)

DHL heeft ook dhlexpress.nl

Waarbij andere partijen zoals UPS, DPD het wel gewoon op 1 domein houden.

kvdveer @Christoxz • 5 juni 2024 08:32

DHL parcel en DHL express zijn twee losse bedrijven, die op papier samenwerken, maar in praktijk moeite hebben om te erkennen dat de andere kant bestaat.

(bron: ik ben zakelijke klant van beide)

robutt @kvdveer • 5 juni 2024 09:25

Klopt. Hopeloos is dat. Komt de zakelijke tak bij je aan de deur, ben je niet thuis, dan moet je het 100 km verderop ophalen op het depot ipv dat ze het bij een pakketkluis of servicepunt 2 km verderop neerleggen.

Wally2002 @kvdveer • 5 juni 2024 10:02

En DHL Parcel heet inmiddels DHL e-commerce om het makkelijk te maken.

kvdveer @Wally2002 • 6 juni 2024 19:52

Niet te verwarren met "DHL express commerce" (I am not kidding you)

-Elmer- @JBVisual • 4 juni 2024 23:34

Eens! Dát ze extra adressen registreren is prima, je kunt er tenslotte mee voorkomen dat die worden gebruikt door criminelen. Maar ga er niet vanuit lopen mailen. Dat is alleen maar verwarrend en security ondermijnend. Bij grote organisaties wil het nog wel eens voorkomen dat het SPF record volraakt. Er zijn dan zoveel mailservers waarvandaan mag worden verzonden dat je de tekenlimiet bereikt van het DSN record. Dan krijg je dit soort halfbakken oplossingen. Gebruik van een subdomein zou een stuk beter zijn!

[Reactie gewijzigd door -Elmer- op 23 juli 2024 08:50]

brid @-Elmer- • 5 juni 2024 10:01

Spf raakt zeker snel vol, zeker met al die saas diensten die vanuit het domain moeten kunnen mailen

freaky @-Elmer- • 5 juni 2024 10:36

Denk niet dat het stuk loopt op het 'teken' limiet.

Op de 10 look-ups restrictie t.b.v. een SPF record wel.

En dan kun je altijd nog naar een subdomein in je envelope from / return-path en die mogen laten mail namens hoofddomein (header from).

Asterion

@JBVisual • 5 juni 2024 07:13

Dan vind ik dit nog “betrouwbaar” overkomen.

Enkele jaren geleden kreeg ik een mail van Bpost dat er een pakket onderweg was.

Al mijn alarmbellen gingen af want het zou van mijn werkgever komen met de naam van iemand die daar werkt. Zij verzenden anders nooit pakketten.
De track and trace link ging niet eens via Bpost maar via een AWS link.

Na wat navraag bleek het dan toch van hen te komen.

Hoe betrouwbaar kom je dan over als bedrijf?
Als je een, voor een tweaker, een mega onduidelijke url gebruikt om naar een track and trace pagina te gaan?

TheGiantPotato @JBVisual • 5 juni 2024 11:13

Ik heb wel eens spam e-mails gekregen van een e-mailadres "info@mailer.netflix.com", exact het officiële e-mailadres van Netflix maar hartstikke neppe e-mails, was gewoon gespooft.
Ik heb het adres ook vijfdubbel gecheckt omdat ik het heel raar vond, maar het was het exacte adres, niet met een l vervangen met een I of zo.

Kwam eerst ook niet in het spamfilter van Gmail terecht, maar het was een nep "kortingsactie" en de prijs die ze in de e-mail lieten zien was in Indiase Roepies (en volgens mij in sommige e-mails zelfs nog wat anders) dus dat was vrij duidelijk niet echt, en ik ben ook niet geïnteresseerd in Netflix dus hoe echt het ook leek ik had toch niet op de links geklikt.

Maar dat is dus ook iets om op te letten, zelfs al komt een e-mail van het officiële e-mailadres van een bedrijf, dat zegt nog niet alles.
Dan is zo'n antiphishingcode zoals wat PostNL hier doet dus best wel goed, tenzij anderen aan die code komen heb je altijd 100% bevestiging dat een e-mail echt van PostNL komt zonder dat je helemaal moet gaan uitzoeken of alle links wel echt naar PostNL lijden en zo.

Tomhap @JBVisual • 5 juni 2024 12:13

Dit viel mij ook al op met de levering van mijn Steam Deck. Als ik de GLS link van Valve aanklikte kreeg ik geen tracking informatie te zijn. Ging ik echter naar GLS-info dan kreeg ik netjes in beeld wat de status van de zending was en wanneer deze geleverd zou gaan worden.

cariolive23 @lameeuw • 4 juni 2024 21:04

Precies, en in die phishing mails ontbreekt dus de antiphishing code die jij hebt ingesteld.

Geen code = geen legitieme email

AibohphobiA BoB

@cariolive23 • 4 juni 2024 21:59

Hahaha, voor sommige mensen is het klaarblijkelijk toch te moeilijk.

Goed systeem trouwens, ik heb het meteen even ingesteld bij PostNL. Hopelijk blijft het niet bij dit bedrijf.

slowdive @AibohphobiA BoB • 5 juni 2024 00:06

Maar stel, PostNL wordt gehackt en jouw anti-spam-frase komt in de database van de hacker te staan. Wat dan?

Wat als je als klant dit systeem bij heel veel/alle website moet gaan toepassen. Moet je dan een eigen database gaan bijhouden met de frase die je gebruikt hebt?

Ik denk dat je bij elke website een unieke frase moet gebruiken. Hoe zorg je ervoor dat deze echt uniek is en geen patroon volgt (hash van de bedrijfsnaam+eigen 'salt'?)

Moet (en kun) je deze frase na een tijd veranderen om de database van de hacker waardeloos te maken?

Deleon78 @slowdive • 5 juni 2024 08:08

Allemaal prima oplossingen (een passwordmanager voor wachtwoorden die ook de anti phishing code bijhoudt).

Je vindt het te overdreven?
Dat klopt, maar je geeft zelf al aan dat het nu dan ook nog niet van toepassing is. Als de apc overal gebruikt wordt en vervolgens ook veel misbruik plaats vindt, kan dergelijke oplossing transparant geïmplementeerd worden.

Maar goed, gebruik dan gewoon een pki. Werkt min of meer hetzelfde

Ik ben voor!

AibohphobiA BoB

@slowdive • 5 juni 2024 09:06

Maar stel, PostNL wordt gehackt en jouw anti-spam-frase komt in de database van de hacker te staan. Wat dan?

Wat als je als klant dit systeem bij heel veel/alle website moet gaan toepassen. Moet je dan een eigen database gaan bijhouden met de frase die je gebruikt hebt?

Ik denk dat je bij elke website een unieke frase moet gebruiken. Hoe zorg je ervoor dat deze echt uniek is en geen patroon volgt (hash van de bedrijfsnaam+eigen 'salt'?)

Moet (en kun) je deze frase na een tijd veranderen om de database van de hacker waardeloos te maken?

Nee hoor, allemaal niet nodig. De hacker weet niet dat ik overal dezelfde gebruik. Dat kan, maar hoeft niet.
Bij een hack krijg ik waarschijnlijk een mail van PostNL om het te wijzigen. Dat kan dan phishing zijn natuurlijk. Maar ja, gewoon nooit klikken op links in mail maar naar de website gaan met je eigen login.

sellh @Tourmaline • 4 juni 2024 23:41

Het aantal phishing mails dat ik ontvang, is klein doordat het meeste wordt onderschept door het filter van mijn domeinprovider. Maar zo nu en dan glipt er wel eens wat doorheen. Het meeste herken ik direct, doordat wel heel opzichtig gevraagd wordt in te loggen met naam en wachtwoord en door de vele taalfouten.

Maar nog niet zo lang geleden stonk ik toch gedeeltelijk in zo'n mailtje.... een phishing mail van "Bol.com" in de vorm van een vragenlijst waarmee je een cadeaubon zou kunnen winnen, beginnend met onschuldige vragen als "welk soort artikelen bestel je over het algemeen bij BOL.com?" en "Hoe vaak bestel je gemiddeld iets bij Bol.com?". Toen m'n telefoonnummer gevraagd werd, besefte ik waar ik mee bezig was..... maar toen had ik wel mijn e-mail al ingetikt. Die was natuurlijk al bekend, want daarop ontving ik de spam, maar toch.... toch bevestigd dat het adres actief was.

Door dit incident nog iets scherper geworden.

HansvDr @sellh • 5 juni 2024 07:01

Cadeaubonnen is bijna altijd Spam.

HakanX @Tourmaline • 4 juni 2024 18:30

De link was nep, @Anonymoussaurus heeft nu je login en antiphishingcode. Voortaan moet je elke mail dat hij stuurt geloven

Zo zullen de nieuwe spam emails er wel uit zien, klik hier en stel je antiphishingcode in om jezelf te beschermen.

Yongshi @HakanX • 4 juni 2024 18:42

Hoezo, is dat niet het domein van postnl dan?

Anonymoussaurus @Yongshi • 4 juni 2024 18:48

Jawel, hij zit je gewoon in de zeik te nemen.

Leuk ironisch grapje natuurlijk.

Yongshi @Anonymoussaurus • 4 juni 2024 18:52

Ah ok, dacht al dat ik iets had gemist of dat zelfs officiele domeinen niet meer te vertrouwen zijn (zou kunnen, tls is ook niet perfect)

david-v

@Yongshi • 4 juni 2024 20:20

Het is soms best wel lastig om te weten of het de officiële domeinnaam is.

https://www.рostnl.nl ziet er prima uit, maar is het niet

[Reactie gewijzigd door david-v op 23 juli 2024 08:50]

Yongshi @david-v • 4 juni 2024 20:23

oe leuke, hoe heb je dat gedaan? Andere character set? is een l eigenlijk een hoofd letter i?

david-v

@Yongshi • 4 juni 2024 20:25

Unicode lookalikes, in dit geval de p

Zie hier voor meer lookalikes

Yongshi @david-v • 4 juni 2024 21:57

Thanks, weer wat geleerd

kimborntobewild @Yongshi • 5 juni 2024 07:39

Thanks, weer wat geleerd

Dat zelfs een Tweakert dit fenomeen niet kent, geeft al aan dat een domeinnaam by design alléén uit a-z, 0-9 en -+ zou moeten kunnen bestaan. Iedereen die heeft ingestemd met de technische mogelijkheid om unicode-karakters in een domeinnaam te ondersteunen, heeft 0,0 verstand van security. Het is misdadig geweest om mensen met 0,0 verstand van security mee te laten beslissen in dezen.

arjankoole @kimborntobewild • 5 juni 2024 08:29

[...]

Dat zelfs een Tweakert dit fenomeen niet kent, geeft al aan dat een domeinnaam by design alléén uit a-z, 0-9 en -+ zou moeten kunnen bestaan. Iedereen die heeft ingestemd met de technische mogelijkheid om unicode-karakters in een domeinnaam te ondersteunen, heeft 0,0 verstand van security. Het is misdadig geweest om mensen met 0,0 verstand van security mee te laten beslissen in dezen.

Dat was inderdaad destijds de grootste kritiek op dat verhaal. Helaas wilden ze niet luisteren.

Misschien toch eens een filter bouwen die alleen ascii toestaat.

kimborntobewild @arjankoole • 7 juni 2024 11:19

Misschien toch eens een filter bouwen die alleen ascii toestaat.

Software-security (BitDefender / Norton / McAfee / TrendMicro / Eset) bedrijven zouden zo'n browser kunnen ontwikkelen. Ze hebben het niet door, maar dat zou hun verkoop wel eens enorm kunnen boosten. Laat ze gelijk een instelling in de browser inbouwen, die voorkomt dat een URL automatisch binnen 0,001 seconden naar een ander URL gaat (wat gebruikelijk is onder malwareverspreiders).
Ik moet ze maar een mailtje sturen. Al worden wishlists meestal genegeerd...

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 08:50]

DvanRaai89 @david-v • 4 juni 2024 22:34

Anders deze wel:
https://apple.com
(Werkt alleen in FireFox)
@Yongshi

[Reactie gewijzigd door DvanRaai89 op 23 juli 2024 08:50]

Heedless @DvanRaai89 • 4 juni 2024 23:20

Firefox laat wel de uiteindelijke url zien in de adresbalk. Maar ja, dan moet je wel net zien dat die verspringt.
Link werkte ook in (mobiele) Safari overigens.

[Reactie gewijzigd door Heedless op 23 juli 2024 08:50]

DvanRaai89 @Heedless • 5 juni 2024 01:04

Ah, in FF Android niet, daar is 't gewoon apple.com

iam2noob4u @DvanRaai89 • 4 juni 2024 23:49

Ik moet (in Firefox) naar de certificaatinfo toe als ik (zonder dat het meteen wegspringt) het echte domein wil zien (www.xn--80ak6aa92e.com). Als ik dat plak in mijn adresbalk, verspringt hij doodleuk weer naar https://www.аррӏе.com/...

Gelomidor1 @Anonymoussaurus • 4 juni 2024 19:05

Thanks, done. Kwam gelijk achter dat mijn wachtwoord gelekt was….

desalniettemin @Anonymoussaurus • 4 juni 2024 19:11

Handig, bedankt.

[Reactie gewijzigd door desalniettemin op 23 juli 2024 08:50]

cratyz @Anonymoussaurus • 4 juni 2024 20:16

was leuk geweest als je een phishing link had gestuurd

Cerberus_tm

@cratyz • 5 juni 2024 02:53

Exact dit, ik ga echt niet op een link drukken hier. Ik ga zelf wel naar de site van Post NL.

robertderidder @Anonymoussaurus • 5 juni 2024 11:01

Ik heb die code ook al een tijdje terug ingesteld, maar nog nooit gezien in een mail van PostNL, ook al zou die bij alle mails getoond moeten worden. Blijkbaar krijg ik alleen phishing mails dan. ;-)

RobertMe

Beveiliging en antivirus

4 juni 2024 18:09

Eerste gedachte bij mij: en hoe voorkomen ze dan dat deze antiphishingcode niet gephished wordt? Dat valt dan zeker weer in de categorie "sta nooit je antiphishingcode af", maarja, dat zeggen ze natuurlijk ook al van gebruikersnaam en wachtwoord.

Edit:
Overigens zal het vast iets helpen. Bv dus omdat je deze "antiphishingcode" als het goed is daadwerkelijk nooit nodig hebt / ergens hoeft in te vullen. Maar dan nog zal het makkelijk om de tuin te leiden zijn of te "phishen" zijn. Zoals bv het voorbeeld van @joppybt "door een storing wordt de code niet weergegeven". Sure, een deel zal dat in twijfel trekken en er dus niet in trappen, maar een deel zal er toch wel weer in trappen en alsnog op een phishing link klikken / ....

[Reactie gewijzigd door RobertMe op 23 juli 2024 08:50]

Orangelights23 @RobertMe • 4 juni 2024 18:13

Ligt aan de wijze van verwerken bij PostNL, uiteraard. Als zij het in plain text opslaan en dat lekt vervolgens, heb je er niets aan. Hashen ze het met een salt, is het weer veiliger.

Edit: ik weet niet waarom dit als offtopic gezien wordt, kan iemand mij dit uitleggen? Dit is een kritiek element rondom deze hele implementatie van PostNL. Veel organisaties verkopen iets als veilig, zonder toe te lichten hoe het achter de schermen werkt. Ik mis deze informatie dan ook bij PostNL.

[Reactie gewijzigd door Orangelights23 op 23 juli 2024 08:50]

RobertMe

Beveiliging en antivirus

@Orangelights23 • 4 juni 2024 18:17

Als ze het hashen (al dan niet met een salt) kunnen ze het niet meer in de mail zetten. Hashing is one-way. Encrypten ze het kunnen ze het weer "ongedaan maken" (lees: decrypten). Maarja, dan heb je een encryption key nodig, en hoe sla je die veilig op?

En risico op lekken vanuit PostNL zal hopelijk klein zijn (ik kan mij geen datalek bij PostNL voor de geest halen, maar misschien heb ik het gewoon niet "opgeslagen"). Dat er omheen wordt "gesocial-engineerd" lijkt mij een groter risico.

feuniks @RobertMe • 4 juni 2024 18:35

Volgens mij is het gewoon een schijnveiligheid. Deze code staat in iedere email die je van PostNL krijgt. En daar staat die gewoon leesbaar in, want anders kan ik als gebruiker die tekst ook niet lezen. Als iemand dus één mail van PostNL onderschept, dan heeft die je naam, email adres, code en de opmaak van PostNL. Alles wat je nodig hebt om de betreffende mail na te maken. Ik denk dat het veiliger was geweest als ze iedere mail gewoon een viercijferige code hadden gegeven en je dan in de app kan kijken welke code op welke dag gebruikt is.

latka @feuniks • 4 juni 2024 18:44

Ja, maar zo werkt scammen meestal niet. Het is meestal met hagel schieten. Als je mensen specifiek gaat targetten zijn er betere methodes.

AibohphobiA BoB

@latka • 4 juni 2024 22:06

Waarschijnlijk zal het bericht er zo uitzien: 'Anti phishing code: Wegens een storing kan deze niet getoond worden'

Vervolgens trappen de mensen die bij Bunq een rekening hebben er gewoon in.

Maar ik vind het sowieso een goede ontwikkeling en iedereen zou dit moeten volgen.

latka @AibohphobiA BoB • 4 juni 2024 23:49

Ik zou zelfs zeggen dat dit in een SMTP standaard moet met een header en dan automatisch junken als de header niet matched met het ingestelde secret...

arjankoole @latka • 5 juni 2024 08:30

Ik zou zelfs zeggen dat dit in een SMTP standaard moet met een header en dan automatisch junken als de header niet matched met het ingestelde secret...

Min of meer wat dkim doet. Je kan dan verifiëren dat de e-mail bij de partij vandaan komt.

AibohphobiA BoB

@arjankoole • 5 juni 2024 08:57

Ja maar dat is maar beperkt veilig.
Als het domein postnl.ru o.i.d. de afzender is dan kan daar een perfecte DKIM op zitten.
Dit is een persoonlijke beveiliging en veel meer werk om te omzeilen.

Yongshi @feuniks • 4 juni 2024 18:51

En dan krijg je een link om snel in de app de code automatisch te valideren. Dat lost het probleem niet op.

Enjge goede oplossing is niet mailen maar klanten zoveel mogelijk met een acoount in de app te doen. Dan is elke mail van postnl standaard spam en kan de email provider deze standaard de junk in gooien.

Hoewel ik het haat om overal alsmaar weer een apart account te moeten maken is dit toch wel net als bij banken de enige manier om phishing echt zoveel mogelijk tegen te gaan. Zelfs bellen zouden ze bij de bank gewoon via de app moeten doen om helpdeskfraude te voorkomen.

Is allemaal ook niet waterdicht maar maakt het toch makkelijker voor gebruikers om fishy situaties te herkennen

Cerberus_tm

@Yongshi • 5 juni 2024 03:02

Maar hoe weten mensen of ze daadwerkelijk via die applicatie opgebeld worden...

Fireshade @Yongshi • 5 juni 2024 10:11

Zelfs bellen zouden ze bij de bank gewoon via de app moeten doen om helpdeskfraude te voorkomen.

ING heeft een soort oplossing daarvoor gevonden: tijdens dat je gebeld wordt door 'de bank', kan je in hun app zien of je daadwerkelijk gebeld wordt door ING. Dus als in de app staat dat je op het moment niet door ING gebeld wordt, kan je ervan uitgaan dat het een nepbeller is.
Een bel app maken vergt wel even wat stevigere investeringen

Autofan1985 @Fireshade • 5 juni 2024 11:39

Nadeel bij ING is daarnaast weer dat ze anoniem bellen. Hetzelfde geldt voor dochterbedrijf Nationale Nederlanden overigens.

Fireshade @Autofan1985 • 5 juni 2024 20:19

Als het een phisher is die anoniem belt, dan staat er in de app dat ING je op dat moment niet aan het bellen is.
Als ING jou anoniem aan het bellen is, staat in de app dat ING je aan het bellen is.
Ik zie niet wat het uitmaakt dat ING je anoniem belt.

Autofan1985 @Fireshade • 6 juni 2024 12:41

Tegen de tijd dat je in de app hebt opgezocht hoe en wat is je telefoontje alweer weg.

Fireshade @Autofan1985 • 7 juni 2024 09:41

Tegen de tijd dat je in de app hebt opgezocht hoe en wat

Niet zo dramatisch doen

Het wordt gewoon op het startscherm getoond.

Fireshade @feuniks • 4 juni 2024 18:49

Zo een aanval zou persoonlijk maatwerk zijn. Dat levert weinig op voor veel inspanning.
Zeker als je bedenkt dat je die anti phishing code erg simpel kan veranderen via de app, dagelijks of elk uur als je wil. Tot nu toe staat die functie nog steeds op het hoofdscherm van de app, al zeker 3 weken nu (vind dit nieuwsbericht rijkelijk laat).

Zo een TAN Code lijst is leuk, maar gaat niemand bij elke mail opentrekken en controleren natuurlijk.

Orangelights23 @RobertMe • 4 juni 2024 20:06

Hier doe je een incorrecte aanname: dat de gebruikte sleutels om te hashen veilig zijn, of dat de informatie zelf geëncrypt wordt. Of je weet meer dan ik, maar dat is niet bekend uit het persbericht van PostNL. Daarnaast heb ik jaren met genoeg technische experts gewerkt (ik ben CISO geweest van een multinational) die hebben aan kunnen tonen dat dit soort mechanismes altijd nog business logic flaws bevatten. Daar bedoel ik geen social engineering mee - inderdaad ook een risico - maar puur een fout in de logica om deze codes te hashen/encrypten/decrypten.

kimborntobewild @RobertMe • 5 juni 2024 07:49

En risico op lekken vanuit PostNL zal hopelijk klein zijn

Het is niet een kwestie van óf Postnl wordt gehackt, maar wannéér.

mrdemc @Orangelights23 • 4 juni 2024 18:18

En hoe zie je het voor je dat ze het gebruiken in een door hun verzonden e-mail als ze alleen een hash hebben

Persoonlijk denk ik dat het een slimme stap is, goed bedacht. In combinatie met een S/Mime certificaat en duidelijke communicatie over het hoe en wanneer ze communiceren op welke manier kan dit een hoop slachtoffers voorkomen. Veel communicatie doen ze tegenwoordig ook al via de app, naast de e-mails die je dan ontvangt.

Auteur

YannickSpinner Redacteur @RobertMe • 4 juni 2024 18:41

Het voorkomt op papier in ieder geval massa phishing, dus een generieke mail werkt dan niet meer omdat ieder code individueel is.

RobertMe

Beveiliging en antivirus

@YannickSpinner • 4 juni 2024 18:49

Nee, dat werkt niet. Dan krijg je dus wat @joppybt aanhaalt "we verbeteren de antiphishingcode en daardoor staat die tijdelijk niet in de mail" / "door een storing wordt de antiphishingcode niet weergegeven" / .... En dan werkt die generieke mail weer wel en mensen trappen er alsnog in.
En de mail is vaak ook niet echt generiek, naast het emailadres weten ze vaak ook wel een naam, die ze er dan ook bij zullen zetten om het betrouwbaarder te laten lijken (naast dat natuurlijk iedereen een eigen mail krijgt en niet een enorme (B)CC lijst).

Auteur

YannickSpinner Redacteur @RobertMe • 4 juni 2024 18:58

Uiteraard is het niet waterdicht, maar desondanks een extra beveiligingslaag, ofwel een horde waar cybercriminelen over moeten

[Reactie gewijzigd door YannickSpinner op 23 juli 2024 08:50]

Cerberus_tm

@RobertMe • 5 juni 2024 03:04

Hopelijk zal een deel van de mensen die er ander in zouden trappen, er toch niet niet intrappen als dat van die storing er staat. Het gaat erom dat je een deel van de mensen beschermt; allen is natuurlijk niet haalbaar.

logix147 @RobertMe • 4 juni 2024 18:28

Ik heb gewoon altijd webwinkel-eventueel-nog-iets@mijndomein.nl
—-
Als er dan via PostNL iets komt weet ik gelijk of ik wat besteld heb, want dan zou daar ook vooraf een order voor moeten zijn.

Op t werk check ik eigenlijk nooit orders tenzij ik weet vooraf dat ze bijv ‘s avonds komen als we “particulier” bestellen.

Ik heb het wel ingesteld maar zie het mezelf niet snel gebruiken. Enige contact wat ik met PostNL heb is dat ze eens in de zoveel tijd pakketjes onterecht bezorgd melden en dat ik die vervolgens een week later pas echt ontvang. Dat is irritant, maar hoort er schijnbaar bij.

ShadLink @logix147 • 4 juni 2024 18:59

Dat kan nog makkelijker bv met gmail.

gebruik dan: jenaam+postnl@gmail.com oid.

logix147 @ShadLink • 5 juni 2024 07:23

Dan ziet men alsnog je e-mail. Op deze manier ziet men niets en feit dat ik bij sommige winkels ineens niet meer kan afterpay-en kwam doordat m’n e-mail adres onbekend was. Dus ja men bouwt wel een profiel online om te kijken of je betalingen in orde zijn.

Tis net zoveel werk als eenmalig bij al je logins een gegenereerd wachtwoord te gebruiken en 2FA overal aan te zetten waar dit maar kan.

Hugo_ijslijk @ShadLink • 5 juni 2024 10:45

En elke spam software ter wereld haalt zo die + er uit. Toch een vrij bekend trucje van gmail

Gelomidor1 @RobertMe • 4 juni 2024 19:05

Mijn eerste gedachte was gelijk, mensen vertrouwen er vervolgens blind op. Code is gelekt, mensen zien t in de mail en vertrouwen t gelijk zonder de rest te checken. En nieuwe slachtoffer erbij…

mocean @Gelomidor1 • 4 juni 2024 22:14

Net zoals mensen denken (tijd terug dan), oh het is httpS, dan is het veilig (maar zitten ze ondertussen op rabobank.to).

Frame164 @RobertMe • 4 juni 2024 19:13

Het is vooral een extra barriere. Als phisher moet je toch weer extra informatie verzamelen. Anderen zullen ongetwijfeld volgen dus dan moet je behoorlijk wat succesvolle inbraken doen om al die informatie te verzamelen. Het is niet/nooit perfect maar alle beetjes helpen. Grote kans dat phishers nu niet meer doen alsof ze postnl zijn maar gewoon een andere bedrijfsnaam misbruiken. Het is en blijft gewoon een kat en muisspel.

morrowyn @RobertMe • 4 juni 2024 23:17

Als de email content onbeveiligd verstuurd wordt ( geen pgp o.i.d.) , dan zou je de content van emails kunnen inzien en op die manier de anti-phishing code kunnen koppelen aan een email adres.

Weet alleen niet of de phishing mails entiteit dan ook dezelfde entiteit is die het email verkeer kan onderscheppen e.d.

HarmJan1990 4 juni 2024 18:11

Slim bedacht! Hoop dat het wat helpt

Zebby @HarmJan1990 • 4 juni 2024 18:33

Het vervelende is dat de mensen die in phishing mails trappen niet de mensen zijn die een account hebben, gaan inloggen, en dit soort informatie gaan plaatsen. Dat gaat weer een marketingcampagne kosten met wisselend resultaat.

Het idee verder is goed, je ziet dit bij sommige financiële instellingen ook terug. Dus een netto winst, maar ik betwijfel of er in de praktijk veel winst mee behaald gaat worden.

Frame164 @Zebby • 4 juni 2024 19:16

PostNL doet slechts wat binnen hun mogelijkheden ligt. Als mensen nog steeds als een kip zonder kop op linkje klikken kan je daar als bonafide bedrijf niets tegen doen.

gimbal @Frame164 • 4 juni 2024 19:59

Alles is schijnveiligheid als je niet wil nadenken inderdaad. Mensen zouden dit als een hulpmiddel moeten zien, niet als een oplossing.

HarmJan1990 @Zebby • 4 juni 2024 18:43

Ja goed punt, maar we hopen maar op het beste 😊

kodak

Phishing
Cybercrime
Beveiliging en antivirus

@Zebby • 4 juni 2024 19:15

Er is nog een vervelender probleem. Hoewel het niet nieuw is heeft dit soort oplossingen zich tot nu toe nooit duidelijk bewezen. En dat gaat niet alleen om slachtoffers die geen kenmerk opgegeven hebben, ook bij personen die het ooit een kenmerk opgegeven hebben is het niet zomaar effectief. Het probleem van phishing is namelijk niet dat een slachtoffer op kan letten op afgesproken kenmerken, maar dat deze niet op het juiste moment wantrouwig genoeg is over de kenmerken. En aangezien in principe alle beetjes kunnen helpen zal het eerder nodig zijn dat iemand eens bewijst of dit op de lange duur werkelijk meer helpt (of het juist minder) dan op een 'gewone' manier niet zomaar een mail vertrouwen. Het feit dat bedrijven de keuze zelf niet lijken te willen onderbouwen lijkt anders meer te gaan om de marketing dan de praktijk.

YopY @Zebby • 5 juni 2024 09:47

Dat is idd ook mijn zorgen; ik wil zeggen dat "wij" erg bewust met het internet omgaan, maar het voelt ook alsof dat met de jaren minder wordt, dat dingen toch minder opvallen, dat we minder op details letten.

ultimasnake 4 juni 2024 18:11

God, dat is nog een een effectieve en simpele oplossing! Heb ‘t niet eerder gezien maat de logica straalt er vanaf.

Soldaatje @ultimasnake • 4 juni 2024 18:30

Ja, ik heb het ook eerder gebruikt voor een bekende Nederlandse cryptobeurs, heb er ook al profijt door gehad eerlijk gezegd. Heb gewoon een random string gebruikt uit mijn wachtwoordmanager en deze daar ook in opgeslagen natuurlijk. Het is wel een kwestie van er vertrouwd mee raken en bewustwording. Een volgende stap zou zijn dat de e-mailclients automatisch herkennen of er een code gebruikt is en de gebruiker kunnen waarschuwen als dat niet zo is.

ultimasnake @Soldaatje • 4 juni 2024 21:40

In theorie, pure theorie. Zou je dat moeten kunnen doen met gmail? Iets van als de afzender bitvavo is en de code staat er niet in doen dan ‘x’

Ik zou zelf gaan voor iets wat snel leest/herkent. Een random string zou ik weer moeten checken, maar goede tip

Cerberus_tm

@ultimasnake • 5 juni 2024 03:06

Met een simpel userscript kan dit in elke web client.

moonlander 4 juni 2024 18:12

Ik verstuur mijn eigen track&trace emails van PostNL, nu gaat iedereen dat in twijfel brengen met zo'n code. Niet handig dus!

Blinkin

@moonlander • 4 juni 2024 18:29

Zolang jij de e-mails er niet uit doet zien al die van PostNL is er niks aan de hand lijkt mij.

moonlander @Blinkin • 4 juni 2024 19:16

Mensen zijn niet zo handig met dit soort dingen, en dit brengt toch weer onhandigheid met zich mee. Wie moet je nog vertrouwen met een track&trace mail? Alleen als jou code erin staat?

Blinkin

@moonlander • 4 juni 2024 20:03

Ik betwijfel of de mensen die hier onhandig mee zijn überhaupt deze code optie zullen instellen. Kan zijn dat ik er naast zit natuurlijk.

joppybt 4 juni 2024 18:11

Een vergelijkbaar mechanisme wat sommige bank websites gebruiken is om een door jou gekozen persoonlijke afbeelding te tonen. Dat is hetzelfde idee.

Het is beter dan niets maar zeker niet zaligmakend, zie https://security.stackexc...veness-of-security-images
Een hacker zal deze tekst tonen

SiteKey Maintanance Notice: Bank of America is currently upgrading our award winning SiteKey feature. Please contact customer service if your SiteKey does not reappear within the next 24 hours.

Onderzoek wees uit dat 97% van de mensen gewoon doorklikte.

[Reactie gewijzigd door joppybt op 23 juli 2024 08:50]

jorikc

@joppybt • 4 juni 2024 18:44

Als er een typefout in het woord “maintenance” staat zouden er toch meer mensen moeten denken dat er iets wellicht niet klopt? Al is dat natuurlijk het makkelijkst om goed te doen door de “phishers”…

Het.Draakje @jorikc • 4 juni 2024 19:46

Neen, mesnen schijnen (zeker als we vluchtig lezen) woorden te herkennen ook als de letters niet geheel in de correcte volgorde staan.

Ga er maar vanuit dat, zelfs na grondige controle, er spelfouten zullen zitten in valide communicatie van een bedrijf. En ga er maar vanuit dat de meeste ontvangers geen spelfout zullen ontdekken.

Goldwing1973 @Het.Draakje • 4 juni 2024 20:16

Zoek de spelfout, dit is een mail die ik van noreply.cjib@online.nl gekregen heb.
Ik heb maar snel betaald, want ik wil natuurlijk niet dat ze beslag leggen op m'n auto en rijbewijs, kan ik wéér naar de wasstraat om het beslag eraf te wassen.

Wij verzoeken u vriendelijk om het verschuldigde bedrag binnen 3 werkdagen over te maken naar bankrekening NL60REVO1759991953 ten name van CJIB te Leeuwarden. Gelieve als betalingskenmerk uw kenteken te vermelden.
Indien wij uw betaling niet tijdig ontvangen, zijn wij genoodzaakt beslag te leggen op uw rijbewijs en voertuig(en), en uw word opgenomen in het wanbetalers register van de belanstingdienst per per 23 Mei 2024. We hopen echter op een tijdige betaling, zodat verdere incassomaatregelen kunnen worden vermeden.
Heeft u het openstaande bedrag reeds heeft voldaan, kunt u deze e-mail als niet verzonden beschouwen.
Hoogachtend,
Pim Grootfaam
Centraal Justitieel Incassobureau

Cerberus_tm

@Goldwing1973 • 5 juni 2024 03:09

Ik zie vele fouten.

uw
word
wanbetalers register
belanstingdienst
Mei
Heeft u het openstaande bedrag reeds heeft voldaan

Dit is toch wel meer dan je in een gemiddelde e-mail van een grote organisatie verwacht.

Dat van de wasstraat kan ik dan wel weer begrijpen.

[Reactie gewijzigd door Cerberus_tm op 23 juli 2024 08:50]

YopY @jorikc • 5 juni 2024 09:48

Da's onderdeel van de scam; mensen die erin trappen zijn ook degenen die typos niet opvallen.

Jetser 4 juni 2024 18:07

Oh ik heb dit al een maand geleden of zo ingesteld, hopelijk was dat dan geen phishingmail…

nevyn67 @Jetser • 4 juni 2024 19:49

Ik ook, dit is oud nieuws

slaay 4 juni 2024 18:20

"Hierbij stellen consumenten een zelfbedacht woord of een korte zin in via hun PostNL-account."

Dat wordt dan 'PostNL' als zelfbedacht woord. Dat valt ook niet op als de gegevens op straat komen te liggen..

Accretion @slaay • 4 juni 2024 18:41

Je wachtwoord als 'antiphishingcode' instellen, als je dan wil inloggen, hoef je niet je wachtwoord op te zoeken

En phishers weten jouw wachtwoord niet, dus het is veilig

_FlasH_ 4 juni 2024 18:20

Ik kreeg die optie vorige maand ook. Heb er over zitten nadenken en het niet gedaan. In mijn ogen schijnveiligheid.

Frame164 @_FlasH_ • 4 juni 2024 19:14

Net zoals een piepend tuinhekje in de voortuin. Kleine moeite om te omzeilen maar toch heeft het enige invloed tegen ongewenste gasten.

BHD294 4 juni 2024 18:29

Het zal iets helpen bovenstaande maar meer ook niet.
Hier zal door de ....... ook weer iets op gevonden uiteindelijk.

kodak

Phishing
Cybercrime
Beveiliging en antivirus

@BHD294 • 4 juni 2024 19:42

Een groot gedeelte van de phishing richt zich al op dit soort kenmerken. De criminelen gaat het er namelijk niet om dat ze aan alle specifieke kenmerken voldoen, maar dat er altijd wel slachtoffers zijn die zich er te weinig van aantrekken. Daarom versturen ze veel phishing in grote hoeveelheden. De kans op slachtoffers neemt met extra kenmerken niet zomaar af. Gebruikers vergeten domweg dat ze een kenmerk opgegeven hebben. Of ze controleren het niet. Of bedrijven gebruiken het zo willekeurig (tot spontaan mee stoppen aan toe) dat een crimineel er geen eens moeite mee heeft het weg te laten.

Op dit item kan niet meer gereageerd worden.

PostNL introduceert antiphishingcode voor e-mails

Lees meer

Reacties (136)

Sorteer op:

Weergave: