ABN Amro gaat verificatiesysteem inzetten tegen email-phishing

ABN Amro is de tweede Nederlandse bank die gebruik gaat maken van Dmarc-technologie om phishingmails uit naam van de bank te filteren. De antiphishingtechnologie werkt niet in combinatie met alle e-mailaanbieders.

Dmarc, dat staat voor Domain-based Message Authentication, Reporting and Conformance, werd begin 2012 door een aantal grote webmailaanbieders, waaronder Google, Microsoft en Yahoo, aangekondigd. Het is een verificatiesysteem waarbij onder andere webmailaanbieders kunnen controleren of een e-mail daadwerkelijk van een bedrijf afkomstig is en niet van een partij die via phishing persoonsgegevens probeert te achterhalen.

Eerder maakte ING, samen met Xs4all, al de stap naar Dmarc om phishing tegen te gaan en tegen Nu.nl maakt ABN Amro bekend er ook gebruik van te gaan maken. In de VS zijn al meerdere banken ertoe overgegaan het verificatiesysteem in te zetten, evenals Paypal.

De bescherming werkt in combinatie met webmaildiensten als die Google, Microsoft en Yahoo, terwijl ook klanten van Xs4all minder phisingmails uit naam van ABN Amro zouden moeten krijgen. Omdat mailaanbieders op het systeem aangesloten moeten zijn, werkt de bescherming niet in combinatie met alle maildiensten.

Werking van Dmarc

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 10-02-2014 07:53 32

10-02-2014 • 07:53

32

Lees meer

'Overgrote deel Nederlandse gemeentes beveiligt e-mail slecht'
'Overgrote deel Nederlandse gemeentes beveiligt e-mail slecht' Nieuws van 2 juni 2016
Politie rolt Nederlandse phishingbende op
Politie rolt Nederlandse phishingbende op Nieuws van 19 juni 2015
Kwart Haagse raadsleden klikte op link in phishingmail
Kwart Haagse raadsleden klikte op link in phishingmail Nieuws van 2 juli 2014
Xs4all filtert ING-phishingmails actief met Dmarc-technologie
Xs4all filtert ING-phishingmails actief met Dmarc-technologie Nieuws van 7 september 2012
Webmailaanbieders werken aan antiphishingstandaard
Webmailaanbieders werken aan antiphishingstandaard Nieuws van 30 januari 2012
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (32)

-Moderatie-faq
32
32
29
1
0
2
Wijzig sortering
WokeBroke 10 februari 2014 08:08
Het groene slotje is in principe tegen phishing, dat helpt niet bij iedereen. Waarom gaat dit dan wel werken?

Of is het zo dat bij alle e-mail met het woord bank of abn erin, een rood block in het e-mailtje kot met "Dit is niet afkomstig van een echte bank"?
Bor Coördinator Frontpage Admins / FP Powermod @WokeBroke10 februari 2014 08:14
Ik neem aan dat je met "groene slotje" het slotje bedoelt wat bij een SSL verbinding word getoond in veel browsers? Dat is niet direct tegen phising maar om de authenticiteit van de server aan te tonen. Phising is slechts een manier om mensen naar een louche site te krjgen. DNS poisoning kan bijvoorbeeld ook.

Wat er gebeurt met een e-mail bij gebruik van DMARC hangt af van de DMARC policy
DMARC standardizes how email receivers perform email authentication using the well-known Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM) mechanisms. This means that senders will experience consistent authentication results for their messages at AOL, Comcast, Gmail, Hotmail, Mail.ru, Netease, XS4ALL, Yahoo! and any other email receiver implementing DMARC.[2] The specification creators hope this will encourage senders to more broadly authenticate their outbound email which can make email a more reliable way to communicate.

A DMARC policy allows a sender to indicate that their emails are protected by SPF and/or DKIM, and tells a receiver what to do if neither of those authentication methods passes - such as junk or reject the message. DMARC removes guesswork from the receiver's handling of these failed messages, limiting or eliminating the user's exposure to potentially fraudulent & harmful messages. DMARC also provides a way for the email receiver to report back to the sender about messages that pass and/or fail DMARC evaluation.
en
DMARC policies are published in the public Domain Name System (DNS) as text (TXT) resource records (RR) and announce what an email receiver should do with non-aligned mail it receives.
Voor je DMARC kunt gebruiken moet je overigens zowel SPF records en DKIM keys gebruiken. DMARC is afhankelijk van deze technology en een bericht moet zowel op SPF als DKIM falen om ook voor DMARC te falen. Een single check faillure op een van beide technieken zal een bericht door DMARC laten komen.

[Reactie gewijzigd door Bor op 23 juli 2024 14:59]

To_Tall @WokeBroke10 februari 2014 08:14
Wat ik begrijp is dat de header van de mail wordt gecontroleerd met de mail server.

Dus als jij een mailtje stuurt met ikmagwel@abnamro.nl maar de in de header staat SMTP:smtp.ikmagniet.nl

Zal DAMRAC het mailtje niet toe laten omdat de server naam niet overeenkomt met het domain name van de server. (dit doet de mail server)

Daarnaast zal dit niet werken als de mail provider niet mee werkt. Dus momenteel een select groepje providers.. Misschien later meer en meer providers en bedrijven.

Gmail en Outlook zijn volgen het systeem veilig. Maar
WokeBroke @To_Tall10 februari 2014 08:28
op die manier, ik begreep uit de tekst dat hij alleen een verificatie geeft als het e-mail wel van de bank komt, en dat er in de overige gevallen niks gebeurd. Maar dat zou voor de meeste gebruikers niet werken.
To_Tall @WokeBroke10 februari 2014 08:39
nog niet maar als meer en meer mail providers dmrac gaan implementeren zal het steeds beter gaan werken :)

Zowel de sender als reciever moet dmrac ondersteunen zover ik het begrijp.

Als de ontvanger geen dmrac in zijn dns records heeft staan kan deze ook niet controleren tegen dmrac dat de domain name en verzender van dezelfde mail server komt.

Daarom hebben Outlook.com Gmail.com en Yahoo.com (toch wel de grootste partijen) dmrac geïmplementeerd. Nu ABN is aangesloten zal Outlook.com bv controleren of de header ook daadwerkelijk van de mail server afkomt als het domain name doet lijken.

Wel een note zover ik weet als je op Outlook.com of Gmail je eigen domain gebruikt. moet je zelf nog de DNS records aanpassen :)
XBL @WokeBroke10 februari 2014 14:58
Het groene slotje helpt helemaal niets als je daarnaast ook niet kijkt naar de URL. Een phisingsite kan prima met SSL draaien op een totaal ander domein en dan heeft-ie ook een slotje.

En in feite is kijken naar de URL meer dan genoeg om te zien of je op de echte site zit (bij ABN Amro zal het ALTIJD *.abnamro.nl/* zijn).
begintmeta @XBL10 februari 2014 15:02
...
En in feite is kijken naar de URL meer dan genoeg om te zien of je op de echte site zit (bij ABN Amro zal het ALTIJD *.abnamro.nl/* zijn).
Je moet dan tegenwoordig nog wel nagaan of mogelijk homogliefen gebruikt worden.
To_Tall 10 februari 2014 08:02
Ik vraag me dan af hoe iemand die een eigen mail server heeft en de buurman en buurvrouw van mail voorziet hier zich kan op aansluiten.

Dus met andere worden. Kan jezelf ook zonder gekke fees jezelf op dit systeem aansluiten? Of blijft het gros van de mail providers en Private mail domains toch deze problemen aanlopen?
jobvr @To_Tall10 februari 2014 09:20
Ja, er zijn altijd situaties te bedenken dat dit niet werkt. Maar als je een eigen mail server draait ga ik er van uit dat je weet welke informatie wel en niet via een email wordt verstuurd en wat een Phishing mail is. Je buren die geen verstand hebben van computers op je eigen mail server roe laten lijkt me een recept voor problemen, zowel voor jezelf als de buren, als de relatie tussen de twee.
Dit is bedoelt voor 99,9 van de mensen die niet overdreven veel verstand hebben van computers en gewoon een Hotmail of gmail adres hebben. Daarvoor werkt het erg goed en is dit een prima maatregel..
Moartn @jobvr10 februari 2014 11:18
Klopt, als Google, Microsoft en alle grote Nederlandse providers aangesloten zijn heb je waarschijnlijk al 80% van de Nederlanders te pakken, dus dat is al een enorme winst.
To_Tall @jobvr10 februari 2014 14:11
Nou ja.. Ik heb mijn eigen mail diensten ook op outlook draaien op mijn eigen domein.

Maar ik kan best wel begrijpen als lowbudget webhoster zijn mail diensten wel beschikbaar stelt voor derden :) Die gaat echt niet zijn mail servers dagelijks controleren op wat wel en niet verstuurd is. hooguit dat hij dagelijks kijkt of de mail en webservices het nog doen en normaal werken.

Zo moeilijk is het ook niet meer om een eigen webhosting te starten..
Servers zijn al voor 500 euro te koop en 50 Euro in de maand voor rackspace..

paar klantjes die 10 euro per maand willen neer tellen of 1 euro houting starten. en je hebt zo wel klanten die jouw webservertje betalen.

Dan aansluiten op DMARC een must. Wordt het lastig en ingewikkeld dan zullen deze hosters echt geen aansluiting zoeken en zijn de privé mensen en de zzp-ers die eigen domeintje hebben nog steeds kwetsbaar. Zeker in die groep valt een hoop te halen gezien Spam filtering sowieso al erg laag is.
joostdebruijn @To_Tall10 februari 2014 08:16
Je kunt zelf DMARC implementeren op je eigen mailserver, bijvoorbeeld Postfix. Zie het project en een uitgebreid stappenplan.
WhizzKid-Eddy @joostdebruijn10 februari 2014 15:38
Ja, en wat als nu een of andere 3e partij zoiets opzet met de intentie gegevens te stelen zonder dat jij het weet? Dan denk jij dus wederom te maken te hebben met een vertrouwde site en ben je dus in weze weer terug bij af.
joostdebruijn @WhizzKid-Eddy10 februari 2014 16:30
Ik snap niet zo goed wat je bedoeld? Je geeft je DMARC policy op in je DNS-records, evenals de voorwaardelijke DKIM- en SPF-records, aan de hand waarvan de legitimiteit wordt bepaald. Waar zie jij die derde partij iets opzetten dat dit onderuit haalt?
WhizzKid-Eddy @joostdebruijn10 februari 2014 21:28
Ik doelde dus meer op een man-in-the-middle attack. Iemand die zich voordoet als legaal (tussen) station en dus gegevens steelt en doorsluist naar een of andere malafide server.
vanaalten @To_Tall10 februari 2014 08:20
Als de grote jongens (KPN/XS4ALL, Gmail, Hotmail) zich hierop aansluiten zal een significant deel tegengehouden worden - en wordt het vanzelf onrendabel om phishingmail voor deze banken te versturen... waardoor alle andere maildiensten er ook van profiteren, lijkt mij.
Philos31 10 februari 2014 08:48
Ik ben blij dat banken proberen hun klanten te beschermen.
Ik zag ook al een reclame voorbij komen over "online zelfverdediging"
Belt de bank om gegevens te vragen: Hang op.
Vraagt een website om inloggegevens: Klik weg
en bij twijfel bel uw bank.

Beetje domme reclame, maar hopelijk zinvol, een hoop (soms ook oude) mensen trappen er toch in als ze gebeld worden of verzocht worden om login gegevens op een verkeerde site in te kloppen.

Prima dat mensen voorgelicht worden en hopelijk ook wat bewuster met hun gegevens omgaan.
Anoniem: 14038 @Philos3110 februari 2014 09:25
Het kan ook doorschieten dat een bank je verplicht om elke 2 weken je afschriften te controleren of ze kloppen. Doen ze dat niet en je bent te laat dan heb je mooi pech.

http://www.privacynieuws....ser-online-afschrift.html
sygys @Philos3110 februari 2014 12:52
Bij twijfel vul je de verkeerde gegevens in. Logged hij toch in dan weet je dat het niet klopt. Of je controleert even de adres balk boven in... maar goed, ze bedenken steeds betere manieren. En de polen hongaren en bulgaren leren steeds beter nederlands, want ze worden steeds beter geschreven.
Tiny 10 februari 2014 09:28
Betekent nu dit dat in de toekomst de banken WEL mails gaan versturen omtrend je bankgegevens?
Waarom zouden ze anders zo'n systeem gaan bouwen, je bank zou toch NOOIT mails sturen?
MrBlueEyes @Tiny10 februari 2014 11:11
Je hebt wel nieuwsbrieven. Daarnaast zijn er gewoon veel mensen die erin trappen. Nu kunnen ze dat tegen gaan.
Woestijn 10 februari 2014 09:55
Wat voor meerwaarde heeft Dmarc ten opzichte van Sender Policy Framework (SPF) dat ik nu gebruik?

[Reactie gewijzigd door Woestijn op 23 juli 2024 14:59]

Bor Coördinator Frontpage Admins / FP Powermod @Woestijn10 februari 2014 10:11
DMARC gebruikt SPF maar ook DKIM keys en is meer policy driven. SPF is slechts een van de onderdelen uit een DMARC systeem.
begintmeta 10 februari 2014 11:17
In mijn ogen zou s/mime een eenvoudigere oplossing zijn, als de grote webmailers signatureverifiatie in hun interfaces inbouwen kunnen de meestgebruikte mailprogramma's er standaard mee overweg.

Allen moet de eindgebruiker zich dan natuurlijk wel bewust zijn van de haken en ogen, net als bij http(tls)...

@ hieronder, dat klopt, maar waarschuwingen zoals moderne browsers ze geven hebben denk ik wel effect. Als iemand een mail opent en vervolgens een apart waarschuwingsscherm krijgt, waarbij je moet aanvinken dat je door wilt, eerst toelichtingen moet lezen etc. zal diegene doorgaans wel wat meer op zijn hoede zijn.

[Reactie gewijzigd door begintmeta op 23 juli 2024 14:59]

Moartn @begintmeta10 februari 2014 11:21
Die laatste zin is belangrijk: mensen die nu het slachtoffer worden van phishing zijn zich niet bewust van die haken en hogen, want ook nu heb je die controlemechanismen al (https, simpele adresbalk-controle e.d.), en dat is blijkbaar niet voldoende. Je moet dus gewoon op een veilige manier hard mails kunnen blokkeren als provider. Die mensen zijn blijkbaar niet intelligent genoeg om zelf dingen te controleren, dus dan moet de provider dat maar voor ze regelen, in samenwerking met de banken.
Anoniem: 126717 10 februari 2014 08:03
Gaan ongetekende mails nu nog door naar de geadresseerde? Of gaan die de veilige weg, regelrecht naar dev>null?
Anoniem: 358514 10 februari 2014 11:19
Dus met DMARC kan een ISP de authenticiteit van de afzender verifieren. Mail die voldoet wordt in elk geval doorgelaten (whitelisting, dus geen legitieme mailtjes van ABN in je spambox) en legitieme mails zijn beter herkenbaar in je inbox (zegeltje).

Maar dat betekent toch niet dat je minder phisingmail krijgt?
Bose321 10 februari 2014 11:40
Dit zou wel fijn zijn (ook al ben ik geen klant van de ABN). In Outlook heb je dat ook met bijvoorbeeld UPS en PayPal. Maakt het een stuk makkelijker om phising te identificeren!
enchion 10 februari 2014 12:42
Toch kan ik AbnAmro`s motivatie mbt gebruikers welzijn niet helemaal serieus nemen aangezien ze nog steeds die vieze Adobe Omniture tracker dependency hebben op hun internet bankier site.
(Is nou niet echt iets waaruit blijkt dat ze het welzijn van de gebruiker erg belangrijk vinden)

[Reactie gewijzigd door enchion op 23 juli 2024 14:59]

Edgarz @enchion10 februari 2014 21:56
Daar kun je ook anders tegenaan kijken omdat op deze manier het gedrag van klanten beter in beeld kan worden gebracht en de dienstverlening geoptimaliseerd kan worden. Om te pesten doen ze het in ieder geval niet vermoed ik zomaar.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq