Phishing 2.0. Super professioneel! En hoe komen ze aan mijn e-mail adres?

Ontvang je de laatste tijd ook mail van bekende Nederlandse bedrijven met een mooie actie of aanbieding? Ik heb ze al ontvangen van de Nederlandse Spoorwegen, de Media Markt, Gall & Gall en Albert Hein.

Ik vroeg me af waarom ik deze ontving omdat ik hun mijn e-mail adres niet had verstrekt. En als het spam is, hoe komt het dan door mijn spamfilter heen?
Toen zag ik het e-mail adres waar het heen gestuurd was: cheaptickets.nl@mijnspamdomein.nl. Mijn aandacht was getrokken.

Dit heeft wat toelichting nodig. Ik heb een domein (niet echt mijnspamdomein.nl) dat ik gebruik voor registraties op allerlei websites. Ik bezit het domein waardoor ik alles voor het @-teken kan zetten. Bij een registratie gebruik ik dan de naam van de website. Alle mail komt binnen in één mailbox. Jaren geleden heb ik eens tickets geboekt bij Cheap Tickets dus vandaar dat het e-mail adres bestaat.

Maar hoe komen al deze bekende bedrijven eraan? Of…zijn het deze bedrijven eigenlijk wel? Nee dus. Bij navraag gaven Gall & Gall en Media Markt aan dat deze campagnes niet van hen zijn. Dus pas op! Niet alleen zien de e-mails er bedrieglijk professioneel uit, de landingspagina’s doen ook niet onder voor een echte campagne van deze bedrijven. Super realistisch, maar wel degelijk phishing pagina’s. Er is echt aandacht besteed aan grafisch design (kunnen sommige echte bedrijven een voorbeeld aan nemen) en er is kennis van de Nederlandse markt voor nodig.

Ook technisch is er goed over nagedacht, want het domein waarvan de mail verzonden wordt en waar de linken naar verwijzen variëren qua domein: recognizeddeal .eu, seriousmailer .eu, twentyfoursevenpowerfulconnections .com, etc. Dit zullen gehackte servers zijn en dit doen ze om spamfilters te omzeilen. Uiteindelijk verwijzen de linken naar nl-voucher .com. Hier maken ze slim gebruik van een subdomein waardoor er een soort gezichtsbedrog ontstaat: mediamarkt.nl-voucher .com (je leest snel over “-voucher .com” heen). nl-voucher .com is geregistreerd in Panama, maar het geeft wel aan dat de Nederlandse markt heel specifiek het doelwit is.

Wat het exacte doel is van de phishing heb ik me niet in verdiept. Meestal identiteit fraude of mensen motiveren te bellen naar frauduleuze 0900 nummers.

Het mail adres waar mail naartoe gestuurd wordt vergelijken met de inhoud van het bericht (zijn beide hetzelfde bedrijf) is een goede controle op phishing berichten. Daar hoef je niet een eigen domein voor te hebben zoals ik, want er zijn ook andere mogelijkheden. Verschillende mailserver ondersteunen adres alias, bijvoorbeeld Gmail. Adres alias werkt als volgt. Als jouw e-mail adres jouw.naam@gmail.com is kun je er een alias aan toevoegen: jouw.naam+alias@gmail.com. Dus mail aan jouw.naam+cheaptickets.nl@gmail.com wordt afgeleverd bij jouw.naam@gmail.com.

Ik vermeld Cheap Tickets met naam en toenaam omdat ze na meerdere verzoeken hoe mijn e-mail adres in handen is gekomen van deze criminelen niet willen reageren. Ik kan niet anders constateren dat ze een beveiligingslek hebben of een medewerker die het adressen bestand verkocht heeft (dit laatste is eerder gebeurd bij een groot Nederlands bedrijf dat ik had geïnformeerd van eenzelfde probleem en wat zeer serieus is opgepakt en afgehandeld). Ik hoop deze uitleg ze toch aanzet tot onderzoek!