De Nederlandse Vereniging van Banken is een campagne gestart om consumenten te waarschuwen voor de zogeheten nepmail. Maar beschermen de banken zichzelf en hun klanten zelf wel voldoende tegen phishing? Hoog tijd om een realtime Phishing Scorecard voor de banken te maken. In dit artikel een analyse van de huidige situatie.
De afgelopen weken is phishing herhaaldelijk in het nieuws geweest op TV en in kranten. De Nederlandse Vereniging van Banken heeft recentelijk aangegeven dat consumenten, die meerdere keren het slachtoffer worden van phishing, de schade niet meer kunnen verhalen op hun bank onder het mom van “Een ezel stoot zich in het algemeen geen tweemaal aan dezelfde steen”. Je zou dan denken dat de banken zichzelf en hun klanten wel voldoende beschermen tegen phishing. Maar is dat wel zo?
Al bijna 2 jaar geleden gaf ik op Frankwatching een checklist voor het veilig verzenden van e-mailcampagnes. Toen was er nog weinig aandacht voor veilig mailen, maar nu is de bestrijding van phishing een hot item. Op TV zijn spotjes te zien van de Nederlandse Vereniging van Banken over zogeheten nepmail om consumenten hiervoor te waarschuwen.
De directe schade van de Nederlandse banken in 2011 bedroeg 35 miljoen euro, ten opzichte van 2010 is dit een stijging van 400%! Voor de banken is dit feitelijk een klein bedrag, maar de indirecte schade voor de banksector en de maatschappij als geheel is vele malen groter. Naast de beschadiging van het imago, neemt ook het vertrouwen in internetbankieren en het online kanaal in het algemeen af. En juist dat online kanaal is voor veel bedrijven zo belangrijk, omdat het de omzet kan verhogen en de kosten kan verlagen. Met 2 op de 3 personen, internetbankieren Nederlanders het meest in heel Europa. Optimale bestrijding van phishing is dan ook van groot (maatschappelijk) belang!
Recent werden er ook phishing mails gestuurd uit naam van bedrijven als Marktplaats en Funda, iets wat je niet meteen zou verwachten. En wat te denken van (identiteits)fraude door criminelen, die zich via een phishing mail voordoen als de overheid? Mailen gemeentes, ministeries en de Tweede Kamer eigenlijk wel veilig? In een volgende artikel zal ik met de Phishing Scorecard voor de overheid komen.
Bescherm je kantoormail
Mijn collega Niels schreef op Frankwatching het artikel “Is de consument onnodig het slachtoffer van phishing?”. Daarin beschreef hij enkele bouwstenen om phishing optimaal te bestrijden. In hoofdzaak gaat het erom om dat je je eigen e-maildomeinen moet beschermen. Veelal denkt men hierbij in eerste instantie aan commerciële e-mailings, maar wordt het hoofddomein, dat wordt gebruikt voor de eigen kantoormail, vergeten. De e-mail service providers, die veelal de commerciële e-mailings versturen, hebben de diverse bouwstenen veelal (deels) op orde. De domeinen die worden gebruikt voor kantoormail, worden echter vaak vergeten en zijn compleet onbeveiligd. Namens deze domeinen kunnen dus heel eenvoudig phishing mails verstuurd worden!
In onderstaande afbeelding zie je de oogst van 2 maanden phishing mails, die ik namens banken heb ontvangen. Eigenlijk alle mails die je ziet aan de linkerkant werden verstuurd namens het e-maildomein dat de banken gebruiken voor hun kantoormail, zoals @rn.rabobank.nl en @ing.nl. Aan de rechterkant zie je een voorbeeld van een phishing e-mail die namens @nl.abnamro.com werd verzonden.
De bouwstenen: bescherm nu al 40% van je klanten
Nogmaals zet ik de benodigde bouwstenen eens op een rijtje. Alle bouwstenen zijn toevoegingen in de zogeheten DNS server en hebben dus steeds betrekking op een bepaald e-maildomein, bijvoorbeeld @nl.abnamro.com.
- SPF (Sender Policy Framework) geeft aan welke servers er namens jouw e-maildomein mogen versturen.
- Sender ID is een variant op SPF, die door Hotmail wordt gebruikt bij het ontvangen van e-mail.
- DKIM (DomainKeys Identified Mail) is het meest eenvoudig uit te leggen als een digitale handtekening.
- ADSP (Author Domain Signing Practices) is een optionele toevoeging op DKIM, waarmee je aan kan geven of je wel of niet altijd een digitale handtekening gebruikt voor het betreffende e-maildomein.
- DMARC (Domain-based Message Authentication, Reporting and Conformance) is een nieuwe standaard met rapportagemogelijkheden en de mogelijkheid om richting de ontvangers van e-mail (Gmail, Hotmail, KPN, Ziggo, UPC, Tele2, etc) aan te geven dat een e-mail volledig geblokkeerd moet worden als het een phishingbericht is!
Afhankelijk van bovenstaande instellingen worden phishing e-mails door Gmail afgevoerd naar de spambox, met daarbij een speciale melding. Ook het blokkeren van een phishing e-mail op verzoek van de eigenaar van een e-maildomein is bij Gmail al mogelijk! Hotmail past dit ook al toe, maar verwijdert nog niet direct de berichten. Wel worden de phishing e-mails door Hotmail afgevoerd naar de spambox, met daarbij ook een speciale melding.
Zo’n 40% van de Nederlandse consumenten gebruikt een Hotmail (32%) of Gmail (8%) e-mailadres. Door de juiste toepassing van de bouwstenen, ben je als B2C-bedrijf dus al in staat om zo’n 40% van je klanten te beschermen!
ING beveiligt e-mail het minst slecht
Wat ik me afvroeg, was of de Nederlandse banken op dit moment die 40% van hun klanten ook al beschermen. Om die reden hebben we een realtime Phishing Scorecard voor de Nederlandse banken ontwikkeld. Op dit moment kunnen we maar één conclusie trekken: de e-mailbeveiliging van de Nederlandse banken is zo lek als een mandje! Via de Phishing Scorecard kun je dus realtime volgen of de banken hun leven gaan beteren.
Klik op de afbeelding voor de realtime Phishing Scorecard voor de Nederlandse banken
Wat ons betreft verdient geen enkele bank op dit moment een prijs. Geen enkele bank gebruikt immers de bestaande mogelijkheden maximaal om zichzelf en de consument te beschermen. Als we dan toch een “veilig mailen ranking” moeten maken, dan ziet die er wat ons betreft als onderstaand uit.
ING gaat duidelijk aan kop als het om veilig mailen gaat en ziet blijkbaar de noodzaak ervan in, aangezien zij als eerste Nederlandse bank DMARC toepast, hoewel nog niet in haar meest strikte vorm en nog niet op alle e-maildomeinen! Nu is het afwachten tot de andere banken volgen.
Het gebruikte voorbeeld, de screenshot, haalt eigenlijk je verhaal grootendeels onderuit. De mail die getoond wordt is (zeer waarschijnlijk) helemaal niet verstuurd vanuit het nl.abnamro.com domein, het lijkt er alleen maar op. Daar zit nu ook een groot probleem: Mail clients tonen niet het aders waar de mail daadwerkelijk vandaan komt, maar het adres welke de zender van het bericht daar wil laten verschijnen. Zo kan ik eenvoudig een mail versturen waarvan ontvangers (ook in Gmail) denken dat deze is verstuurd uit het measuremail.com domein.
De bouwstenen die je aangeeft zullen volgens mij maar een kleine bijdrage leveren in het terugdringen van phishing emails. Het zijn pleisters op een gapende wond die SMPT heet. En het blijft een feit dat het uiteindelijk de consument is die vertrouwelijke gegevens via internet deelt. Ook hier is bewustwording key.
@Frank Zoals je weet is dit geen hele technische blog
In het betreffende bericht zijn alle e-mail domeinen in de header identiek (envelope-from, from, return-path), dus prima alignment. Met een strikt DMARC record voor @nl.abnamro.nl was deze mail prima te blokkeren geweest. Gmail ontvangers hadden met een strikt DMARC record de getoonde mail uberhaupt niet ontvangen, bij Hotmail gebruikers was hij afgevoerd naar de spambox met een speciale phishing melding erbij. Er is nog wel een weg te gaan, dat de 4 grootste ISP’s in Nederland deze open standaarden ook toe gaan passen voor de bij hun binnenkomende mail.
Ik ben het dus helaas niet met je eens, dat de bouwblokken vrijwel geen effect hebben. Juist de DMARC standaard die inmiddels enkele maanden oud is, geeft veel mogelijkheden voor een sterke verbetering bij de bestrijding van phishing.
Goed dat dit aan de kaak wordt gesteld. Niet alleen de banken, maar ook ecommerce sites en overheden zouden de technische instellingen van hun e-mail (marketing) zeker in orde moeten hebben.
Met de juiste email authenticatie en DMARC instellingen wordt een nep-mail in steeds meer email clients naar de junkmailbox verwezen of helemaal niet getoond.
Een ander voordeel van DMARC is dat de verzender een terugkoppeling krijgt van de ontvangen en de geblokkeerde e-mailberichten. Daarmee krijgt een verzender in inzicht in de afkomst van de phishing e-mailberichten, maar hoeveel phishing berichten worden verstuurd. (en kunnen ze aan de hand daarvan ook overwegen de DMARC instelling ook strikter zetten).
DMARC is een heel goed initiatief, maar dan moeten de verzenders en hun email partners ze wel instellen!
@Martijn, voor de goede orde, ik ben voorstander van deze technieken, maar het effect moet niet overdreven worden, zeker niet als er andere gaten open blijven. Ik kan nog steeds phishing mails “vanuit” measuremail.com sturen naar Gmail adressen ondanks dat jullie allen genoemde bouwstenen gebruiken. Perceptie is reality, wat de gebruiker ziet is waar, helaas.
Ben zelf actief in de antivirus wereld, waar het kat-en-muis spelletje nog erger is. De beveiligingstechnieken worden alsmaar beter en de cybercriminelen alsmaar creatiever en professioneler. Ook daar valt veel winst te behalen bij de gebruiker. De techniek van de auto kan nog zo goed zijn, het blijft de bestuurder die hem bestuurt.
Nogmaals, ik wil het probleem niet bij de gebruiker leggen, maar om de emailbeveiliging van banken zo lek als een mandje te noemen gaat in dit geval wel heel ver.
Ik ben het zeker eens met de openingszin van Jordie “how to check is dmarc records exists”. Alle beetjes helpen.
Laatste quote had natuurlijk “Goed dat dit aan de kaak wordt gesteld” moeten zijn, foutje van de gebruiker
Inderdaad is er winst te halen in beveiliging vanuit de bron. DMARC is een van die technieken. Echter is het niet veel meer dan dat SPF en DKIM ook kunnen. Nog sterker, het leunt erop. En dan is de hamvraag: wie beschermt de DNS server die dit gaat faciliteren?
Zolang er nog steeds bedrijven, organisaties en overheden zijn die hun DNS omgeving niet serieus nemen (bijvoorbeeld Externe DNS op Microsoft platformen, verouderde BIND versies, voorzien vanuit firewall en / of proxy applicaties enz) zal de invoering van dit soort technieken ook nooit succesvol zijn.
Als je begint om security toepassingen in DNS te stoppen (in ieder geval de verificatie ervan) dan moet je eerst DNSSEC implementeren. Zonder DNSSEC weet je namelijk nog steeds niet of het antwoord wel de juiste is.
@Daniel Klopt inderdaad dat DNSSEC een zeer positieve extra toevoeging is!
@Frank Ik daag je dan graag uit om namens @frankwatching.mm1.nl een mail naar mijn Gmail te sturen, die in mijn inbox, dan wel mijn spambox komt. Volg me ff op Twitter, dan stuur ik je een DM met mijn Gmail adres. Measuremail.com staat nog niet “spijkerdicht”, maar op DMARC in de reporting modus.
@Martijn, je hebt gelijk dat het voor MM1.nl goed werkt, de andere domeinen moeten dus nog verder dichtgespijkerd worden.
Misschien een tip voor de DMARC op de scorecard: Nee, Ja of Ja, alleen reporting? Ing.nl staat blijkbaar ook alleen in reporting modus…
@Frank Inderdaad een goede om nog toe te voegen of het alleen reporting is of echt het blokkeren (reject) bij DMARC. Bij SPF zou je ook nog aan kunnen geven hoe stikt het precies is. Frankwatching is denk ik alleen niet de plaats om op die technische details in te gaan.
@Martijn, in ieder geval een leuke discussie en de bouwstenen dragen, mits goed ingesteld, inderdaad meer bij dan ik in eerste instantie had verwacht
@Frank Fijn en goed om te horen! Er moeten echt meer DMARC envangelisten bij komen
Hoe meer het wordt toegepast hoe beter consumenten worden beschermd en hoe lager de maatschappelijke kosten zijn!
Voor DMARC is de laatste tijd veel aandacht, en ik denk terecht. Het is echt een hele goed aanvulling op SPF en DKIM. Zelfs Microsoft is overtuigd en zal van Sender ID terug gaan naar het breder geaccepteerde SPF in combinatie met DMARC.
De Sender ID kolom klopt volgens mij niet helemaal. Zoals je weet worden voor Sender ID validatie ook standaard SPF records geaccepteerd. Er zijn daarom maar heel weinig verzenders die een SPF versie 2 record hebben gepubliceerd. Beter is te kijken naar “alignment” van zichtbare afzender (From header) en het bounce adres (Return-Path header).
Er zit ook een klein hiaat in de DMARC scores. Als er namelijk een DMARC record op het hoofddomein is gepubliceerd, geldt dit ook voor alle sub-domeinen. Dus emailing.ing.nl en alle andere sub-domeinen van ing.nl vallen ook onder de bescherming van hetzelfde DMARC record.
Verder is het goed te beseffen dat maatregelen bij verzenders weinig effect hebben als de ontvangers, zoals webmail providers of ISPs daar niets mee doen. Op dit moment wordt er bij Nederlandse providers nog nauwelijks iets met SPF en DKIM gedaan. Ook zij verdienen een score-card.
@Maarten Ik heb ook getwijfeld of ik SPF versie 2 erbij zou zetten of niet. Ik heb besloten om dat wel te doen, omdat bv Sender Score er ook nog steeds naar kijkt. Maar het klopt dat Hotmail aan heeft gegeven per april 2012 steeds naar SPF te gaan kijken. Ze zullen als gevolg van DMARC ook wel naar SPF moeten gaan kijken!
E-mail alignment ben ik helemaal met je eens. Ik vind het zelf bijzonder dat veel ESP’s dit nog niet op orde hebben. 2 jaar geleden schreef ik daar ook al over, maar bij veel ESP’s zie je dat dat nog steeds niet het geval is. Het is bij implementatie van een klant daardoor wel wat meer werk.
Je opmerking over DMARC subdomeinen ga ik nog even verder bekijken, maar ik geloof je op je woord
Ik weet dat er een parameter is voor subdomains in DMARC, maar blijkbaar betekent niets invullen, dat het ook voor subdomains van toepassing is, ik dacht dat het pas van toepassing was als je dat wel in zou vullen. Ik ben in dat kader ook benieuwd of je wel reports krijgt op de diverse subdomeinen, als je daar geen specifiek DMARC record voor hebt opgenomen.
Bij je ISP opmerkingen kan ik me ook aansluiten. Laten we maar met een paar mensen kijken of we Nederland een beetje in beweging kunnen krijgen op dit vlak
Naast ISP’s moet denk ik ook de landelijke overheid en de Nederlandse Vereniging van Banken hiermee aan de slag om breder maatschappelijk draagvlak en awareness te creëren.
@Jordie Helemaal met je eens. Banken zullen naar verwachting toch als eerste DMARC op orde hebben om langzaam aan ook echt naar de strikte versie ervan over te gaan. Je krijgt dan een waterbedeffect, waarbij overheid en webshops naar mijn mening als eerste aan de beurt zullen zijn. Als ze slim zijn, beginnen ze nu al, zodat ze de banken voor zijn!
Goed dat je dit onder de aandacht brengt. Ondanks dat het probleem nu heel duidelijk vanuit de bankwereld in het publieke domein aan de kaak wordt gesteld is het natuurlijk iets wat op een veel breder vlak mis gaat (je noemt al een marktplaats en funda) maar ik heb van een aantal grote en kleine webshops ook al ‘spookfacturen’ en onaangekondigde ‘wachtwoord resets’ ontvangen die bij nadere inspectie niet van de betreffende webwinkel afkomstig waren.
Je zegt ongeveer 40% van de inboxen te beschermen, mits alle technieken goed en strikt zijn ingeregeld. Ik neem aan dat dit een gemiddelde is van het aantal ontvangers bij bepaalde domeinen waarvan je weet dat ze iets met spf en dkim doen, is het mogelijk dat je hier iets meer transparantie over geeft (met andere woorden: wat maakt die 40% bescherming).
In dat kader vind ik de opmerking van Maarten of het niet minstens zo belangrijk is om deze kant van het emailverkeer in kaart te brengen een erg goede.
Als reactie op je vraag aan Maarten: Je vermoeden klopt, deze rapportages komen ook vanuit de subdomeinen binnen.