Waarschuwing voor phishing-mails [2018]

  • 4 augustus 2015
  • 6 reacties
  • 28560 keer bekeken

Reputatie 7
Badge +11
  • KPN Medewerker
  • 3493 reacties

Topic index
- Phishing meldingen
- Wat is Ransomware?
- Phishing bij KPN
- Melden van Phishing

Phishing meldingen | Update: 18-01-2018
Sinds enkele maanden zien we geen tot weinig phishing meldingen die misbruik maken van de domeinnamen van KPN!
In 2016 zagen we zelfs dat bijna 1 op de 5 phishing meldingen bij fraudehelpdesk.nl de naam van KPN werd misbruikt. Gezien dit hoge aantal heeft KPN acties ondernomen om de phishing aanvallen tegen te gaan. De KPN domeinnamen zijn beveiligd waardoor het onmogelijk is om valse e-mails te versturen met domeinnamen van kpn zoals kpnmail.nl. :D

Dit topic hebben we altijd up to date gehouden met de meest recente phishing meldingen. Nu de naam van KPN veel minder misbruikt wordt in phishing-mails, is het regelmatig bijwerken van dit topic ook overbodig geworden, dat is goed nieuws! Af en toe zien we nog een kwaadwillenden phishing-mail die de naam van KPN gebruikt. Deze e-mails worden verstuurd vanuit overduidelijke vage, onbekende en soms buitenlandse e-mailadressen. Controleer daarom goed of de e-mail van KPN afkomstig is, verstuurd vanaf een kpn.com domeinnaam.


Voorbeeld phishing-mail:


Wat is Ransomware? 
Wikipedia: “Ransomware is een chantagemethode op internet door middel van malware. Letterlijk vertaald betekent ransom: losgeld. Ransomware is een programma dat een computer (of gegevens die erop staan) blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te 'bevrijden'. Betalen blijkt echter niet (altijd) tot ontsluiting van de computer te leiden, zo waarschuwt de Nederlandse overheid.

Mogelijk heeft u al eens van Ransomware gehoord. We zien het fenomeen sinds ruim 10 jaar op veel verschillende manieren voorbij komen. KPN en haar klanten zijn vaak het slachtoffer van deze vorm van phishing. Aangezien KPN een grote organisatie is met veel klanten, zijn wij een makkelijk doelwit. Internetcriminelen pakken het slim aan en vinden steeds andere methodes om ons te misleiden.


Afbeelding: Het wel bekende “politievirus”, destijds een redelijk geslaagde phishing / Ransomware actie. Dit omdat er werd ingehaakt op gevoelige informatie, namelijk pornografisch materiaal. Met een relatief lage losgeld eis van tussen de 50 en 500 euro is er veel buit gemaakt.

Phishing bij KPN 
De twee meest voorkomende vormen van Ransomware meldingen bij KPN:
  • Factuur e-mail met bijlage (.zip of .rar bestand)
  • Betaal herinnering / Betalingsachterstand met een link (naar bijvoorbeeld Dropbox of andere sites)
In beide gevallen wordt de Ransomware geïnstalleerd op uw computer bij het openen van de link en/of het bestand. Het virus versleutelt vervolgens alle bestanden op uw computer. U kunt er daarna met geen mogelijkheid meer bij komen. Vervolgens wordt er een melding op het scherm weergegeven dat de bestanden pas weer toegankelijk zijn nadat er een geldbedrag overgemaakt is.(De bedragen die op het internet genoemd worden door gedupeerden varieren tussen de 850 en de 4000 euro).

Nadat de bijlage geopend is, kan het zijn dat het versleutelen nog niet begonnen is. Soms is het programma Malwarebytes Anti Rootkit dan nog in staat het virus te verwijderen. Virusscanners zijn nog niet in staat dit proces om te keren. Het wordt sterk aangeraden om niet te betalen, want daarmee houdt u een criminele organisatie in stand en zelfs na betalen is het niet zeker of het ook daadwerkelijk goed gaat komen. Voor de techneuten onder ons; we hebben het over Locky, een 4e generatie van het Cryptolockervirus.

Voor een zakelijke gebruiker kan dit enorme gevolgen hebben. U wilt er toch niet aan denken dat uw bedrijfsadministratie wordt versleuteld en mogelijk niet meer te herstellen is? Het is daarom erg belangrijk dat u een back-up bijhoudt van uw bestanden. Een NAS (netwerkschrijf), Cloud opslag of externe harde schijf hoeft daarbij niet altijd voldoende te zijn. Wanneer aangesloten op de computer worden deze apparaten gewoon meegenomen door het virus en bent u mogelijk ook deze back-up(s) kwijt. Een offsite back-up is de enige zekere manier om data veilig op te slaan. Dat wil zeggen dat ten minste één back-up op een andere locatie bewaard wordt.

KPN biedt een back-up dienst aan die de gevolgen van Ransomware kan voorkomen. De dienst Back-up Online is een back-up applicatie in de cloud met dataservers van KPN. Elke dag wordt automatisch een back-up van uw bestanden gemaakt en veilig gesteld op de servers. De laatste 28 back-ups worden bewaard zodat deze zelfs terug te halen zijn wanneer er back-ups zijn gemaakt van reeds versleutelde bestanden!

Melden van Phishing 
KPN zit natuurlijk bovenop het detecteren van valse e-mails die uit haar naam verzonden worden. Twijfelt u of een ontvangen e-mail van KPN wel echt is en staat deze nog niet tussen de actuele meldingen? Meld het ons!
  1. Controleer op de website kpn.com/valseemail of de phishing aanval bekend is. Hier staan alle actuele valse KPN e-mails in een overzicht. Als de ontvangen e-mail gelijk is aan een bekende melding, is het niet nodig om ons te informeren.
  2. Staat de e-mail nog niet op de website? Maak dan een melding! Daarvoor hebben we informatie over de afzender nodig en de inhoud van het bericht. De afzender informatie staat in de zogenaamde header. Stuur deze header informatie samen met de inhoud van het bericht naar valse-email@kpnmail.nl. (kijk voor meer informatie op de website kpn.com/valseemail)

Maatregelen die door KPN worden genomen:
  • Wanneer verstuurd vanaf een KPN e-mailadres, wordt het e-mailadres van de phisher geblokkeerd op ons mailplatform. Via de KPN mailservers kan daarna geen reactie worden gestuurd op de e-mail.
  • Er wordt een “Notice and Takedown” verzoek gestuurd naar de hosting provider van de phishing site. Hierdoor moet de website zo spoedig mogelijk van het internet worden gehaald.
  • Bij Google wordt een “Web Forgery” melding gemaakt. Hierdoor verschijnt er een waarschuwingspagina over phishing wanneer de website wordt aangeklikt via Firefox/Chrome.
Heeft u vragen, opmerkingen of een nieuwe melding? Post een reactie in dit topic op ons forum!

Laat uw domeinnaam niet phishen!
Pas op voor phishingmails uit naam van Domain Notice & SIDN

Zie ook meer informatie op kpn.com:
https://www.kpn.com/service/internet/veilig-internetten/valse-email.htm
https://www.kpn.com/service/internet/veilig-internetten.htm

Handige links:
- Internet & Bellen: Internet Veiligheidspakket vanaf nu Protection Service for Business
- Internet & Bellen: Laat uw domeinnaam niet phishen! (Stem mee)
- Internet & Bellen: Webinar: Veilig en succesvol (samen)werken in de cloud
- Forum: Introductie het zakelijk forum KPN
- Forum: Indexpagina Blogs & Artikelen

6 reacties

Reputatie 7
Badge +11
Hier een voorbeeld. Dankzij Berto is de phishing-mail nu te zien.

Opvallend is dat waarschijnlijk het genoemde bedrag voor iedereen gelijk is (72,65 euro).
Reputatie 7
Badge +11
Beste Bor,

Ontzettend naar dat u bijna slachtoffer was van een phishing actie. Gelukkig is het goed gegaan! :D

KPN doet er absoluut alles aan om de schade van phishing te beperken. Daarnaast kan ik u verzekeren dat veiligheid voorop staat bij KPN en u daarover geen zorgen hoeft te maken.

De betreffende criminelen hebben in de eerste instantie helemaal niet eens uw gegevens. Er zijn echter verschillende methoden om deze te verzamelen. Het enige wat nodig is, is uw e-mailadres. Deze worden meestal verkregen door spyware, mallware en adware op computers. Wanneer u een keer inlogt op uw e-mail op een computer dat geïnfecteerd is, kan uw e-mailadres worden doorgestuurd naar de betreffende organisatie. Andere manieren zijn het verkrijgen van een database met e-mailadressen via bijvoorbeeld een andere malifide website of een hack, geforceerde SPAM e-mails met een "unsubscribe / uitschrijf" link, onechte prijsvragen, enquetes en ga zo maar door.

Vervolgens is het een kwestie van gokken en geluk hebben. Heel vaak worden niet eens de juiste phishing e-mails verstuurd. Zo kunt u een phishing e-mail ontvangen die gaat over een andere bank of provider, de crimineel weet niet bij wie u zit en hoopt zo geluk te hebben. Wanneer u bijvoorbeeld een KPN e-mailadres gebruikt, is deze gok een stuk eenvoudiger, de kans is aanwezig dat u bij KPN een abonnement af neemt. Heeft de spyware vernomen dat u regelmatig naar de website van één bepaalde bank gaat? Dan wordt deze bank gebruikt in de phishing e-mail.

Opmerkelijk:

  • KPN gebruikt altijd uw eigen naam als aanhef in de mail, dus niet ‘Geachte klant’, wij weten wel wie u bent!
  • KPN vraagt nooit om uw wachtwoordpincode of andere vertrouwelijke gegevens.
  • E-mails die zinnen bevatten als “Uw account wordt gesloten” of iets van die strekking.
  • U kunt phishing herkennen aan spelfouten, slechte grammatica of vreemde afbeeldingen, zoals bijvoorbeeld een oud logo.

Meer informatie:

Actuele voorbeelden van valse KPN e-mails

Hoe herken ik een Phishing mail en wat doe ik ermee?
Reputatie 7
Badge +11
Nieuwe phishing meldingen worden vanaf nu via deze pagina vermeld.

Wanneer er nieuwe phishing activiteit is waargenomen, wordt het topic voor enkele dagen uitgelicht op de startpagina van het forum!
Reputatie 7
Badge +11
Beste @rvanlee, ontzettend bedankt voor uw waardering en feedback! Fijn dat u betrokken bent en mee denkt over dit onderwerp :D

U heeft een terecht punt, SPF zal zeker helpen om "sender adress spoofing" tegen te gaan. We hebben vaker de suggestie ontvangen en onder de aandacht gebracht binnen de organisatie. Om diverse redenen wordt er vooralsnog geen gebruik gemaakt van SPF. De absusedesk en security afdeling zijn gelukkig wel bezig met een implementatie om spoofing te voorkomen en verwachten dit jaar met een oplossing te komen. Meer details zijn (nog) niet bij mij bekend. Zodra we meer weten hierover updaten we het topic!
Waarschuwing voor phishing-mail

Internetcriminelen versturen momenteel naar KPN-klanten een mail met als onderwerp ‘Betaal herinnering’. Het lijkt alsof dit een mail van KPN is, maar dit is niet het geval!

De mail zegt dat een automatische incasso is mislukt en verzoekt u alsnog geld over te maken naar een rekeningnummer. Doe dit niet en verwijder de mail.

 

Klik ook niet op de link (Vraag hier uw betaalgegevens op) in de mail.

Het betreft hier een zogeheten ‘phishing-mail’. Dit zijn mails die internetcriminelen gebruiken om u geld naar hun rekening te laten overmaken. KPN zal nooit op deze manier een automatische incasso naar u sturen.

Voorbeelden:

Onderwerp e-mailbericht: Betalingsachterstand            

Afzender e-mailadres: betalingsachterstand@kpn.nl

Onderwerp e-mailbericht: Betaal herinnering  

Afzender e-mailadres: KPN-betaalafspraak@kpn.com

 Allemaal correct wat u schrijft, maar het bedrag was bij mij exact wat ik reeds betaald had. ik werd eerst gebeld dat de mail eraan kwam en dat ik binnen drie dagen moest betalen. Nadat ik de mail kreeg, heb ik klantenservice gebeld, hiermee mail uitgewisseld. Met direct resultaat, PHISHING MAIL. Dit keer geboft.

voor mij blijft vraag over, hoe komen criminelen aan telnummer en gegevens❗️❗️❗️❗️❗️⁉️

Ik weet dat veligheid maar schijn is op internet. Maar het zou er voor pleiten als je iets geheim wil houden moet het per gewone post(ouderwetse staatspost dus). Moeten we nu vaststellen dat kpn niet voldoende is beveiligd⁉️
Allereerst bedankt voor het beschrijven van de acties.

Echter zien we al jaren dat met name de KPN maildomeinen misbruikt worden voor dit soort phishing/ransomware acties. Waar andere ISP's en bedrijven zoals Intrum Justitia inmiddels werken met Sender Policy Framework (SPF) blijft dit bij KPN nog steeds achterwege.

SPF is verre van perfect, maar is wel een goede stap in het stoppen van phishing mails crossplatform.

Als hier nou eens aandacht aan geschonken zou worden dan herkennen spamfilters sneller dit soort "sender adress spoofing" acties zogenaamd in naam van KPN.

Reageer