Reageer met quote
05-06-2024, 17:11 door Anoniem
Ja leuk idee. Totdat de database met anti-phishing codes uitlekt natuurlijk. Gelukkig houdt iedereen de naam van z'n huisdier of favoriete gerecht goed geheim!
Reageer met quote
05-06-2024, 17:14 door Anoniem
Ik zie twee problemen:
1) schaalbaarheid: je moet met iedere partij (PostNL, maar ook bv. je bank) een code afstemmen: is niet praktisch, want hoe weet je nu welke code bij welk bedrijf hoort? Uit je hoofd leren? Als je het op je telefoon of laptop hebt staan, kan een hacker er weer achter komen (en hebben we een password manager nodig)erachter komen. En als je steeds dezelfde code gebruikt, tja, welke zekerheid heb je dan?
2) als zo'n bedrijf gehacked wordt, worden dat soort codes ook verhandeld. Dan krijg je phishing mailtjes met de juiste code, die toch fout zijn...
Reageer met quote
05-06-2024, 17:24 door Anoniem
Ik heb ook een tip, kies een fatsoenlijke mail provider die gewoon DNSSEC en DANE ondersteund ipv @#$Microsoft https://internet.nl/mail/postnl.nl/1259056
Reageer met quote
05-06-2024, 17:40 door Anoniem
Door Anoniem: Ik heb ook een tip, kies een fatsoenlijke mail provider die gewoon DNSSEC en DANE ondersteund ipv @#$Microsoft https://internet.nl/mail/postnl.nl/1259056
Precies! Je kunt idd beter een fatsoenlijke provider nemen. Eigenlijk zouden die providers gewoon gedwongen moeten worden om de juiste standaarden te implementeren en geen e-mail te accepteren van ongeauthenticeerde MTA's. Als dan ook nog de backbone providers de juiste filtering youden implementeren (moet wel gezamelijk) dan wordt dit verkeer al bij de bron gestopt.
Technische mogelijkheden genoeg maar we volgen ze helaas niet (idem in mobiele netwerken waar we ook berichten van foute sms-c systemen blijven accepteren).
Reageer met quote
05-06-2024, 18:08 door Anoniem
Is zeker niet nieuw bij PostNL, want de anti-phising code is al een tijdje actief.
Ook bij de accounts van de Fritzbox (AVM) is overigens een anti-phishing code in te stellen.
Reageer met quote
05-06-2024, 18:09 door Nescio
Het is ook nooit goed volgens sommige hier,maar zie het gewoon als een extra barrière i.p.v.zonder deze methode inloggen.
Reageer met quote
05-06-2024, 18:11 door Anoniem
Door Anoniem: Ja leuk idee. Totdat de database met anti-phishing codes uitlekt natuurlijk. Gelukkig houdt iedereen de naam van z'n huisdier of favoriete gerecht goed geheim!
Beter is het om de code even te checken bij HIBP.
https://haveibeenpwned.com/Passwords
Reageer met quote
05-06-2024, 18:20 door Anoniem
Kwam er achter dat mijn anti-phishing code in de database van Have I been Pwned werd gevonden.
Misschien toch even een code kiezen die de hackerswereld nog niet kent...
Reageer met quote
05-06-2024, 18:27 door Anoniem
Dit probleem voor e-mail was al in de jaren negentig opgelost door ene Phil Zimmermann in de vorm van PGP. En in alle eerlijkheid, zijn oplossing van clear signing was beter als dit. Één public key publiceren op PostNL.nl en deze gebruiken voor iedereen die een pakketje gaat ontvangen. In de linux en security wereld is dit ook heel gebruikelijk.
Reageer met quote
05-06-2024, 18:53 door Anoniem
Ik denk niet dat oudere mensen dit leuk gaan vinden, dan word het nóg ingewikkelder voor ze, maar aan de andere kant is het wel een stuk veiliger.
Reageer met quote
05-06-2024, 21:12 door Anoniem
Het gaat al fout bij 'postNL account'. Waarom zou ik in vredesnaam een account hebben bij een bedrijf wat pakketjes en brieven berzorgt??
Reageer met quote
05-06-2024, 22:35 door Anoniem
Door Anoniem: Het gaat al fout bij 'postNL account'. Waarom zou ik in vredesnaam een account hebben bij een bedrijf wat pakketjes en brieven berzorgt??
Precies dat. Alleen is het zo jammer dat sommige bedrijven je mail adres doorgeven aan dat derderangs postnl.
Reageer met quote
06-06-2024, 01:59 door Anoniem
Door Anoniem: Dit probleem voor e-mail was al in de jaren negentig opgelost door ene Phil Zimmermann in de vorm van PGP. En in alle eerlijkheid, zijn oplossing van clear signing was beter als dit. Één public key publiceren op PostNL.nl en deze gebruiken voor iedereen die een pakketje gaat ontvangen. In de linux en security wereld is dit ook heel gebruikelijk.
Zimmermann gebruikt zelf geen pgp meer ivm omslachtig.
Reageer met quote
06-06-2024, 07:56 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb ook een tip, kies een fatsoenlijke mail provider die gewoon DNSSEC en DANE ondersteund ipv @#$Microsoft https://internet.nl/mail/postnl.nl/1259056
Precies! Je kunt idd beter een fatsoenlijke provider nemen. Eigenlijk zouden die providers gewoon gedwongen moeten worden om de juiste standaarden te implementeren en geen e-mail te accepteren van ongeauthenticeerde MTA's. Als dan ook nog de backbone providers de juiste filtering youden implementeren (moet wel gezamelijk) dan wordt dit verkeer al bij de bron gestopt.
Technische mogelijkheden genoeg maar we volgen ze helaas niet (idem in mobiele netwerken waar we ook berichten van foute sms-c systemen blijven accepteren).
Leuk die technische mogelijkheden die alleen maar beschermen tegen domeinvervalsing. Dus ik maak een domein aan postnI-mail.nl, Daarop implementeer ik de juiste standaarden waardoor mijn mails worden geaccepteerd door de providers en voila: een mooie phishing campagne. Of ik hoef niet eens dat domein te gebruiken. pietjeiscool.nl is ook prima, als m'n FROM: maar zo is opgemaakt: PostNL <postnl@pietjeiscool.nl>. Dat deel van de ontvangers die een mailclient gebruikt waarbij het e-mail adres standaard niet wordt weergegeven heeft het niet in de gaten, en dat is je doelgroep ook. De domme gebruiker, die overigens ook niet zo'n phishingcode gaat instellen.
Hoe meer wij het phishers moeilijk maken, hoe meer de phisher z'n best doet om het allemaal echt te laten lijken. Met ChatGPT verleidelijke teksten genereren in foutloos nederlands. En gebruik maken van https://obfuscator.uo1.net/ om teksten ongezien de filters te laten passeren.
Het verschil tussen nep en echt is soms niet te onderscheiden, en als we argeloze gebruikers beschermen tegen 99% van de phishingmails, dan komt er een moment dat er wel een phishingmail doorkomt. Dan is de argeloze gebruiker niet getraind om de phishingmail te herkennen en klikt op de link in het mailtje.
Reageer met quote
06-06-2024, 08:33 door Briolet
Door Anoniem: …zijn oplossing van clear signing was beter als dit. Één public key publiceren op PostNL.nl en deze gebruiken voor iedereen die een pakketje gaat ontvangen. In de linux en security wereld is dit ook heel gebruikelijk.
Die public key staat al lang op PostNL.nl. Maar in dit geval gebruikt voor het signeren via de dkim handtekening. Ik kijk altijd naar die ondertekening van belangrijke mail. Jammer dat dit niet publieksvriendelijker gemaakt wordt door mailcliënten.
Bij GMail in de webversie was dit een tijdje te zien via een pulldown menu bij de afzender. Maar blijkbaar begrepen mensen dit niet en heeft google besloten dit weer weg te halen i.p.v. te investeren in betere voorlichting hierover.
Reageer met quote
06-06-2024, 08:50 door Anoniem
Waarom dit houtje-touwtje systeem? SPF + DKIM + DMARC en een reject policy helpen toch veel beter, zonder dat de gebruiker door hoepeltjes moet springen?
Reageer met quote
06-06-2024, 10:00 door Anoniem
Door Briolet:
Door Anoniem: …zijn oplossing van clear signing was beter als dit. Één public key publiceren op PostNL.nl en deze gebruiken voor iedereen die een pakketje gaat ontvangen. In de linux en security wereld is dit ook heel gebruikelijk.
Die public key staat al lang op PostNL.nl. Maar in dit geval gebruikt voor het signeren via de dkim handtekening. Ik kijk altijd naar die ondertekening van belangrijke mail. Jammer dat dit niet publieksvriendelijker gemaakt wordt door mailcliënten.
Bij GMail in de webversie was dit een tijdje te zien via een pulldown menu bij de afzender. Maar blijkbaar begrepen mensen dit niet en heeft google besloten dit weer weg te halen i.p.v. te investeren in betere voorlichting hierover.
Het feit dat een DKIM handtekening klopt, zegt alleen iets over de authenticiteit van de afzender. Daarbij moet je dus ook de afzender zelf controleren. Als mailclients een groen vinkje zetten als mailtje een goede handtekening heeft, kan een verkeerd gevoel van veiligheid geven. Want een groene vinkje op zich nog steeds niet of iets phishing is, of echt. Dat zou je dan wel moeten koppelen aan bekende veilige domeinen.
