How to, Inspiratie, Verdieping

E-mailbeveiliging Nederlandse banken zo lek als een mandje

0

De Nederlandse Vereniging van Banken is een campagne gestart om consumenten te waarschuwen voor de zogeheten nepmail. Maar beschermen de banken zichzelf en hun klanten zelf wel voldoende tegen phishing? Hoog tijd om een realtime Phishing Scorecard voor de banken te maken. In dit artikel een analyse van de huidige situatie.

De afgelopen weken is phishing herhaaldelijk in het nieuws geweest op TV en in kranten. De Nederlandse Vereniging van Banken heeft recentelijk aangegeven dat consumenten, die meerdere keren het slachtoffer worden van phishing, de schade niet meer kunnen verhalen op hun bank onder het mom van “Een ezel stoot zich in het algemeen geen tweemaal aan dezelfde steen”. Je zou dan denken dat de banken zichzelf en hun klanten wel voldoende beschermen tegen phishing. Maar is dat wel zo?

Al bijna 2 jaar geleden gaf ik op Frankwatching een checklist voor het veilig verzenden van e-mailcampagnes. Toen was er nog weinig aandacht voor veilig mailen, maar nu is de bestrijding van phishing een hot item. Op TV zijn spotjes te zien van de Nederlandse Vereniging van Banken over zogeheten nepmail om consumenten hiervoor te waarschuwen.

Accepteer cookies

De directe schade van de Nederlandse banken in 2011 bedroeg 35 miljoen euro, ten opzichte van 2010 is dit een stijging van 400%! Voor de banken is dit feitelijk een klein bedrag, maar de indirecte schade voor de banksector en de maatschappij als geheel is vele malen groter. Naast de beschadiging van het imago, neemt ook het vertrouwen in internetbankieren en het online kanaal in het algemeen af. En juist dat online kanaal is voor veel bedrijven zo belangrijk, omdat het de omzet kan verhogen en de kosten kan verlagen. Met 2 op de 3 personen, internetbankieren Nederlanders het meest in heel Europa. Optimale bestrijding van phishing is dan ook van groot (maatschappelijk) belang!

Recent werden er ook phishing mails gestuurd uit naam van bedrijven als Marktplaats en Funda, iets wat je niet meteen zou verwachten. En wat te denken van (identiteits)fraude door criminelen, die zich via een phishing mail voordoen als de overheid? Mailen gemeentes, ministeries en de Tweede Kamer eigenlijk wel veilig? In een volgende artikel zal ik met de Phishing Scorecard voor de overheid komen.

Bescherm je kantoormail

Mijn collega Niels schreef op Frankwatching het artikel “Is de consument onnodig het slachtoffer van phishing?”. Daarin beschreef hij enkele bouwstenen om phishing optimaal te bestrijden. In hoofdzaak gaat het erom om dat je je eigen e-maildomeinen moet beschermen. Veelal denkt men hierbij in eerste instantie aan commerciële e-mailings, maar wordt het hoofddomein, dat wordt gebruikt voor de eigen kantoormail, vergeten. De e-mail service providers, die veelal de commerciële e-mailings versturen, hebben de diverse bouwstenen veelal (deels) op orde. De domeinen die worden gebruikt voor kantoormail, worden echter vaak vergeten en zijn compleet onbeveiligd. Namens deze domeinen kunnen dus heel eenvoudig phishing mails verstuurd worden!

In onderstaande afbeelding zie je de oogst van 2 maanden phishing mails, die ik namens banken heb ontvangen. Eigenlijk alle mails die je ziet aan de linkerkant werden verstuurd namens het e-maildomein dat de banken gebruiken voor hun kantoormail, zoals @rn.rabobank.nl en @ing.nl. Aan de rechterkant zie je een voorbeeld van een phishing e-mail die namens @nl.abnamro.com werd verzonden.

phishing bij banken
De bouwstenen: bescherm nu al 40% van je klanten

Nogmaals zet ik de benodigde bouwstenen eens op een rijtje. Alle bouwstenen zijn toevoegingen in de zogeheten DNS server en hebben dus steeds betrekking op een bepaald e-maildomein, bijvoorbeeld @nl.abnamro.com.

  1. SPF (Sender Policy Framework) geeft aan welke servers er namens jouw e-maildomein mogen versturen.
  2. Sender ID is een variant op SPF, die door Hotmail wordt gebruikt bij het ontvangen van e-mail.
  3. DKIM (DomainKeys Identified Mail) is het meest eenvoudig uit te leggen als een digitale handtekening.
  4. ADSP (Author Domain Signing Practices) is een optionele toevoeging op DKIM, waarmee je aan kan geven of je wel of niet altijd een digitale handtekening gebruikt voor het betreffende e-maildomein.
  5. DMARC (Domain-based Message Authentication, Reporting and Conformance) is een nieuwe standaard met rapportagemogelijkheden en de mogelijkheid om richting de ontvangers van e-mail (Gmail, Hotmail, KPN, Ziggo, UPC, Tele2, etc) aan te geven dat een e-mail volledig geblokkeerd moet worden als het een phishingbericht is!

Afhankelijk van bovenstaande instellingen worden phishing e-mails door Gmail afgevoerd naar de spambox, met daarbij een speciale melding. Ook het blokkeren van een phishing e-mail op verzoek van de eigenaar van een e-maildomein is bij Gmail al mogelijk! Hotmail past dit ook al toe, maar verwijdert nog niet direct de berichten. Wel worden de phishing e-mails door Hotmail afgevoerd naar de spambox, met daarbij ook een speciale melding.

Gmail DMARC

Zo’n 40% van de Nederlandse consumenten gebruikt een Hotmail (32%) of Gmail (8%) e-mailadres. Door de juiste toepassing van de bouwstenen, ben je als B2C-bedrijf dus al in staat om zo’n 40% van je klanten te beschermen!

ING beveiligt e-mail het minst slecht

Wat ik me afvroeg, was of de Nederlandse banken op dit moment die 40% van hun klanten ook al beschermen. Om die reden hebben we een realtime Phishing Scorecard voor de Nederlandse banken ontwikkeld. Op dit moment kunnen we maar één conclusie trekken: de e-mailbeveiliging van de Nederlandse banken is zo lek als een mandje! Via de Phishing Scorecard kun je dus realtime volgen of de banken hun leven gaan beteren.

Phishing Scorecard Nederlandse Banken

Klik op de afbeelding voor de realtime Phishing Scorecard voor de Nederlandse banken

Wat ons betreft verdient geen enkele bank op dit moment een prijs. Geen enkele bank gebruikt immers de bestaande mogelijkheden maximaal om zichzelf en de consument te beschermen. Als we dan toch een “veilig mailen ranking” moeten maken, dan ziet die er wat ons betreft als onderstaand uit.

Conclusies phishing banken

ING gaat duidelijk aan kop als het om veilig mailen gaat en ziet blijkbaar de noodzaak ervan in, aangezien zij als eerste Nederlandse bank DMARC toepast, hoewel nog niet in haar meest strikte vorm en nog niet op alle e-maildomeinen! Nu is het afwachten tot de andere banken volgen.