Phishing mail PostNL. Hoe komen ze aan mijn gegevens? - Privacy en beveiliging

vrijdag 10 april 2020 13:24

Acties:

Topicstarter

Gisteren ontving ik deze mail:

Afbeeldingslocatie: https://tweakers.net/i/zSGq63cx0eojXDHFY-UcpELiAHE=/f/image/zMcMziYoOpxx9WKZ4dP895N4.png

Afbeeldingslocatie: https://tweakers.net/i/HszO_SKiUkQe2EBCNnCyvy0QQNA=/f/image/NX5KUnwSRkOgn0xspxK1HVi4.png

Op zich een duidelijke phishing-mail; een slecht verhaal in slecht Nederlands, en een verwijzing naar een matig nagebouwde website (mijnpostnl.nl ipv mijn.postnl.nl).

Maar bij nader bekijken valt het volgende op:

Ik heb inderdaad recent contact opgenomen met hun klantenservice. Hoe weten ze dat?
Bovenaan de mail wordt mijn voornaam gebruikt. Hoe weten ze die?
De mail is TLS-gesigned door postnl.nl

Wat denken jullie, hebben ze gegevens van PostNL kunnen stelen of moet ik het ergens anders zoeken?

vrijdag 10 april 2020 13:30

Acties:

wimjongil

Marijnus schreef op vrijdag 10 april 2020 @ 13:24:
Gisteren ontving ik deze mail:

[Afbeelding]
[Afbeelding]

Op zich een duidelijke phishing-mail; een slecht verhaal in slecht Nederlands, en een verwijzing naar een matig nagebouwde website (mijnpostnl.nl ipv mijn.postnl.nl).

Maar bij nader bekijken valt het volgende op:
Ik heb inderdaad recent contact opgenomen met hun klantenservice. Hoe weten ze dat?
Bovenaan de mail wordt mijn voornaam gebruikt. Hoe weten ze die?
De mail is TLS-gesigned door postnl.nl
Wat denken jullie, hebben ze gegevens van PostNL kunnen stelen of moet ik het ergens anders zoeken?

Potverdorie wat een goede phishing: als je naar mijnpostnl.nl gaat zie je dat ze zelfs het certificaat van PostNL hebben nagemaakt!

vrijdag 10 april 2020 13:31

Acties:

vanaalten

Is het misschien GEEN phishing mail? mijnpostnl.nl lijkt toch echt een officieel domein van Postnl te zijn; certificaat lijkt correct en genoeg linkjes die naar PostNL verwijzen.

vrijdag 10 april 2020 13:32

Acties:

wimjongil

vanaalten schreef op vrijdag 10 april 2020 @ 13:31:
Is het misschien GEEN phishing mail? mijnpostnl.nl lijkt toch echt een officieel domein van Postnl te zijn; certificaat lijkt correct en genoeg linkjes die naar PostNL verwijzen.

Nee nee nee, het is juist heel vakkundige phishing. Niet van echt te onderscheiden!

vrijdag 10 april 2020 13:40

Acties:

Kek

3flix

mijnpostnl.nl is bij Transip geregistreerd, en gebruikt de nameservers ns1..3.postnl.nl. Domein houder is ook postnl: https://www.sidn.nl/whois/?q=mijnpostnl.nl

Dat ruikt niet phishy

Ik denk eerder dat dit een slecht opgezette maar legitieme email is..

[ Voor 23% gewijzigd door Kek op 10-04-2020 13:42 ]

vrijdag 10 april 2020 13:42

Acties:

Maarten_E

Maar wat voor adres is die afzender dan?
Zeker dat .salesforce.com gedeelte zou bij mij alarmbellen laten rinkelen, puur door de onduidelijke brei aan domeinnaam. En het feit dat een PostNL e-mail verstuurd wordt door een systeem genaamd Salesforce voor mij onlogisch klinkt.

[ Voor 25% gewijzigd door Maarten_E op 10-04-2020 13:43 ]

Indien er een mogelijkheid is voor een onderschrift, dient deze getoond te worden.

vrijdag 10 april 2020 13:46

Acties:

Jivebunny

Fail to plan. Plan to fail.

@Maarten_E Weet je wel wat je met salesforce kan doen?

Mensen phishen!

Pixel 9 Pro XL | NAS: HP Gen8 e3-1265L v2 16GB 12TB unRAID 6.9.2 | D: Ryzen 5600x 16GB 3000mhz RX 6800 XT MB Acer 27" IPS 144hz | Suzuki Swift 1.2 (2013)

vrijdag 10 april 2020 13:48

Acties:

Bas170

Sir Miss-a-Lot

Maarten_E schreef op vrijdag 10 april 2020 @ 13:42:
Maar wat voor adres is die afzender dan?
Zeker dat .salesforce.com gedeelte zou bij mij alarmbellen laten rinkelen, puur door de onduidelijke brei aan domeinnaam. En het feit dat een PostNL e-mail verstuurd wordt door een systeem genaamd Salesforce voor mij onlogisch klinkt.

Van Wikipedia:

Salesforce.com is een internationaal bedrijf met hoofdkantoor in San Francisco dat bedrijfssoftware aanbiedt op het gebied van klantrelatiebeheer, in de vorm van software as a service op basis van cloud computing. Het bedrijf staat genoteerd aan de New York Stock Exchange als onderdeel van de S&P 500 index.

Zal wel loslopen

https://ifuckinghateJira.com
@CodeCaster: Ik kan niet anders dan concluderen dat Bas170 en Maarten van Rossem gelijk hebben

vrijdag 10 april 2020 13:57

Acties:

CH4OS

It's a kind of magic

mijnpostnl.nl is overigens een redirect naar loginpostnl.net, die op diens beurt ook ns1, ns2 en ns3.postnl.nl als nameservers heeft. Volgens mij is het gewoon valid hoor?

Frappanste is misschien wel dat een Duitse partij de registrar is van het loginpostnl.net domein. Het domein zelf (loginpostnl.net) wordt echter sinds 2014 al gebruikt.

[ Voor 32% gewijzigd door CH4OS op 10-04-2020 13:59 ]

vrijdag 10 april 2020 13:58

Acties:

Bas170

Sir Miss-a-Lot

Is het niet gewoon een IT servicedesk die het mailtje wat onlogisch getypt heeft?

https://ifuckinghateJira.com
@CodeCaster: Ik kan niet anders dan concluderen dat Bas170 en Maarten van Rossem gelijk hebben

vrijdag 10 april 2020 14:01

Acties:

CH4OS

It's a kind of magic

Wat is er fout aan de tekst van de mail dan? Ik zou naar een klant of onbekende ook niet zomaar je gebruiken, maar als dat al de reden is om een mail als phishing te bestempelen, denk ik dat er eerder dat de definitie van phishing niet bij iedereen even duidelijk is.

Marijnus schreef op vrijdag 10 april 2020 @ 13:24:
Wat denken jullie, hebben ze gegevens van PostNL kunnen stelen of moet ik het ergens anders zoeken?

Wat zei de klantenservice toen je hen hierover contacteerde?

[ Voor 37% gewijzigd door CH4OS op 10-04-2020 14:04 ]

vrijdag 10 april 2020 15:43

Acties:

Marijnus

Topicstarter

Thanks voor de reacties! Nu jullie het zo zeggen lijkt het inderdaad wel alsof het gewoon een echte mail is!
(gezien het certificaat van de "phishing" website en de mail gewoon legitiem is).

De reden waarom het naar phishing ruikt is dat zo'n raar email adres en naam is, en dat de mail over het algemeen gewoon enorm onduidelijk is. (Wie is de "Admie" medewerker? Wat gaan ze nu nog doorverbinden als ik ze een paar weken geleden gebeld heb? Waarom staat mijn telefoonnummer bij een collega, is er geen centraal systeem?)
Verder ken ik de mijnpostnl.nl en loginpostnl.net domeinen niet. Voelt alsnog niet echt relaxed genoeg om daar in te loggen.

Ik ga inderdaad even de klantenservice contacten...

vrijdag 10 april 2020 15:50

Acties:

g0tanks

Moderator CSA

Marijnus schreef op vrijdag 10 april 2020 @ 15:43:
Wie is de "Admie" medewerker?

Admie is denk ik hoe ze intern het administratiesysteem noemen, of misschien dat het softwarepakket zo heet. Als je op LinkedIn kijkt zijn er meerdere mensen die 'Admie medewerker' als functie hebben bij PostNL. Wel heel onhandig om het zo naar buiten te communiceren, want ik zou daardoor ook meteen denken dat het spam is.

Ultrawide gaming setup: AMD Ryzen 7 2700X | NVIDIA GeForce RTX 2080 | Dell Alienware AW3418DW

vrijdag 10 april 2020 15:56

Acties:

Jester-NL

... pakt een botte bijl

Marijnus schreef op vrijdag 10 april 2020 @ 15:43:
(...)
Verder ken ik de mijnpostnl.nl en loginpostnl.net domeinen niet. Voelt alsnog niet echt relaxed genoeg om daar in te loggen.
(...)

Als ik een domein niet direct vertrouw, dan bekijk ik de whois-gegevens (en dan bij voorkeur bij de registry zelf, zal wel beroepsdeformatie wezen

)
https://www.sidn.nl/whois/?q=mijnpost.nl
Houder: TNT Mail Holding B.V.
Dat soort gegevens zijn erg lastig te spoofen. Anderzijds... als daar een privacy beschermende optie overheen gegooid is, dan is mijn vertrouwen ook per direct weg...

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

vrijdag 10 april 2020 15:56

Acties:

Xander

Marijnus schreef op vrijdag 10 april 2020 @ 15:43:
Wat gaan ze nu nog doorverbinden als ik ze een paar weken geleden gebeld heb? Waarom staat mijn telefoonnummer bij een collega, is er geen centraal systeem?

Jij en iemand anders (jouw collega

) hebben hetzelfde telefoonnummer in het profiel opgeslagen. Blijkbaar doen ze iets met nummerherkenning op inkomende oproepen om je naar de juiste afdeling door te verbinden?

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+

vrijdag 10 april 2020 15:57

Acties:

hcQd

Overigens is mijnpostnl.nl een site voor medewerkers van Postnl. Waarschijnlijk heeft iemand het verkeerde e-mailadres doorgegeven bij de sollicitatie/registratie.

[ Voor 3% gewijzigd door hcQd op 10-04-2020 16:11 ]

vrijdag 10 april 2020 16:34

Acties:

Marijnus

Topicstarter

Wow, OK. Weer wat geleerd.
mijn.postnl.nl en mijnpostnl.nl zijn iets heel anders. Creatieve naamgeving daar

En ze lijken hun communicatie en systeem dus niet helemaal op orde te hebben. Dat laat ik dan maar zo.

Ben benieuwd naar de reactie van PostNL, maar ga er niet meer zo hard achteraan. Bedankt allemaal!

vrijdag 10 april 2020 17:43

Acties:

kodak

FP ProMod

hcQd schreef op vrijdag 10 april 2020 @ 15:57:
Overigens is mijnpostnl.nl een site voor medewerkers van Postnl. Waarschijnlijk heeft iemand het verkeerde e-mailadres doorgegeven bij de sollicitatie/registratie.

Wat dan zou betekenen dat PostNL onterecht persoonsgegevens aan het verwerken is door vooraf niet goed te controleren of het adres wel bij de persoon hoort. Als @Marijnus geen zakelijk relatie met ze heeft kan hij er maar beter wel meer achteraan zitten om te voorkomen dat dit van kwaad tot erger gaat. Het is niet ongewoon dat gegevens in een organisatie gaan zwerven als men denkt dat het bijvoorbeeld als bedrijfsgegevens verwerkt mag worden.

vrijdag 10 april 2020 18:23

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

kodak schreef op vrijdag 10 april 2020 @ 17:43:
[...]

Wat dan zou betekenen dat PostNL onterecht persoonsgegevens aan het verwerken is door vooraf niet goed te controleren of het adres wel bij de persoon hoort.

Hoezo? Het is niet ongehoord dat twee personen in een bedrijf of gezin hetzelfde vaste tel.nummer of postadres hebben? Waarom zou dat onterecht zijn?

Dat het goed is om bij fouten zsm te laten corrigeren is idd natuurlijk wel zo (in alle gevallen).

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 10 april 2020 21:25

Acties:

kodak

FP ProMod

F_J_K schreef op vrijdag 10 april 2020 @ 18:23:
[...]Hoezo? Het is niet ongehoord dat twee personen in een bedrijf of gezin hetzelfde vaste tel.nummer of postadres hebben? Waarom zou dat onterecht zijn?

In dit geval lijkt de TS geen werknemer te zijn en ook niet in de omgeving te hebben. Anders verwacht ik niet dat iemand hier zulke berichten gaat plaatsen en wel zou weten hoe hoe het bedrijf werkt. Het geeft mij tenminste niet de indruk dat het bericht verzonden is naar een persoon van wie de gegevens ook verwerkt zouden moeten worden.

woensdag 15 april 2020 10:20

Acties:

Marijnus

Topicstarter

Afbeeldingslocatie: https://tweakers.net/i/bBl6SXPraaH65RLSd0Kwzdc_bGk=/800x/filters:strip_exif()/f/image/HOxYapjgMvFtlzK6hxuGe95l.png?f=fotoalbum_large

Nog even voor de geïnteresseerden, PostNL bevestigt in ieder geval dat het een "echte" mail is, die verkeerd verstuurd is. "Een fout in het systeem" dus. Lijkt me dat ze hun zaakjes niet op orde hebben, maar of ze aan onterechte persoonsgegevens verwerking doen zoals @kodak zegt, kan ik moeilijk hard maken op basis van deze info.