Woningnet phising email vanuit eigen domein @woningnet.nl - Privacy en beveiliging

Vraag

vrijdag 14 mei 2021 12:40

Acties:

+1 Henk 'm!

Topicstarter

Hallo,

Ik kreeg onlangs een phishing email om mijn inschrijving bij woningnet.nl te verlengen. Deze phishing emails zijn ook bekend bij woningnet zelf en ze waarschuwen hier ook voor zie de onderstaande link.

https://www.woningnet.nl/phising

Wat ik zorgelijk vond aan deze email was dat de email verstuurd is vanuit het domein @woningnet.nl. Emails van woningnet zelf worden vanuit hetzelfde domain verstuurd. Ze gebruiken dit domein nog steeds. Ik controleer bij ontvangen emails altijd het email adress en mijn assumptie is altijd geweest is dat wanneer het domein klopt de email te vertrouwen is.

Over het emailadress van de afzender van de phishing emails heb ik niks kunnen vinden in informatie over de woningnet phishing scams. Ik dacht dat een email domein altijd maar door 1 partij te regristreren is. Hoe is het mogelijk dat de phishing email het domein @woningnet.nl gebruikt?

Alle reacties

vrijdag 14 mei 2021 13:14

Acties:

0 Henk 'm!

GarBaGe

Email en veiligheid zijn een beetje zoals water en vuur.
Een verzender van email kan in feite alles bepalen, inclusief het from-adres en dus het domein waarvan het lijkt te zijn verzonden.

Op zich is een check op domein een goede eerste check, maar dit zegt nog niet zo heel veel.

Zoals je hier kan zien:
https://mxtoolbox.com/emailhealth/woningnet.nl/

Is op het domein de Dmarc policy niet enabled, wat inhoud dat phising en spoofing van dit domein relatief makkelijk gaat.

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD

vrijdag 14 mei 2021 13:25

Acties:

0 Henk 'm!

OnTracK

Ik ben wel benieuwd naar de SPF en DKIM headers van die email. SPF zou gefaald moeten hebben, maar dat is helaas niet een harde garantie dat het naar de spam gaat.

Not everybody wins, and certainly not everybody wins all the time.
But once you get into your boat, push off and tie into your shoes.
Then you have indeed won far more than those who have never tried.

vrijdag 14 mei 2021 13:30

Acties:

0 Henk 'm!

n9iels

Hoe is het mogelijk dat de phishing email het domein @woningnet.nl gebruikt?

De emails worden niet daadwerkelijk door dat domein verstuurd. Men gebruikt een techniek genaamd spoofing waardoor het lijkt alsof een email van dat domein afkomstig is. Vergelijk dit met het sturen van een brief uit jou naam, maar achterop (waar normaal het verzend adres staat) staat niet jou adres. Bij een email wordt de afzender domein@woningnet.nl erop geplakt, maar het wordt verstuurd vanuit een ander IP adres.

Dit is mogelijk omdat email een erg oud protocol is wat eigenlijk nooit bedacht is om op deze schaal te gebruiken. Afzender validatie en beveiliging was toen nog niet zo'n ding en zit dus ook niet ingebakken. Heden daag is dit tot zekere zing wel mogelijk om te valideren, maar dat gebeurd niet altijd even goed.

[ Voor 8% gewijzigd door n9iels op 14-05-2021 13:34 ]

vrijdag 14 mei 2021 13:31

Acties:

0 Henk 'm!

n9iels

OnTracK schreef op vrijdag 14 mei 2021 @ 13:25:
Ik ben wel benieuwd naar de SPF en DKIM headers van die email. SPF zou gefaald moeten hebben, maar dat is helaas niet een harde garantie dat het naar de spam gaat.

https://internet.nl/mail/...l/529120/#control-panel-9

DMARC policy is niet zo goed ingesteld als het zou kunnen zijn zo te zien. Maar inderdaad, absoluut geen garantie dat het dan ook in spam terug komt.

zaterdag 15 mei 2021 15:16

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Mupp3t schreef op vrijdag 14 mei 2021 @ 12:40:
Hoe is het mogelijk dat de phishing email het domein @woningnet.nl gebruikt?

Op precies dezelfde manier als dat je een vals afzenderadres op een envelop kan zetten. Je kan schrijven wat je wil, niemand die het controleert. De postbode kijkt alleen naar het adres waar de brief naar toe moet. Pas als de brief (e-mail) niet bestelbaar is gaat het afzenderadres een rol spelen.

Er zijn wel technieken (zoals SPF en DKIM) die proberen om het afzenderadres wel te controleren, maar die vereisen medewerking van zowel de eigenaar van het doemin (woningnet.nl) als de mailserver die jouw mail ontvangt. Dat is allemaal nog verre van standaard (helaas).

This post is warranted for the full amount you paid me for it.

maandag 21 juni 2021 21:37

Acties:

0 Henk 'm!

rickdebilt

Mijn moeder ontving vandaag ook zo'n mail.
Ze strapte er toch in.. (er stond al een betaling klaar van €3000,- euro naar haar betaalrekening)
Maar ze drukte nog net op tijd op annuleren.
Ik snap niet dat Woningnet het niet voor elkaar krijgt dit strakker in te kunnen stellen.

SPF en DKIM moeten gewoon kunnen werken toch?
Deze gasten wisten zelfs dat mijn moeder één deze dagen moest vernieuwen...
Lijkt mij er dan toch op dat deze gasten al binnen in de systemen zitten van Woningnet..
Zal Woningnet weleens een pentest doen?

maandag 21 juni 2021 21:39

Acties:

0 Henk 'm!

D-Three

rickdebilt schreef op maandag 21 juni 2021 @ 21:37:
Deze gasten wisten zelfs dat mijn moeder één deze dagen moest vernieuwen...

Kan best toeval zijn.

woensdag 23 juni 2021 15:07

Acties:

+2 Henk 'm!

marapuru

db.

rickdebilt schreef op maandag 21 juni 2021 @ 21:37:
Deze gasten wisten zelfs dat mijn moeder één deze dagen moest vernieuwen...
Lijkt mij er dan toch op dat deze gasten al binnen in de systemen zitten van Woningnet..

Dat is inderdaad puur een toevalstreffer.

1. Schiet met hagel
2. 0,01% raakt een 'sweet spot' - "He, ik sta ook ingeschreven bij woningnet en het verloopt morgen"
3. 5% daarvan onderneemt actie (maakt geld over)
4. Profit.

Zo werkt het helaas.

[ Voor 6% gewijzigd door marapuru op 23-06-2021 15:08 ]

Pagina: 1

Reageer