E-mail nog steeds onveilig; ook bij NL’se universiteiten

ansichtkaartcreditcard_web

Google maakte onlangs bekend e-mail te gaan versleutelen. Voor een NSA maakt dat weinig uit. Foto: Maurits Reijnoudt

Na de Snowden-onthullingen over de toegankelijkheid van data van internetgiganten voor de NSA, hebben marketingafdelingen van Google, Yahoo en Microsoft het druk met imagoherstel. Bruce Schneier vindt dat je niet moet luisteren naar de mooie praatjes. “Je data is nog steeds niet veilig.”

Sinds de onthullingen hebben de lijdende bedrijven uit Silicon Valley rapporten vrijgegeven over het aantal aanvragen dat de NSA heeft gedaan naar informatie. Ook maakte Google eerder in een blogpost bekend dat het transport van e-mails volledig gaat versleutelen. Dat maakt het moeilijker voor hackers om je mailtjes te lezen, maar een geheime dienst vallen ze er niet mee lastig.

Daarom concludeert beveiligingsexpert Bruce Schneier dat je mailtjes, ook na de goedbedoelde openbaringen en aankondigingen van je provider, nog steeds niet veilig zijn. Als je de talloze mailtjes die opgeslagen staan op servers van Microsoft, Google en Yahoo moeilijk leesbaar wilt maken voor een geheime dienst, moet je zelf je e-mail gaan versleutelen. Op die manier kan ook je e-mailprovider de e-mails niet meer lezen en zal een geheime dienst als de NSA jouw eigen sleutel gebruiken, willen ze je mailtjes kunnen lezen.

Vorige week publiceerde de Volkskrant een artikel over Nederlandse universiteiten die gebruik maken van de Google cloud. Dat betekent dat studenten en medewerkers gedwongen worden hun data aan Google te geven. Over de voorwaarden is stevig onderhandeld. Een resultaat dat openbaar is gemaakt: Google gebruikt de e-mail niet voor het gericht sturen van advertenties of voor profilering. Het contract tussen Google en de universiteiten is echter geheim. Naar verdere afspraken is het gissen. Wat wel duidelijk is: universiteiten verruilen de kosten van een eigen e-mailserver nu voor de privacy van hun studenten en medewerkers. Het gaat in het artikel om  elf universiteiten. Onder andere door de publicatie in de Volkskrant heeft de Radboud Universiteit besloten niet in zee te gaan met Google.

Het versleuteld opslaan van e-mails, zoals Google dat nu doet, biedt niet heel veel weerstand aan een geheime dienst. Als een gebruiker zijn eigen e-mails gaat versleutelen met een zelfgemaakte sleutel, biedt dat al veel meer weerstand. Dat zo’n manier van versleuteling ooit zal worden toegepast, is in het geval van Microsoft in theorie nog wel mogelijk. Het verdienmodel van Hotmail is namelijk niet het adverteren op basis van de inhoud van mailtjes. Google doet dat wel, waardoor het voor het bedrijf onmogelijk zou worden om nog advertenties te baseren op de inhoud van je mailtje, als het bedrijf daar geen toegang meer toe heeft.

Alleen een verandering in de Amerikaanse wetgeving, het persoonlijk versleutelen van je mailtjes of het overstappen naar andere e-mailproviders maakt het moeilijker voor een geheime dienst om je mailtjes te lezen. Voor universiteiten geldt hetzelfde: de data van medwerkers en studenten is in de handen van Google niet gevrijwaard van de Amerikaanse geheime diensten. Daarnaast prangen er nog twee vragen: is het de kostenbesparing waard om alle universitaire communicatie in handen van een grote internetgigant te leggen? En waar gebruikt Google de data eigenlijk voor?

Binnenkort verschijnt hier en op de website van Bits of Freedom een uitgebreide handleiding die je helpt je eigen e-mail te versleutelen.

Koen Rouwhorst, student Computer Science aan de Universiteit van Twente, houdt een lijst bij van Nederlandse universiteiten en hun e-mailproviders. De lijst van Koen is nog niet af en kan fouten bevatten. Wie wil helpen met het uitbreiden van de lijst, kan zich bij hem melden.

Microsoft wil niet meer zelf in inbox kijken

Brad Smith. Foto: Doc Searls

Brad Smith. Foto: Dog Searls


In een reactie op de commotie die is ontstaan over een doorzochte inbox, kondigt Microsoft nieuwe voornemens aan. Vorige week ontstond er onrust over het nieuws dat het softwarebedrijf een hotmailinbox van een klant had doorzocht.

In de toekomst wil het bedrijf niet meer zelf in een inbox kijken. “Als er sprake is van diefstal van intellectuele of fysieke eigendommen, zullen we ons wenden tot de handhavers van de wet.”, zegt Brad Smith, topman van het bedrijf. Om dit soort situaties in de toekomst beter aan te pakken, start Microsoft ook een discussiegroepje met de Electronic Frontier Foundation en het Center for Democracy and Technology. Zo hoopt het bedrijf zorgen bij de klant weg te nemen.

“We zijn beland in een post-Snowden-tijdperk waarin mensen steeds meer oog hebben voor hoe anderen hun persoonlijke informatie gebruiken. Als bedrijf nemen we deel in de discussie en zoeken we naar een balans.” Dat zijn de woorden die Smith toevoegd aan zijn verklaring op het blog van Microsoft.

Microsoft staat, als het om Hotmail gaat, bekend om de keuze geen e-mail te lezen voor het aanbieden van gerichte advertenties. De keuze om een inbox door te lichten veroorzaakte een golf van verontwaardiging. Een privacy promotende pr-machine moet de smet op het imago nu wegnemen.

Als Carter het zegt…

De oud-president van de Verenigde Staten verstuurt zijn berichten weer via de post. Foto: U.S. Navy

De oud-president van de Verenigde Staten verstuurt zijn berichten weer via de post. Foto: U.S. Navy

“U.S. intelligence monitoring has run out of control.” Dat zijn de woorden van de oud-president van de Verenigde Staten tegen persbureau AP. Hij vertrouwt daarom zijn telefoon niet meer en verstuurt ook alle schriftelijke communicatie gewoon weer in een ouderwetse envelop.

“Als ik een persoonlijke boodschap heb voor een buitenlandse leider, schrijf ik die met de hand en post hem in een envelop. Dat heb ik de afgelopen twee, drie jaar al gedaan. Ik heb het gevoel dat mijn telefoon onder de tap staat en dat mijn e-mail gelezen wordt.”, vervolgt hij.

De uitlatingen van Carter komen op dezelfde dag waarop Obama restricties voor de NSA aankondigt. Hij wil de bewaartijd van telefoondata verkorten van vijf jaar naar achttien maanden en de verantwoordelijkheid voor het bewaren, weghalen bij de NSA en naar de telecombedrijven brengen. Dat schrijft The New York Times. Over het verzamelen en bewaren van e-mail wordt in het bericht niets gezegd.

Microsoft: “E-Mail van gebruiker lezen, dat is een uitzondering.”

metrodeskwinunleaked

Blogger Canouna publiceerde op Winunleaked.info screenshots van Windows 8, nog voordat Microsoft zelf afbeeldingen had vrijgegeven. Het blog bestaat niet meer. Foto: WinUnleaked.info

Als het belang van de zaak ermee gediend is, moet de privacy van de gebruiker even wijken. Met die gedachte doorzocht Microsoft het hotmailaccount van een blogger, op zoek naar de bron die informatie over Windows 8 lekte. De softwaregigant geeft toe, en verantwoordt zich naar het publiek.

Wie het precies is overkomen, is onduidelijk. Sommige bloggers vermoeden dat het de Franse Canouna is geweest. Op zijn blog WinUnleaked.info verschenen afbeeldingen van Windows 8, nog voor die officieel waren vrijgegeven. De informatie kwam van een bron binnen Microsoft. Reden om het hotmailaccount van de blogger eens ondersteboven te houden om te zien wie de softwarecode had vrijgegeven die hem zijn primeurs bezorgden.

Afgelopen donderdag gaf het bedrijf dat toe, een paar dagen na de aanhouding van een ex-werknemer van Microsoft. Het nieuws haalde de BBC, Time, The New York Times en talloze andere media. John Frank, hoofd van de juridische afdeling van Microsoft, schreef een verantwoording waarin hij zegt: “De acties die wij hebben ondernomen vallen binnen de wettelijke kaders.” In de servicevoorwaarden schrijft Microsoft dat het zichzelf toegang kan verlenen tot de communicatiediensten die het bedrijf aanbiedt. Frank voegt daaraan toe: “We gebruiken dit recht alleen in bijzondere omstandigheden.”

Voor Windowsfreaks, journalisten, techbloggers en andere belangstellenden was de blog van Canouna de meest gebruikte bron voor informatie over het nieuwe besturingssysteem.

Op vragen over Hotmail versus Gmail heeft Microsoft altijd gezegd kritisch te zijn tegenover het doorzoeken van e-mail voor commerciële doeleinden. Een verdienmodel zoals dat van Google is taboe. Stuurt een medewerker van Microsoft geheime informatie naar een hotmailaccount, dan is de gebruiker daarvan de dupe en wordt zijn inbox doorzocht. John Frank belooft in zijn verklaring dat het bedrijf op zorgvuldige wijze met dit soort gevallen om te gaan. Zo moet er bijvoorbeeld supervisie plaatsvinden op het moment van het doorzoeken.

[Veiligheid] Risico’s op een rijtje

In een vorige blogpost legde Hugo Leisink uit hoe onveilig e-mail is. Deze week besprak ik met hem hoe criminelen e-mail kunnen gebruiken voor illegale doeleinden. Bijvoorbeeld hoe je computer onderdeel kan worden van een botnet.

De meest voor de hand liggende manier om e-mail te gebruiken voor criminele activiteiten is volgens Hugo phishing. Jaarlijks zijn er tienduizenden mensen slachtoffer van phishing. Maar weinig mensen maken melding van dat soort fraude. Erg begrijpelijk want slachtoffer worden van naïef klikgedrag is natuurlijk niet iets waar je trots op bent.

Dit grafiekje geeft weer hoe zeer het aantal phishingsites dat op .nl eindigt is toegenomen. Beeld: SIDN

Dit grafiekje geeft weer hoe zeer het aantal phishingsites dat op .nl eindigt is toegenomen. Beeld: SIDN

Op de blog van SIDN, het bedrijf achter de .nl-domeinen, schreef Marco Davids in maart 2013 een blogpost over de stijging in phishingsites met .nl-domeinen. In de statistieken van SIDN blijkt dat er tot 2013 een forse steiging heeft plaatsgevonden in het aantal phishingsites. Dat zijn dus nagemaakte websites van banken of creditcardmaatschappijen, waarop internetcriminelen inloggegevens aftroggelen.

Een ander doel waarvoor criminelen e-mail gebruiken is het maken van botnets. Ze bouwen aan een netwerk van computers die precies doen wat zij willen. Iemand die wellicht in zo’n proces betrokken is geweest, is Lucy Heesterbeek. Toen ze op een zondagavond op haar iPhone haar mail wilden checken, kreeg ze van hotmail een melding dat dat niet kon. Toen ze het vervolgens op een vaste computer probeerde, vertelde de e-mailprovider dat haar account wellicht gehackt was.

Lucy: “Ik schrok erg en belde mijn zoon die aan mijn schoonzoon vroeg om het op te lossen. Dat was gelukkig snel geregeld, maar ik vond het toch een onplezierig idee. Ik kreeg al gauw mailtjes van mensen die een mailtje van mij hadden ontvangen met de tekst “Surprise! :)”. In het mailtje zat een link waarop een paar mensen hebben geklikt.”

Volgens Hugo is dat het moment waarop een crimineel je toe kan voegen aan zijn botnet. “Waar er vroeger hobyisten achter een virus zaten, zijn dat nu criminele organisaties. Het doel van het creëren van een botnet is: jouw computer gebruiken voor criminele activiteiten. Bijvoorbeeld het stelen van creditcardgegevens of het versturen van spam. Andere keren wil de eigenaar gebruik maken van de rekenkracht van een heleboel laptops tegelijk.”

Een makkelijk wachtwoord is volgens Hugo dé manier om je account te hacken. “Hackers zijn continu bezig met het invoeren van wachtwoorden bij e-mailaccounts.” Een cadeautje voor hackers is, als er een database van wachtwoorden uitlekt. “Hackers maken dan direct een lijstje van de meest voorkomende wachtwoorden. Daar gaan ze vervolgens accounts mee proberen te hacken.”

Lucy vond zichzelf een erg kwetsbaar doelwit: “Ik had allemaal hele makkelijke wachtwoorden die makkelijk te raden waren. Ik wist wel wat de veiligheidsrisico’s waren, maar ik heb ze nooit op mezelf willen toepassen. Nu heb ik betere wachtwoorden en kies ik niet overal dezelfde.”

Tips om hacken en phishing te voorkomen:

  • Kies een stevig wachtwoord. Gebruik bijvoorbeeld een zin die je makkelijk kunt onthouden en voeg daar hoofdletters, spaties, cijfers en andere tekens aan toe.
  • Klik nóóit op links in mailtjes die je niet vertrouwt. Houd daarbij in het achterhoofd dat banken nooit om klantgegevens vragen. Als je iets niet vertrouwt, kan je het beste je bank bellen.

De naam van Lucy Heesterbeek is gefingeerd

[Veiligheid] Versleuteling is ingewikkeld

pgpgeenresultaten
In de vorige blogpost kon je lezen over het gapend gat dat e-mail heet. E-mail blijkt heel onveilig, maar er zijn wel manieren om het iets veiliger te maken. Eén daarvan is PGP, een al vaker genoemde afkorting.

Ik heb tot nu toe nog geen goede uitleg van dit soort encryptiesoftware kunnen geven. Dat komt vooral doordat het een bijzonder ingewikkeld verhaal is. Het gebruik van PGP is heel eenvoudig. Maar de achtergrond is zo complex dat er maar weinig verhelderende filmpjes en artikelen over bestaan.

Dat is voor mij en Bits of Freedom reden om een dappere poging te doen in één keer PGP uit te leggen. Middels een animatie zoals over de cloud, willen we duidelijk maken waarom het verstandig is om PGP te gebruiken, maar ook hoe het werkt.

Binnenkort hoop ik dus een fimpje te publiceren waarin je de versleutelingstheorie in hapklare brokken krijgt opgediend. Daarvoor hebben we natuurlijk al bestaande artikelen en fimlpjes over PGP nodig. Ben jij weleens een filmpje of artikel tegengekomen dat technisch klopt, maar ook heel begrijpelijk is? Laat het me weten, dan kunnen we daarmee aan de slag.

[Veiligheid] “E-mail is één groot gapend gat”

ansichtkaartcreditcard_web

Foto: Maurits Reijnoudt

Deze week sprak ik met beveiligingsexpert Hugo Leisink. Hij studeerde informatica aan de TU Delft en specialiseerde zich in cryptografie. Nu werkt hij in de vervoer- en transportsector. Ons gesprek ging over de veiligheid van e-mail. Conclusie: e-mail is één groot gapend gat.

Hieronder lees je het volledige transcript van het interview met Hugo.

Hugo Leisink Foto: Hugo Leisink

Hugo Leisink Foto: Hugo Leisink

Wat voor achtergrond heb je?

“Ik heb informatica gestudeerd aan de TU Delft en ben afgestudeerd op het onderwerp cryptografie. Ik heb uitgezocht voor de Nederlandse Politie of het PKI een goed certificatensysteem zou zijn om alle communicatie onderling en met het OM en dergelijken te beveiligen.”

Volgens jou zijn er veiligheidsproblemen die nooit helemaal opgelost zullen worden. Wat voor problemen zijn dat en waarom zijn ze onoplosbaar?

“Ik zie tegenwoordig in allerlei projecten dat mensen beveiliging niet helemaal snappen. Ze kijken vaak naar de techniek, naar firewalls en certificaten. In de praktijk werkt beveiliging niet zo. Er worden geen goede risicoanalyses gemaakt. Dat er geen waterflesjes naar binnen mogen in een vliegtuig, dat er een paspoort bestaat met biometrische gegevens erin, dat er een ov-chipkaart bestaat: het zijn stuk voor stuk geen oplossingen voor de problemen die eraan vooraf gingen.

Laten we eens naar de ov-chipkaart kijken, een beveiligingssysteem. Het enige bestaansrecht van de ov-chipkaart is dat er een probleem was met de verdeling van het geld dat de strippenkaart vroeger kostte. In tabakswinkeltjes en supermarkten, overal kon je de strippenkaart vroeger kopen. Eens in de zoveel tijd kwam het geld op een grote hoop te liggen en moest het verdeeld worden over de vervoersmaatschappijen. Niemand wist hoe het geld eerlijk verdeeld kon worden. Dus kwam er de strippenkaart waarmee je precies kon zien wie welk geld kreeg.
Een rare oplossing voor dit probleem, want vervoersmaatschappijen worden gesubsidieerd door de overheid omdat ze niet rendabel zijn.
Een ander argument om de ov-chipkaart in te voeren is het tegengaan van zwartrijden. Daarvoor kan je ook gewoon de strippenkaart beter beveiligen met oplossingen die veel minder kosten dan zo’n draconisch systeem als de ov-chipkaart.

Op deze manier kijken naar een probleem, gaat voorbij aan de ware aard van het probleem. Mensen die zich bezig houden met de ontwikkeling van dit soort dingen, denken al gauw aan technische snufjes, pasjes, chipjes. Die zijn omslachtig en kosten veel geld.”

Als je op deze manier naar e-mail kijkt, wat denk je daar dan van?

“E-mail werkt volgens een oud, antiek protocol. Ik kan deze denkwijze lastig op e-mail loslaten. E-mail is nooit bedoeld om te beveiligen maar is ontworpen als open communicatiesysteem.”

Dat snap ik, maar er zitten toch wel gaten in die je wilt dichten?

“Nou, er zitten niet zozeer gaten in. Het is gewoon één groot gapend gat. Ik denk dat één van de belangrijkste misverstanden in e-mail is, dat je denkt dat een e-mailadres van jou is. Iedereen kan namelijk namens iedereen een e-mail sturen. Ik vul gewoon een willekeurig adres in, zonder dat er een controlesysteem is dat controleert of er wel met dit e-mailadres mag worden gecommuniceerd. Als je een Gmail of Hotmail-account hebt, merk je daar weinig van als je je browser gebruikt om in te loggen.
E-mail is nooit bedoeld om te controleren. De ontwerpers van het ARPA-net hebben nooit een wereldwijd netwerk in gedachten gehad dat door miljarden mensen gebruikt zou gaan worden. Daarom is het zo naïef opgezet.”

In de Netiquette Guidelines staat: zet niets in e-mail wat je ook niet op een ansichtkaart zou zetten. Klopt deze analogie nog steeds?

“Nee, als je in het achterhoofd houdt hoe er nu omgegaan wordt met ansichtkaarten. Vroeger keek het personeel van PTT nog letterlijk naar de adressen die op de kaart stonden. Ongetwijfeld werd er ook weleens een blik geworpen op de inhoud van de ansichtkaart. Tegenwoordig is het voor de sortering niet meer nodig om het adres te laten lezen door een persoon. De kaart wordt dus door veel minder mensen gelezen.
E-mail lijkt daar nog steeds op en is wat dat betreft nog steeds onveilig. Het belangrijkste daarin is, dat je geen idee hebt wie er mee kan lezen. Ik kan wel ongeveer nagaan welk pad een mailtje bewandelt, maar ik verwacht niet dat er iemand bij mijn provider mijn mailtje gaat lezen. Echter: het belangrijkste is dat ik géén zekerheid heb dat dit niet gebeurt.”

Maar is het dus nog even onveilig als vroeger?

“Nou ja, even onveilig als het nu is om gevoelige informatie op een ansichtkaart te zetten. De kans is heel groot dat mijn ansichtkaart ongelezen aankomt. Maar ik weet het niet zeker. De kans is heel groot dat mijn e-mail ongelezen aankomt, maar ik weet het niet zeker.”

Als de informatie die je verstuurt met e-mail in de ogen van iemand anders waardevol is en je verstuurt de inhoud onversleuteld, dan is dat systeem dus zo lek als een mandje en iedereen kan meelezen als-ie wil?

“Dat is absoluut mogelijk.”

ansichtkaartsleutel_web

“Verstuur absoluut geen vertrouwelijke informatie via e-mail.” Foto: Maurits Reijnoudt

Welke stappen in het proces kun je onderscheiden en dus ook beveiligen?

“Het SMTP-protocol vereist dat een mailtje is opgesteld met headers, een lijstje met servers die het mailtje passeert onderweg naar de ontvanger, de afzender, het tijdstip van verzenden, enzovoorts. Daaronder staat de inhoud. Een PGP-applicatie versleutelt alleen de inhoud. De headers worden dus onversleuteld verstuurd. Deze zijn dus altijd zichtbaar omdat het SMTP-protocol zonder die metadata niet zou werken.

Of iemand kan meelezen met de inhoud heb je dus zelf in de hand. De rest van het mailtje is zichtbaar zodra je het de deur uit doet. Ik kan wel zien of de communicatie tussen de mailservers ook versleuteld is, waardoor je niet in het midden kunt afluisteren wat er wordt gecommuniceerd tussen de servers, maar wat er na het versturen naar mijn eigen server gebeurt, daar heb ik geen grip op. Het is het meest realistisch om er van uit te gaan dat jouw mail niet versleuteld wordt verstuurd.

Maar versleutelde communicatie tussen mailservers biedt, als je veiligheidsdiensten in je achterhoofd houdt, een schijnveiligheid. De AIVD kan namelijk gewoon toegang vragen tot een server en op die manier alle mailtjes lezen. Het is dus niet reëel om te zeggen dat versleutelde communicatie tussen servers de ultieme oplossing is.”

Welke belangen spelen er in de beveiliging van e-mail?

“Technisch is het mogelijk om e-mail tot op zekere hoogte te beveiligen. In onze conversatie over dit interview hebben we de inhoud versleuteld. Echter, zoals jij ook weet, is de werking van PGP niet makkelijk uit te leggen aan de gemiddelde Nederlander. Dat maakt het heel onwaarschijnlijk dat een groot publiek zijn e-mail versleuteld gaat versturen.
Daar komt bij dat niemand de dreiging ziet. Weinig mensen snappen hoe beveiliging werkt. Bijna niemand ziet de trend in privacyschending. Wie weet wat grote bedrijven doen met hun data?

Om een antwoord op de vraag te geven: er spelen geen belangen in beveiliging. Het wordt niet doelbewust zwak gehouden. Zwakker dan het nu is, kan je het bijna niet krijgen.”

Wat zou je mensen adviseren aangaande hun e-mailgebruik?

“Veel mensen zeggen altijd: “Ik heb niets te verbergen. Ik stuur namelijk alleen maar onschuldige mailtjes over verjaardagsfeestjes en een borrel bij de buren.” Ik zou zeggen: houd het daar dan ook bij. Verstuur absoluut geen privé-informatie via e-mail. Stuur geen creditcard-gegevens via e-mail als het hotel dat je wilt boeken daarom vraagt. Dat is echt ontzettend stom. Je weet niet of het onderschept wordt en je weet ook niet waar het dan is misgegaan en wie het heeft onderschept, op het moment dat er op jouw naam schulden worden gemaakt.
Wat je niet op een ansichtkaart zet, moet je ook niet mailen, tenzij je PGP gaat gebruiken.”

Toch wordt binnen bedrijven e-mail veel gebruikt. Wat vind jij daarvan?

“Ik kijk er al niet meer van op als ik zie wat mensen per e-mail sturen. Dat gaat van vertrouwde stukken als offertes, tot aan persoonsgegevens. Gevoelige informatie. Alles wordt per e-mail verstuurd. Dat vind ik heel dom, maar het is moeilijk te verkopen dat het onverstandig is. Het gaat namelijk heel vaak goed.
Maar als het fout gaat, heb je er geen zekerheid van dat dat via dat mailtje is gegaan dat jij onversleuteld verstuurde. Je weet niet wie je mail heeft onderschept en al helemaal niet óf dat is gebeurd.

Omdat iedereen nu mailt op zijn telefoon is het heel makkelijk om door middel van die telefoon in te breken op iemands inbox. Je kan niet zeggen: “Ik heb niets te verbergen.” Je weet namelijk niet waar een ander naar op zoek is en welke waarde er dus in jouw inbox zit.”

[Headers] Zo herken je een phisher

Gisteren legde ik uit wat headers zijn. Vandaag ga ik een stapje verder. Ik analyseer een oud mailtje uit mijn Yahoo! inbox. Het mailtje ziet eruit alsof het van een bank komt, maar niets is minder waar.

ING-bedrog

Zoals je ziet is dit een vreemd mailtje. In de naam van de afzender zie je dat er een punt voor de naam van ING staat. Verder staan er diverse interpunctie- en spelfouten in de mail die een bankmedewerker niet zo gauw zou maken. Maar stel je voor dat je zelf ook niet zo goed in spelling bent en misschien wat naïef van aard. Dan zou het kunnen dat degene die dit mailtje heeft gestuurd, beet heeft.

Er zijn echter meer dingen dan alleen de tekst van een mailtje, die aangeven dat er hier sprake is van phishing, een poging om in dit geval mijn bankgegevens te stelen. Net als bij mijn eigen mailtje kijk ik naar de headers. In Yahoo Mail tover ik die tevoorschijn door boven het mailtje te klikken op More -> View Full Header.

In een pop-upvenster krijg ik de volgende informatie te zien:

(Klik op de headers om te zien wat ze betekenen.)


From .ING Fri Aug 23 17:18:06 2013
X-Apparently-To: maurits_reijnoudt@yahoo.com via 98.138.85.141; Sat, 24 Aug 2013 00:18:10 +0000
Return-Path: misbruik@nl.ing.com
Received-SPF: none (domain of nl.ing.com does not designate permitted sender hosts)

Hier horen de alarmbellen te gaan rinkelen. SPF is een systeem om te checken of een IP-adres toestemming heeft om te mailen namens het domein, in dit geval nl.ing.com. Dat is niet het geval. De domeinnaam is makkelijk te vervalsen, maar kan dus door SPF worden opgepikt. Blijkbaar was het voor het spamfilter van Yahoo! niet voldoende reden om het mailtje te weigeren.

c2JydWlrIHZlcm9vcnphYWt0IGRvb3Iga2xhbnRlbiB2YW4gZGUgSU5HLiBJ
ZWRlcmVlbiBrYW4gZWVuIGtsYWNodCBvdmVyIG1pc2JydWlrIGluZGllbmVu
X-YMailISG: GAcgG1MWLDt.8jli5EQtzGmsv3_suJVm1buMoR.O8jE93yI_
MCT7b_1OwK4EtQjng0MVdExA39LwbBWq57WGqjCNs.HZO1mDacthUnGL4hlF
LbKrdwCj4NrS_pVwqSlmSCv5OKTupIQxjgTQQBoxoqyCPH5WJe3ZzLh40raF
f50slX7eCxfROPcOb.8.RUYLDGQrfh4LD.IcKlkoL9NGLR6xtwqiWEp_PSYc
eLGbfwOq_CnovwRQDDMgDvcdPbQgsU0WWLxEiby8KAM-

Deze lange reeks met karakters – ik heb ‘m voor het gemak wat ingekort – is door Yahoo! toegevoegd.

X-Originating-IP: 195.190.28.81
Authentication-Results: mta1412.mail.bf1.yahoo.com from=nl.ing.com; domainkeys=neutral (no sig); from=nl.ing.com; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO smarthost1.greenhost.nl) (195.190.28.81)
by mta1412.mail.bf1.yahoo.com with SMTP; Sat, 24 Aug 2013 00:18:10 +0000

Hier kan je zien waar de server van Yahoo! op gecontroleerd heeft. Zoals je kunt lezen komt het mailtje van nl.ing.com. domainkeys=neutral (no sig) betekent dat er is gecontroleerd op een sleutel. Een domein dat e-mail verstuurt kan een sleutel toevoegen in alle mailtjes die verstuurd worden. De server die het mailtje ontvangt, kan dan controleren of de afzender van het mailtje wel overeen komt met de werkelijke verzendende server. Echter: er is geen handtekening toegevoegd, dus weet je nog niks, behalve dat er sprake zou kunnen zijn van een dubieus mailtje, maar dat is niet zeker.


Hier begint het mailtje echt interessant te worden.


Received: from smtp.greenhost.nl (213.108.104.138)
by smarthost1.greenhost.nl with esmtps (TLS1.0:RSA_AES_256_CBC_SHA1:32)
(Exim 4.69)
(envelope-from misbruik@nl.ing.com)
id 1VD1YO-0003m3-8T
for maurits_reijnoudt@yahoo.com; Sat, 24 Aug 2013 02:18:08 +0200
Received: from ip120-80-210-87.adsl2.static.versatel.nl (87.210.80.120 helo=23twats.nl)
by smtp.greenhost.nl with esmtpsa (TLS1.0:DHE_RSA_AES_256_CBC_SHA1:32)
(Exim 4.72)
(envelope-from misbruik@nl.ing.com)
id 1VD1YO-0000cW-HF
for maurits_reijnoudt@yahoo.com; Sat, 24 Aug 2013 02:18:08 +0200

Hier klopt iets niet. Technisch is het bovenstaande helemaal in orde. Echter; zou ING de mailtjes versturen vanaf een IP-adres van Versatel? Bij de bovenste Received-header staat smarthost1.greenhost.nl. Dat betekent dus dat de e-mail ook een Greenhostserver is gepasseerd. Genoeg informatie om te kunnen zien dat dit mailtje zeer waarschijnlijk niet van ING afkomstig is.

MIME-Version: 1.0
From: .ING misbruik@nl.ing.com
Reply-To: misbruik@nl.ing.com
To: maurits_reijnoudt@yahoo.com
Subject: Opgelet: Overlast van uw account
Content-Type: multipart/alternative;
boundary=----=_NextPart_001_4DD6_753739BA.4C6D030D
X-Mailer: Smart_Send_2_0_138
Date: Sat, 24 Aug 2013 02:18:06 +0200

Dit is wat reguliere informatie die je ook kunt zien in het mailtje dat ik naar mezelf stuurde. Bij de X-Mailer-header, zie je het programma waarmee de mail is verstuurd: SmartSend2.0.138.

Message-ID: 6104368973024939731259@Laptop

Een hele interessante header. Een Message-ID eindigt vaak op een domeinnaam. Die kan van de verzendende server zijn of van het apparaat waarvanaf het mailtje is verstuurd. Waarschijnlijk heette de computer van degene die dit mailtje verstuurde ‘Laptop’. Erg dubieus.

List-Unsubscribe: mailto:?subject=Unsubscribe
X-Authenticated-As-Hash: c73eefca5cd5cfd1fc4eb7468a96c6569132909e
X-Virus-Scanned: by clamav at smarthost1.samage.net

Hier komen we weer een Greenhostserver tegen. Dat verwacht je niet van ING.

X-Spam-Level: -
X-Spam-Score: -1.9
X-Spam-Status: No, score=-1.9 required=5.0 tests=BAYES_00,HTML_MESSAGE autolearn=disabled version=3.3.1
X-Scan-Signature: b1d7cd7c4865bacd8cc28201708f08cd
Content-Length: 8862

Hier lees je nog wat informatie over het spamfilter, de score en de handtekening die het spamfilter heeft achtergelaten.

Als je zelf graag een keer de headers van een mailtje onderzoekt, kun je dat in Outlook.com doen door te klikken op de drie puntjes en vervolgens op ‘Berichtbron weergeven’.
headersinhotmail

In Gmail kun je de headers zien door te klikken op het pijltje rechtsbovenin het mailtje en vervolgens op ‘Origineel weergeven’.
headersingmail

De Nederlandse banken hebben wel vaker te maken met mensen die hun identiteit gebruiken om bankgegevens te ontfutselen. Volgens het CBS waren er in 2012 zo’n 200.000 slachtoffers van skimming, phishing en pharming. Phishing en pharming zijn beiden manieren om de gebruiker naar een ander webadres te lokken dan het vertrouwde adres van bijvoorbeeld een bank. Daar waren in 2012 een kleine 60.000 gevallen van.

Ben of ken je iemand die slachtoffer is geworden van een valse e-mail? Laat het me weten.

[Headers] Het reisverslag van een mailtje

Zoals je al eerder kon lezen in het flitscollege van Jeroen van der Ham, bestaat een mailtje uit veel meer dan wat jij ziet als je het schrijft of leest. Informatie waarmee je ook iemand met kwaadaardige bedoelingen kunt ontmaskeren. Het zijn de headers en ze staan bomvol informatie.

Om eens te kijken hoe headers eruit zien, heb ik een mailtje gestuurd met mijn hotmail-account: mreijnoudt@live.nl. Zoals je hieronder ziet, gaat het mailtje naar mijn account bij Bits of Freedom.
headers van een mailtje

Zodra ik op ‘verzenden’ klik, gebeurt er een heleboel met het mailtje. Vrijwel alle informatie daarover, wordt als een soort logboek toegevoegd aan het bericht. Dat begint boven de onderwerpregel en wordt van onder naar boven geschreven. De bovenste header is dus ook de nieuwste.

Als demonstratie heb ik op mijn BoF-account het mailtje in Thunderbird geopend. Met de toetscombinatie Ctrl + U verschijnt er een nieuw schermpje met alle headers daarin. Dit is dus het complete mailtje.

thunderburdcontrolu

Om uit te leggen wat de headers betekenen, staan ze hieronder opgesteld. Als je bovenaan begint met lezen, reis je als het ware terug in de tijd. Klik op de header om uit te vinden wat-ie betekent.


Return-path: mreijnoudt@live.nl

Stel, mijn inbox bij Bits of Freedom zit vol, en de server accepteert het mailtje, dan stuurt het een mailtje naar dit adres om te vertellen dat het niet is gelukt om het mailtje af te leveren.

Received: from edge2.intern.zimbra-login.net (LHLO
edge2.intern.zimbra-login.net) (10.94.224.231) by
mbx2.intern.zimbra-login.net with LMTP; Tue, 4 Feb 2014 11:31:35 +0100
(CET)

Het bericht is afgeleverd. Zoals je ziet, staat er een IP-adres in de header. Dit IP-adres kan je niet vinden in zoekmachines. Dat komt omdat het een ‘private IP-adress’ is; dat wil zeggen dat het op een netwerk wordt gebruikt en daarom een intern adres is.

Received: from localhost (localhost 127.0.0.1)
by edge2.intern.zimbra-login.net (Postfix) with ESMTP id A302570577
for maurits.reijnoudt@bof.nl; Tue, 4 Feb 2014 11:31:35 +0100 (CET)

De localhost van Zimbra heeft het mailtje ontvangen. Het bericht is bestemd voor maurits.reijnoudt@bof.nl.

X-Virus-Scanned: amavisd-new at edge2.intern.zimbra-login.net

Dit is de locatie van de virusscanner die het mailtje heeft gecontroleerd op mogelijk aanwezige malware.

X-Spam-Flag: NO

Moet dit mailtje als spam gemarkeerd worden? Antwoord: Nee.

X-Spam-Score: -1.919

In deze header staat de spamscore van het mailtje die door de spamfilters is bepaald.

X-Spam-Level:

Deze header waarin het spamlevel zou moeten worden aangegeven, is leeg.

X-Spam-Status: No, score=-1.919 tagged_above=-10 required=4
tests=BAYES_00=-1.9, FREEMAIL_FROM=0.001, HTML_MESSAGE=0.001,
RCVD_IN_DNSWL_NONE=-0.0001, RCVD_IN_MSPIKE_H3=-0.01,
RCVD_IN_MSPIKE_WL=-0.01, SPF_PASS=-0.001 autolearn=ham

Dit is een heel interessant gedeelte van de headers. Hier wordt beschreven op welke eigenschappen het mailtje is gecontroleerd om daar vervolgens een spam-indicatie op te baseren. Zoals je ziet is het bericht geen spam. De score is -1.919, terwijl het bericht pas vanaf 4 als spam wordt gemarkeerd. Eén getal in de lijst springt eruit: 1.9 bij Bayes. Het Bayes-filter controleert op bepaalde tokens, of eigenlijk steekwoorden. Als ik 99 keer een mailtje met de tekst ‘penis enlargement’ als spam markeer en ik krijg voor de honderdste keer een mailtje met die tekst, dan weet het spamfilter dat het mailtje waarschijnlijk spam is. Het filter heeft dus een stukje van de inhoud verdacht gevonden, waardoor het cijfer een beetje tegenvalt.

Received: from edge2.intern.zimbra-login.net (127.0.0.1)
by localhost (edge2.intern.zimbra-login.net 127.0.0.1) (amavisd-new, port 10024)
with ESMTP id vRjYbu8Auc5l for maurits.reijnoudt@bof.nl;
Tue, 4 Feb 2014 11:31:33 +0100 (CET

Deze Received-header vertelt dat het mailtje is gestuurd via de server van zimbra waarop anti-spam en anti-virus software draait. De naam van die software is amavisd-new.

Received: from dub0-omc4-s31.dub0.hotmail.com (dub0-omc4-s31.dub0.hotmail.com 157.55.2.106)
by edge2.intern.zimbra-login.net (Postfix) with ESMTP id 6C3BD704DA
for maurits.reijnoudt@bof.nl; Tue, 4 Feb 2014 11:31:33 +0100 (CET)

Het mailtje is naar Zimbra gestuurd via de server van Hotmail. Het IP-adres verwijst naar Redmond, Washington.

Received: from DUB118-W5 (157.55.2.71) by dub0-omc4-s31.dub0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Tue, 4 Feb 2014 02:31:34 -0800

Dit is de eerste server waar het mailtje langs is geweest. De server staat volgens Maxmind in Redmond, Washington, Verenigde Staten. De eigenaar is Microsoft Corporation en dat is ook de internetaanbieder van de server. Het domein dat aan het IP-adres is gekoppeld is hotmail.com.

X-TMN: ECLLPBz/1E4U3gRMeS8rd+n+r4iSgiQ5

In deze code is het IP-adres van de afzender verborgen. Vroeger stond er in plaats van X-TMN, X-Originating-IP. Dan kon je precies zien van welk IP-adres het mailtje werd verstuurd. Tegenwoordig is dat geheim.

X-Originating-Email: mreijnoudt@live.nl

Hier staat opnieuw het e-mailadres van de afzender.

Message-ID: DUB118-W55E5719256D6C87503A29DDAA0@phx.gbl

Dit is de code waarmee het mailtje kan worden getraceerd. Het is een unieke code, wat betekent dat geen enkel mailtje ooit verzonden, dezelfde code heeft. Sommige e-mailproviders gebruiken daarom de datum in de code van de ‘unique identifier’.

Content-Type: multipart/alternative;
boundary=_c40270d4-c1fb-4993-ac79-f03467217994_

Content-Type vertelt uit wat voor delen de e-mail bestaat. Dit mailtje bestaat in principe alleen uit platte tekst. Toch heeft de verzendende server er een ander label aan gehangen, dat zou kunnen duiden op de aanwezigheid van een bijlage.

From: Maurits Reijnoudt

Hier staat waar het mailtje vandaan komt: mijn e-mailadres van Windows Live.

To: maurits.reijnoudt@bof.nl

Dit is het adres waarnaar ik het mailtje verstuurde. Zowel dit adres als het adres dat erboven staat in de From-header, zijn makkelijk te vervalsen.

Subject: Headers van een mailtje

Dit is de onderwerpregel van het mailtje. Zoals je het ook kunt zien in het screenshot van mijn browser.

Date: Tue, 4 Feb 2014 11:31:33 +0100

De datum en tijd waarop het mailtje is verstuurd.

Importance: Normal

Dit mailtje heeft normale prioriteit. Stel dat ik een uitroepteken aanvink voor het versturen, dan verschuift de prioriteit in de headers ook. Mijn mailclient weet dan dat-ie een uitroepteken bij het mailtje moet plaatsen.

MIME-Version: 1.0

De MIME-versie van een mailtje geeft aan in welk formaat het mailtje is geschreven. Als je bijvoorbeeld accenten gebruikt als ü, é, á, ê of ~, dan verandert het formaat van het mailtje en vertelt de MIME-versie aan de mailclient van de ontvanger hoe hij het mailtje eruit moet laten zien.

X-OriginalArrivalTime: 04 Feb 2014 10:31:34.0977 (UTC) FILETIME=4728DB10:01CF2194

Dit is de tijd waarop het mailtje is aangekomen in mijn inbox.



--_c40270d4-c1fb-4993-ac79-f03467217994_
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

De inhoud van het mailtje bestaat uit platte tekst. Daar is een aanduiding voor: iso-8859-1.

Beste lezer=2C=0A=
=0A=
Dit is de inhoud van het mailtje dat je normaal ziet in je browser of je cl=
ient (bijvoorbeeld Thunderbird of Outlook).=0A=
=0A=
Ik schrijf dit mailtje=2C zonder dat ik headers zie. De headers van het mai=
ltje kan ik zien als ik het mailtje open in Thunderbird=2C mijn client. =0A=
=0A=
Groet!=0A=
Maurits

Dit is de inhoud van het mailtje die ik zelf heb geschreven.

Zo zien headers er dus uit. Ze bieden de informatie die je nodig hebt om bijvoorbeeld te verifiëren of een dubieus mailtje wel klopt. Toch is dat erg omslachtig en kan je beter een versleutelingssoftware gebruiken om te communiceren met mensen die je vertrouwt, bijvoorbeeld PGP. Je kunt met die software zowel de inhoud van het mailtje versleutelen, alswel een handtekening toevoegen waarmee je aangeeft dat het mailtje echt van jou komt.

Morgen ga ik een stap verder. Dan analyseer ik een dubieus mailtje van een Nederlandse bank.