legitimiteit van een mail

[cinco]

Omdat er regelmatig phishing gebeurt, hebben jullie enig idee of een mail zoals deze hieronder van Fluvius ook effectief van Fluvius afkomstig is?

 

Beste

 

Om toegang te krijgen tot uw online gegevens, moet u eerst een nieuw wachtwoord kiezen. U kunt via de onderstaande knop een nieuw wachtwoord instellen.

Goed om weten: u hebt 24 uur tijd om uw registratie te bevestigen.

 

Met vriendelijke groeten

 

Fluvius
Algemeen nummer Fluvius
T 078 35 35 34
Ma-vr: 08.00-20.00, za: 09.00-13.00

[Lamme Goedzak]

Kijk naar het emailadres van de afzender en kijk ook eens naar de headers in de email.

[cinco]

28 minuten geleden, Lamme Goedzak zei:

Kijk naar het emailadres van de afzender en kijk ook eens naar de headers in de email.

 

Die headers kunnen makkelijk gecopy-paste worden.

Het is vooral het 'klik op onderstaande knop om een nieuw wachtwoord in te stellen, u heeft 24 u de tijd'-gedeelte dat ik wat vreemd vind.

Daarom wou ik even horen of hier nog mensen zijn die de afgelopen maanden een dergelijke mail van Fluvius gehad hebben.

[Lamme Goedzak]

Een header kopieer je niet. In de header zit het volledige traject die de email heeft afgelegd: IPs, servers, spam info, spf en dmarc. Aan de hand daarvan kan je zien of iets legit is of niet. Al de rest is giswerk. Advies is trouwens altijd: bij twijfel, deleten!

 

Als je niet net een account hebt aangemaakt, moet je zelfs niet twijfelen.

[Peter Motte]

Ik reageer nooit op zulke mails. Dergelijke bedrijven sturen gewoon zulke mails niet rond.

Mogelijkheden om te controleren genoeg:

Rechtsklik op de links in de mail,

kies "kopiëren van de link" of een gelijksoortige functie MAAR GA NIET NAAR DE LINK

Plak de link in Kladblok.

Kijk naar de domeinnaam.

Dat is dus alles direct acher http:// of https://, het hoogste niveau dus

 

Bijvoorbeeld

https:// www.getekendereep.com/topic/8039-legitimiteit-van-een-mail/

 

de domeinnaam is

https:// www.getekendereep.com

 

Daaraan kun je zien of het echt wel van de beweerde afzender komt.

Bezoek desnoods een website van de beweerde afzender om de domeinnaam te controleren.

Sommige beweerde afzenders hebben meerdere domeinnamen, maar je zult er waarschijnlijk wel enkele hebben die voor jou van belang zijn in de documenten die je van de beweerde afzender hebt.

Telefoneer desnoods naar de beweerde afzender. Ik heb dat ooit eens gedaan voor Skynet.

Zij weten dan ook direct dat er iemand is die mails in hun naam rondstuurt, en kunnen ervoor waarschuwen.

[cinco]

16 minuten geleden, Lamme Goedzak zei:

Een header kopieer je niet. In de header zit het volledige traject die de email heeft afgelegd: IPs, servers, spam info, spf en dmarc.

 

 

Ah ok, ik verwarde het met logo's, adres en dergelijke.

[cinco]

1 minuut geleden, Peter Motte zei:

Telefoneer desnoods naar de beweerde afzender.

 

Laat Fluvius mensen meestal niet 20 minuten on hold staan voor je contact met iemand hebt? 

 

[Peter Motte]

Dit is een voorbeeld van een header

 

Return-Path: <bounce+19217+104257+1118082+2564599@groups.io>
Received: from mailgate207.isp.belgacom.be ([195.238.22.39])
          by mailfep026.skynet.be
          (InterMail vM.8.04.03.28.4 201-2389-100-182-103-20180124)
          with ESMTP
          id
Received-SPF: None (mx201.skynet.be: no sender authenticity
  information available from domain of
  TheOriginalVertalers@groups.io) ifrom="
  client-ip=66.175.222.12; receiver=mx201.skynet.be;
  envelope-from="bounce+19217+104257+1118082+2564599@groups.io";
  x-sender="bounce+19217+104257+1118082+2564599@groups.io";
  x-conformance=sidf_compatible; x-record-type="v=spf1";
  x-record-text="v=spf1 ip4:66.175.222.12 ip4:66.175.222.108
  include:mail.zendesk.com include:smtp.zendesk.com ~all"
X-Proximus-Rcpto: peter.motte@skynet.be
Received: from web01.groups.io ([66.175.222.12])
  by mx201.skynet.be with ESMTP/TLS/ECDHE-RSA-AES256-X-Received: by 127.0.0.2 with SMTP id X-Received: from cpsmtpb-ews03.kpnxchange.com (cpsmtpb-
 by mx.groups.io with SMTP id  for <TheOriginalVertalers@groups.io>;
 Sun, 08 Aug 2021 06:11:22 -0700
X-Received: from cpsps-ews06.kpnxchange.com
Precedence: Bulk
List-Unsubscribe: <mailto:TheOriginalVertalers+unsubscribe@groups.io>
List-Subscribe: <mailto:TheOriginalVertalers+subscribe@groups.io>
List-Help: <mailto:TheOriginalVertalers+help@groups.io>
Sender: TheOriginalVertalers@groups.io
List-Id: <TheOriginalVertalers.groups.io>
Mailing-List: list TheOriginalVertalers@groups.io; contact TheOriginalVertalers+owner@groups.io
Delivered-To: mailing list TheOriginalVertalers@groups.io
Reply-To: TheOriginalVertalers@groups.io
X-Gm-Message-State:

 

 

Dat is dus onleesbaar, maar er zitten wel enkele dingen tussen waaraan je iets hebt.

 

Zoals helemaal bovenaan: Return-Path:

en

Received: from

Daarachter moet een mail-adres staan van het bedrijf.

[Peter Motte]

5 minutes ago, cinco said:

 

Laat Fluvius mensen meestal niet 20 minuten on hold staan voor je contact met iemand hebt? 

 

 

Mogelijk, maar als je denkt dat het echt belangrijk is dat je op die mail reageert, en toch vreest dat er een probleem kan zijn, dan is het die 20 minuten wel waard.

[Red Arrow]

"U heeft 24 u de tijd" => onzin

 

Het is typisch voor phishing mails dat ze zeggen dat je maar beperkte tijd hebt.

 

Als je een account hebt op de website van Fluvius, ga dan naar de website van Fluvius en log je in. Als je dan een melding krijgt om je wachtwoord te wijzigen, doe dat dan. Klik nooit op links in mails. Dat is gewoon niet nodig.

[cinco]

Hoe selecteer je de header? Met paginabron bekijken? Met inspecteren?

[Yncke]

Welk programma gebruik je om je mails te lezen? Of is het via web?

[cinco]

5 minuten geleden, Red Arrow zei:

"U heeft 24 u de tijd" => onzin

 

Het is typisch voor phishing mails dat ze zeggen dat je maar beperkte tijd hebt.

 

Als je een account hebt op de website van Fluvius, ga dan naar de website van Fluvius en log je in. Als je dan een melding krijgt om je wachtwoord te wijzigen, doe dat dan. Klik nooit op links in mails. Dat is gewoon niet nodig.

 

Ja, het is dat vooral wat ik verdacht vond.

 

 

 

[cinco]

Zojuist, Yncke zei:

Welk programma gebruik je om je mails te lezen? Of is het via web?

 

Via een hotmail-account.

[Peter Motte]

Dat was in Outlook Express erg gemakkelijk, maar in MS Outlook is het een ramp.

Goed, in MS Outlook:

Open het e-mail-bericht

Klik op Bestand linksboven

Klik op Eigenschappen onderaan

In het venster Eigenschappen: helemaal onderaan staat Internetheaders.

En daarnaast is er een venster met al die codes in.

 

Eigenlijk staat daar veel meer dan de header.

De header is eigenlijk alleen maar de informatie i.v.m. het bericht, dus afzender, ontvanger, gevolgde weg langs de verschillende e-mail-servers, datum en tijd van verzenden, doorsturen en ontvangen, eventuele andere ontvangers, onderwerp, etc... De metadata dus.

Het bericht zélf zou er niet mogen in staan, en ik heb de indruk dat het ook zo is, maar er staan ook nog massa's gegevens in waarvan ik niet weet waarvoor ze dienen (ARC-Seal:, ARC-Message-Signature: ? -> volgens mij i.v.m. de beveiliging; etc.)

 

Om die gegevens gemakkelijker te lezen:

zet je cursor in het venster waarin de headers staan,

Selecteer alles met Ctrl-A

Ctrl-C om alles te kopiëren

Open Kladblok

Ctrl-V om alles in Kladblok te plakken.

 

De regeleinden komen relatief goed over, zodat het bericht veel beter geordend is dan wat ik je hierboven toonde.

 

Mits enige kennis van het Engels en wat geduld, zul je er je weg wel in vinden.

[Yncke]

2 minutes ago, cinco said:

 

Via een hotmail-account.

Klikken op de "..." rechtsboven een e-mail, en dan "View" > "View message source".

[cinco]

2 minuten geleden, Yncke zei:

Klikken op de "..." rechtsboven een e-mail, en dan "View" > "View message source".

 

 

Received: from HE1EUR04HT079.eop-eur04.prod.protection.outlook.com (2603:10a6:20b:21b::9) by AM4PR1001MB1345.EURPRD10.PROD.OUTLOOK.COM with HTTPS via AM8P251CA0004.EURP251.PROD.OUTLOOK.COM; Tue, 17 Aug 2021 08:24:49 +0000 Received: from HE1EUR04FT057.eop-eur04.prod.protection.outlook.com (2a01:111:e400:7e0d::41) by HE1EUR04HT079.eop-eur04.prod.protection.outlook.com (2a01:111:e400:7e0d::193) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.4415.16; Tue, 17 Aug 2021 08:24:49 +0000 Authentication-Results: spf=temperror (sender IP is 194.78.174.4) smtp.mailfrom=fluvius.be; hotmail.com; dkim=none (message not signed) header.d=none;hotmail.com; dmarc=temperror action=none header.from=fluvius.be; Received-SPF: TempError (protection.outlook.com: error in processing during lookup of fluvius.be: DNS Timeout) Received: from SVEAD-EXC-P003.ndisext.be (194.78.174.4) by HE1EUR04FT057.mail.protection.outlook.com (10.152.27.46) with Microsoft SMTP Server id 15.20.4415.16 via Frontend Transport; Tue, 17 Aug 2021 08:24:48 +0000 X-IncomingTopHeaderMarker:

[Peter Motte]

Ik zou toch maar eens de links controleren waarop je zou moeten klikken.

Ik bedoel dus niet: erop klikken om er naartoe te gaan, maar ze in kladblok plakken om te kijken waar ze heen leiden.

Er zit hier inderdaad een fluvius.be in, maar ik denk dat ze dat kunnen simuleren.

Tenslotte zijn het de links waarop ze je willen laten klikken die van belang zijn.

En zoals @Red Arrow zegt, die druk om binnen 24u te reageren is erg verdacht.

[Yncke]

1 minute ago, cinco said:

 

 

Received: from HE1EUR04HT079.eop-eur04.prod.protection.outlook.com (2603:10a6:20b:21b::9) by AM4PR1001MB1345.EURPRD10.PROD.OUTLOOK.COM with HTTPS via AM8P251CA0004.EURP251.PROD.OUTLOOK.COM; Tue, 17 Aug 2021 08:24:49 +0000 Received: from HE1EUR04FT057.eop-eur04.prod.protection.outlook.com (2a01:111:e400:7e0d::41) by HE1EUR04HT079.eop-eur04.prod.protection.outlook.com (2a01:111:e400:7e0d::193) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.4415.16; Tue, 17 Aug 2021 08:24:49 +0000 Authentication-Results: spf=temperror (sender IP is 194.78.174.4) smtp.mailfrom=fluvius.be; hotmail.com; dkim=none (message not signed) header.d=none;hotmail.com; dmarc=temperror action=none header.from=fluvius.be; Received-SPF: TempError (protection.outlook.com: error in processing during lookup of fluvius.be: DNS Timeout) Received: from SVEAD-EXC-P003.ndisext.be (194.78.174.4) by HE1EUR04FT057.mail.protection.outlook.com (10.152.27.46) with Microsoft SMTP Server id 15.20.4415.16 via Frontend Transport; Tue, 17 Aug 2021 08:24:48 +0000 X-IncomingTopHeaderMarker:

 

Daar zitten toch wel wat verdachte dingetjes in.

 

Als je heel zeker wilt dubbelchecken, zou ik voorstellen dat je rechtstreeks fluvius.be in je adres balk te typen, en via daar in te loggen.

Zeker de links uit de mail niet gebruiken.

[Peter Motte]

Ja, dat zeker.

 

Bedoel je dit met "verdacht"

protection.outlook.com: error in processing during lookup of fluvius.be: DNS Timeout

[cinco]

6 minuten geleden, Peter Motte zei:

Ik zou toch maar eens de links controleren waarop je zou moeten klikken.

Ik bedoel dus niet: erop klikken om er naartoe te gaan, maar ze in kladblok plakken om te kijken waar ze heen leiden.

 

 

Het is zo een drukknop-link. Ik weet niet of dat geval kopieerbaar is.

 

3 minuten geleden, Peter Motte zei:

Ja, dat zeker.

 

Bedoel je dit met "verdacht"

protection.outlook.com: error in processing during lookup of fluvius.be: DNS Timeout

 

Hij zat in mijn spamfolder. Misschien is dat de melding waardoor het naar de spam wordt afgeleid.

Al komen daar natuurlijk ook regelmatig mails in terecht waar niks mis mee is.

[cinco]

Anyway, bedankt aan iedereen voor de adviezen. @Lamme Goedzak, @Peter Motte @Red Arrow @Yncke

 

[Yncke]

7 minutes ago, Peter Motte said:

Ja, dat zeker.

 

Bedoel je dit met "verdacht"

protection.outlook.com: error in processing during lookup of fluvius.be: DNS Timeout

De dingen die ik in 't vet zette.

 

Op zich is 't mogelijk dat fluvius.be op 't moment van 't valideren van de mail even off line was. (Twijfelachtig, maar bon.) Maar dat ie tout court niet gesigned is, zou lomp zijn van Fluvius. (Maar ook weer niet onmogelijk.) Vandaar: verdacht, maar voor mij niet sluitend.

[Lamme Goedzak]

Idd zoals Peter zegt eens met de muis over de link zweven om het adres te zien dat erachter zit. Of je gaat naar de site van fluvius, logt in en verandert je wachtwoord. Puur op de header af is er niks verdacht. Afzender is een proximus ip uit regio bxl.

[Lamme Goedzak]

2 minutes ago, Yncke said:

Op zich is 't mogelijk dat fluvius.be op 't moment van 't valideren van de mail even off line was.

Of die dns server of MS. Hun cloud ligt regelmatig overhoop. Wij worden daar dagelijks mee geconfronteerd

 

3 minutes ago, Yncke said:

Maar dat ie tout court niet gesigned is, zou lomp zijn van Fluvius.

Je zou ervan verschieten hoeveel bedrijven dat nog niet geconfigureerd hebben.

 

Maar zoals je zegt niets echt verdacht maar ook niet sluitend. Persoonlijk zou ik hem deleten en manueel wachtwoord wijzigen.

[Yncke]

Just now, Lamme Goedzak said:

Je zou ervan verschieten hoeveel bedrijven dat nog niet geconfigureerd hebben.

Ik blijf hopen dat mijn pessimisme ongegrond is.

[Lamme Goedzak]

31 minutes ago, Yncke said:

Ik blijf hopen dat mijn pessimisme ongegrond is.

Ach in het slechtste geval kunnen ze verkeerde verbruiken ingeven

[Hamirubi]

Zelfs Jim Browning - bekend scammerhunter - werd onlangs het slachtoffer van een scammer.

 

 

[Hamirubi]

Zoals je in bovenstaande video ziet, heeft zelfs google.com nog enkele lekken die kunnen worden misbruikt.
Dat zal bij Fluvius niet anders zijn. Wees maar achterdochtig!

 

[Red Arrow]

15 uren geleden, cinco zei:

Het is zo een drukknop-link. Ik weet niet of dat geval kopieerbaar is.

Een link kopiëren en zo naar de website gaan is tegenwoordig bijna even erg als op de knop klikken. Sommige scanners gebruiken tegenwoordig links die er legitiem uitzien.

 

Ik bedoel zelf naar fluvius.be gaan en je inloggen.

[Peter Motte]

Het is niet de bedoeling om de link te kopiëren en er dan naartoe te gaan, maar om hem te kopiëren naar bijv. Kladblok  om te zien waar de link naartoe wilt.

[Yncke]

 

1 hour ago, Hamirubi said:

Zoals je in bovenstaande video ziet, heeft zelfs google.com nog enkele lekken die kunnen worden misbruikt.
Dat zal bij Fluvius niet anders zijn. Wees maar achterdochtig!

 

E-mail is dan ook zo antiek als wat, en alles wat er bijgegooid wordt als beveiliging, is maar lap-en-tap-werk. Alsof je je stadsmuur alsmaar hoger maakt ook al hebben ze ondertussen helikopters uitgevonden...

[Peter Motte]

34 minutes ago, Yncke said:

 

E-mail is dan ook zo antiek als wat, en alles wat er bijgegooid wordt als beveiliging, is maar lap-en-tap-werk.

 

Volgens mij geldt dat voor het hele pc-systeem.

PC = personal computer, die term werd bedacht toen computers logge dingen waren die in afgesloten ruimten stonden waar gewone stervelingen niet bij mochten.

Er werd op gewerkte via terminals: toetsenborden, schermen, printers en andere apparaten die alleen maar dienden voor in- en uitvoer van gegevens, maar die zelf geen enkele bewerking uitvoerden.

De pc daarentegen was een volledige computer die op een bureau pastte en die niet verbonden was met andere pc's.

Die netwerken kwamen dus pas achteraf, en ik vermoed dat pc's dat nog altijd meesleuren.

TPM, waar zo veel om te doen is wegens W11, is een poging om dat aan te pakken, maar ondertussen zijn er zo veel pc's en software geïnstalleerd zonder tpm, dat het een probleem is om die machines te upgraden naar W11.

Dus het zal waarschijnlijk nog een hele tijd duren voor alle pc's zelfs tpm draaien.