Is deze mail wel van mijn bank?
Via de computerlijst van Women on the Web kwam de volgende vraag binnen:
Ik ontvang een mail van mijn bank, de ING. De ING vraagt mij in de mail of ik wil inloggen op de website om mijn gegevens te controleren. Nu lees en hoor ik veel over nepmails van banken. Hoe kom ik er achter of deze mail van mijn bank is?
Dit soort nep-mails van banken zijn de afgelopen jaren een steeds groter probleem geworden. Je kunt er vanuit gaan dat al deze mails onbetrouwbaar zijn. Twijfel je toch, dan vind je in dit artikel tips om op onderzoek uit te gaan.
Op onderzoek: het lezen van de link
In de mails wordt altijd een link vermeld. Deze link leidt naar een website die er precies zo uit ziet als de website van jouw bank. Kosten, nog moeite worden bespaard om de website van jouw bank zo precies mogelijk na te maken.
Vaak zit de link verstopt onder een aanklikbaar woord. Door met je muis over het aanklikbare woord te bewegen, krijg je in de meeste mailprogramma's de link in beeld.
Een voorbeeld van een onbetrouwbare link is:
http://mijning-secureservice.110mb.com/Index.htm/
Op de website van de ING is te lezen dat het adres van de ing altijd moet zijn:
https://mijn.ing.nl/internetbankieren/SesamLoginServlet
Je kunt zelf heel eenvoudig controleren of een link betrouwbaar is. Daarvoor moet je de 'techniek' achter domeinnamen begrijpen, maar die is gelukkig helemaal niet zo moeilijk.
Het begint met het uitkleden van het adres. Alles na "/" is om binnen een website verder doorgeleid te worden. Dat betekent dus dat de hoofdingang (de voordeur) is:
https://mijn.ing.nl
Deze voordeur kun je goed bekijken.
De voordeur begint met https. Die s staat voor secure. Er zit dus een slotje op de deur.
Daarna is het stukje:
mijn.ing.nl
interessant.
Dit bekijk je van achteren naar voren.
Aan het einde staat NL, dit is de landcode (Nederland in dit geval). Landcodes bevatten eigenlijk nooit puntjes, de enige uitzondering is de landcode voor het Verenigd Koninkrijk, dat is .co.uk. Ga er dus maar van uit dat het stukje van rechts naar links bekeken tot aan het eerste puntje de landcode is. (dus bij www.google.com is com de landcode).
Die landcodes worden beheerd door stichtingen. In Nederland is dat de SIDN (Stichting Internet Domeinregistratie Nederland). Als bedrijf kun je bij zo'n stichting een domeinnaam kopen binnen de landcode.
Wat je koopt is domeinnaam.nl waarbij domeinnaam kan worden vervangen door vrijwel iedere willekeurige lettercombinatie. ING heeft dus ing.nl gekocht. Women on the Web heeft womenontheweb.nl.
Kijk je weer naar het adres:
mijn.ing.nl
dan zie je dus dat ing.nl is gekocht. Weer van rechts naar links: wat je kunt kopen is de lettercombinatie tussen het eerste en tweede puntje.
Dan zie je tenslotte in de naam:
mijn.ing.nl
het woordje 'mijn'.
Met je gekochte domeinnaam kun je zelf een website maken. Een website bestaat normaalgesproken uit meer dan 1 pagina, dus aan alleen 'ing.nl' heb je niet genoeg. Je kunt nu op die server zowel achter ing.nl als voor ing.nl instellen wat je waar wilt.
De meeste websites plaatsen voor de domeinnaam de drie letters www. Je krijgt dan www.ing.nl. WWW staat dan voor world wide web. Vroeger (oma vertelt), gaf je met die letters aan welk 'protocol' werd aangeroepen. Dus WWW voor World Wide Web (websites), FTP voor FTP etc. Op het internet bestonden weinig regels, dus het hoefde niet zo, maar iedereen deed het zo.
Op gegeven moment kwamen er steeds meer sites die bestonden uit meerdere subsites (vergelijk het met een grote shopping mall waar verschillende winkeltjes in zitten). Het meest bekende voorbeeld is wel startpagina met alle dochters daar onder. Omdat de letters voor de domeinnaam vrij instelbaar waren per website, kreeg je toen naast www.startpagina.nl ook vrouwen.startpagina.nl vakantie.startpagina.nl etc. Nu is het zelfs zo dat je tussen http:// en de domeinnaam helemaal los mag gaan, dus ook nog extra puntjes mag zetten. Het adres http://www.vakantie.startpagina.nl mag dus ook. Dat is helemaal instelbaar door de eigenaar van de domeinnaam zelf.
Weer terug naar het adres:
https://mijn.ing.nl/internetbankieren/SesamLoginServlet
het stukje https geeft dus aan dat er een slot op de voordeur zit.
het deel '/internetbankieren/SesamLoginServlet' is een verwijziging naar een specifiek mapje op de webserver van de ING, dit is dus door de webbouwers van de ING bedacht. Datzelfde geldt voor 'mijn'. Het enige wat dus via een contract is vastgelegd is 'ing.nl'. Dat stukje is gekocht bij SIDN.
Via sidn.nl kun je achterhalen wie de eigenaar daar van is. Dat is ING Bank NV.
Dan het adres uit de verdachte mail:
http://mijning-secureservice.110mb.com/Index.htm/
Ook dit kun je op dezelfde manier 'uitpluizen'.
Het begint met http. Zonder s dus zonder slot op de voordeur.
Dan weer van achteren naar voren:
/Index.htm/ is iets wat de webbouwer zelf heeft bedacht. Dat kan dus zowel door een bouwer zijn bedacht met goede wil, als door eentje met kwade wil.
Dan zie je tot aan het eerste puntje 'com' staan. com is de landcode. In dit geval staat het voor commercieel (in Amerika zijn landcodes voor commercieel, organisaties (net), overheid (gov) etc.).
Dat is al een beetje verdacht. ing.com bestaat ook wel (is van de ING) maar richt zich niet op de Nederlandse markt, maar de internationale markt.
Dan tussen de volgende puntjes:
'110mb'. Dit is de domeinnaam.
Het bedrijf dat achter de site zit, heeft dus bij de stichting die de landcode 'com' beheert de domeinnaam:
110mb.com
gekocht.
Dat kan eigenlijk niet de ING zijn, waarom zou de ING deze naam kopen en gebruiken voor het internetbankieren?
Je kunt via www.whois.com achterhalen wie de eigenaar is van een com naam. In dit geval is het bedrijf 110mb.com een bedrijf dat aan surfers aanbiedt om gratis een eigen website te maken. Net zoals Geocities vroeger en Lycos etc. Daarmee kan iedereen (gek of geen gek) achter de website zitten. Onder 110mb.com hangen dus een heleboel subdomeinen (net zoals de dochters van startpagina).
Dan het volgende stukje:
mijning-secureservice
Dit is de naam van de 'dochter'. Ook dit is weer iets dat dus door de webbouwer zelf bedacht is. In dit geval heeft de eigenaar van de site kwade bedoelingen en heeft hiervoor een naam bedacht waarmee surfers om de tuin worden geleid en denken dat het misschien wel de ING bank is die er achter zit.
Kortom:
bekijk altijd heel goed een domeinnaam en weet wat de naam betekent en waar het echt een officiƫle bedrijfsaanduiding is en waar het dus helemaal vrij instelbaar is voor de beheerder van de website die zowel kwade als goede bedoelingen kan hebben.
Dan nog het e-mailbericht zelf:
Het afzenderadres van een e-mail kan gespoofed worden. Dat betekent dat ik een mail kan sturen met als afzenderadres info@ing.nl. Wanneer je goed gaat kijken in de zogenaamde 'headers' van de e-mail, kun je vervolgens wel zien dat ik de mail gestuurd heb, ipv de ING, maar daarvoor moet je verder zoeken.
In HTML e-mails kun je ook helemaal zelf bepalen hoe een link eruit ziet.
Je kent dit wel van websites. Op een website kun je de tekst 'lees verder' zetten en daar een linkje van maken. De bezoeker ziet dan het woord 'lees verder' ipv de link (het adres van de website) waar naar wordt door geklikt. In plaats van 'lees verder' kun je iedere lettercombinatie opgeven, dus ook een link. Ik kan dus een tekstje maken in een HTML mail 'http://www.google.com' en daar de link 'http://www.womenontheweb.nl' achterhangen. De ontvanger van de mail denkt dan dat hij na klikken op de letters www.google.com naar google gaat, maar na de klik komt hij op de site van Women on the Web.
Dit doen kwaadwillende mensen ook. In de e-mail zetten ze het nette adres van de ING site, maar als je daarop klikt wordt je naar een andere website doorgestuurd.
Vrijwel alle e-mailprogramma's helpen je een handje om zo'n link te beoordelen. Wanneer je met je muis over een link gaat (en er nog niet op klikt) krijg je helemaal links onder in beeld de link te zien waar je naartoe zult surfen. Die link kun je beoordelen op basis van de tips hier boven.