Katsjing! Mail van ING?

[Consumenneke]

Vanuit de email wordt je in drie klikken wel degelijk naar de ING login pagina geleidt, geheel in tegenspraak tot hun eigen anti phishing beleid. Hieruit kunnen we concluderen dat reclame emails van ING wel degelijk leiden tot een login pagina.

Dat is inderdaad ontzettend stom. Dit zegt ING zelf.

Log nooit in via een link.

Wij sturen je nooit een link om direct in te loggen in Mijn ING. Berichten die je ontvangt in de ING-app of via Mijn ING zijn betrouwbaar, want je ontvangt ze in je beveiligde omgeving. Staat er een belangrijk bericht klaar in de Mobiel Bankieren App of Mijn ING? Dan ontvang je soms een e-mail, pushbericht of sms om je erop te wijzen dat je het bericht in je beveiligde omgeving kan lezen. In deze berichten staat nooit een link naar de login pagina van Mijn ING of de app.

[xflorisx]

Om de vraag te beantwoorden hoef je alleen maar naar het echte afzender adres te kijken. Hier staat ing.com na de @. Je mag er van uitgaan dat ING wel het .com adres wel geregistreerd heeft.

En toch kan ik gewoon een mail naar mensen sturen, waarbij het aan hun kant lijkt alsof het gestuurd is vanaf dat emailadres. Spoofen noemen ze dat. Gebeurt ook met telefoonnummers.

Dan heb je een verkeerde mailreader. Ik zie met Thunderbird tussen haakjes direct het echte afzenderadres. Het gespoofde kan er dan voor staan, maar daar kijk ik niet naar.

[xflorisx]

Ik zie als enigszins argwanend iemand bij mailtjes van "banken" een mooi nagemaakte mail, met een knop waarop je kan drukken.......
Waar die knop mij naar toe brengt is dan nog compleet onduidelijk.

Ook dat is te zien. Gewoon met de cursor op de link gaan staan en je ziet waar je heen gaat als je er op zou klikken. Dan wordt het in twijfelgevallen helemaal duidelijk.

Steeds vaker wordt sendgrid of een vergelijkbare dienst gebruik bij email campagnes. Dan ziet u alleen een url zoals https://u1323344.ct.sendgrid.net/ls/cli ... berskubflh

Let wel bovenstaand is een aangepaste link uit een bonafide reclame e-mailtje dat ik ontving van een bonafide bedrijf waar ik klant ben. Als ik over de link ga, zie ik dus een link naar sendgrid en niet naar de site erachter.

Het is heel vaak dus helemaal niet duidelijk waar de link uiteindelijk zal landen.

Dergelijke links zijn voor 99 % van niet bonafide bedrijven of banken. Ik kom ze geheel niet tegen bij mijn nieuwsbrieven etc. Je moet wel heel naïef zijn om daar op te gaan klikken bij onbekende mails. Maar hele volksstammen doen het toch.-

[Nijogeth]

Om de vraag te beantwoorden hoef je alleen maar naar het echte afzender adres te kijken. Hier staat ing.com na de @. Je mag er van uitgaan dat ING wel het .com adres wel geregistreerd heeft.

En toch kan ik gewoon een mail naar mensen sturen, waarbij het aan hun kant lijkt alsof het gestuurd is vanaf dat emailadres. Spoofen noemen ze dat. Gebeurt ook met telefoonnummers.

Dan heb je een verkeerde mailreader. Ik zie met Thunderbird tussen haakjes direct het echte afzenderadres. Het gespoofde kan er dan voor staan, maar daar kijk ik niet naar.

Nee, ook dan. Spoofing is namelijk dat dat adres tussen haakjes gespoofed wordt. Niet de naam ervoor. Je kan zelfs met Thunderbird spoofen.

[BL2]

.....Vanuit de email wordt je in drie klikken wel degelijk naar de ING login pagina geleidt, geheel in tegenspraak tot hun eigen anti phishing beleid. Hieruit kunnen we concluderen dat reclame emails van ING wel degelijk leiden tot een login pagina......

Precies !
De kern van het probleem bij dit soort ING mails. Zelf beweren ze nooit te leiden naar een login pagina, maar het is dus wel zo.
Als argwanend klant begin je dan nog meer te denken dat het scam is, eigenlijk weet je het dan wel zeker....!
Want je gaat er toch wel van uit, dat een integer bedrijf waar al je centjes zijn, juiste informatie verstrekt bij een mogelijk zo een riskante zaak met zeer grote financiële gevolgen voor de klant

[Moneyman]

.....Vanuit de email wordt je in drie klikken wel degelijk naar de ING login pagina geleidt, geheel in tegenspraak tot hun eigen anti phishing beleid. Hieruit kunnen we concluderen dat reclame emails van ING wel degelijk leiden tot een login pagina......

Precies !
De kern van het probleem bij dit soort ING mails. Zelf beweren ze nooit te leiden naar een login pagina, maar het is dus wel zo.

Wat een open deur Een link naar de website van willekeurig welke financieel dienstverlener leidt indirect natuurlijk ook naar de inlogpagina - de link daarnaar staat immers altijd op de website.

Wat ze communiceren is uiteraard dat er geen mails met direct log-in-links worden verstuurd, wat bij scam-mails vaak juist wél het geval is.

Als argwanend klant begin je dan nog meer te denken dat het scam is, eigenlijk weet je het dan wel zeker....!
Want je gaat er toch wel van uit, dat een integer bedrijf waar al je centjes zijn, juiste informatie verstrekt bij een mogelijk zo een riskante zaak met zeer grote financiële gevolgen voor de klant

manmanman... met zulke grote woorden verandert álles in een storm in een glas water.

[Consumenneke]

Een link naar de website van willekeurig welke financieel dienstverlener leidt indirect natuurlijk ook naar de inlogpagina - de link daarnaar staat immers altijd op de website.

Je bedoelt: de link in de mail leidt naar een landingspagina en vanaf die landingspagina wordt je direct of indirect doorgeleid naar de inlogpagina.

Dan ga je ervan uit dat je op de echte authentieke bonafide website bent, en niet op een nagemaakte pagina.

[BL2]

Ook opvallend, wat zo Outlook triggeren dat deze mails ineens in de spammap terecht komen sinds enige weken.
Is het soms een nieuw "ING" mailadres ?

[xflorisx]

En toch kan ik gewoon een mail naar mensen sturen, waarbij het aan hun kant lijkt alsof het gestuurd is vanaf dat emailadres. Spoofen noemen ze dat. Gebeurt ook met telefoonnummers.

Dan heb je een verkeerde mailreader. Ik zie met Thunderbird tussen haakjes direct het echte afzenderadres. Het gespoofde kan er dan voor staan, maar daar kijk ik niet naar.

Nee, ook dan. Spoofing is namelijk dat dat adres tussen haakjes gespoofed wordt. Niet de naam ervoor. Je kan zelfs met Thunderbird spoofen.

Ik weet niet of je wel of niet gelijk hebt, maar in het geval van jouw gelijk heb ik dat nog niet gezien. Ik zal het in de gaten houden. Het is voor mij de kwik scan om spam van echte berichten te scheiden. Er zijn trouwens nog meer rode vlaggen. Zoals een waarschuwing van Thunderbird.

[Moneyman]

Een link naar de website van willekeurig welke financieel dienstverlener leidt indirect natuurlijk ook naar de inlogpagina - de link daarnaar staat immers altijd op de website.

Je bedoelt: de link in de mail leidt naar een landingspagina en vanaf die landingspagina wordt je direct of indirect doorgeleid naar de inlogpagina.

Dan ga je ervan uit dat je op de echte authentieke bonafide website bent, en niet op een nagemaakte pagina.

Daar hoef je helemaal niet "vanuit te gaan", dat kan je -als je zo wantrouwig bent dat je deze mail niet als echt inschat- gewoon in één oogopslag zien.

Ook opvallend, wat zo Outlook triggeren dat deze mails ineens in de spammap terecht komen sinds enige weken.
Is het soms een nieuw "ING" mailadres ?

Nee. Het is gewoon het adres wat ze al sinds jaar en dag gebruiken. En het komt bij mij overigens ook niet in de spambox.

[Consumenneke]

Dan ga je ervan uit dat je op de echte authentieke bonafide website bent, en niet op een nagemaakte pagina.

Daar hoef je helemaal niet "vanuit te gaan", dat kan je -als je zo wantrouwig bent dat je deze mail niet als echt inschat- gewoon in één oogopslag zien.

Fijn dat u zo deskundig bent. De meeste consumenten zijn dat niet. Vandaar dat het advies is.

Niet klikken: open website of app. Klik niet op de linkjes in berichten.

Typ zelf het bekende webadres in de browser (of gebruik je favorieten) of ga naar de app en log daar in bij de beveiligde omgeving voor berichten, bankzaken of facturen.

ING kan daarom beter een mail sturen met de boodschap dat er een bijzondere aanbieding klaar staat in de mailbox van je persoonlijke bankpagina's. Dus geen link opnemen in een spam-achtige mail zoals hier genoemd.

[Moneyman]

Dan ga je ervan uit dat je op de echte authentieke bonafide website bent, en niet op een nagemaakte pagina.

Daar hoef je helemaal niet "vanuit te gaan", dat kan je -als je zo wantrouwig bent dat je deze mail niet als echt inschat- gewoon in één oogopslag zien.

Fijn dat u zo deskundig bent.

Beter lezen. Ik heb het niet over mijzelf...

[alfatrion]

Is dit echt of nep ?

Nep. Veel te schreeuwerig.

Om de vraag te beantwoorden hoef je alleen maar naar het echte afzender adres te kijken.

Gevaarlijk advies. Ik kan het van veld gewoon invullen met welk adres ik ook wil. Wil je een mail van Martin Luther King of Michael Jackson krijgen? Ik kan het regelen, zo gepiept. Je kan wel naar de links in een bericht lijken. De links naar de echte website van ING blijven naar de echte website van ING verwijzen, ook al is het spam.

De tekst in de mail is ook gewoon duidelijk en typisch ING:

Beste meneer Moneyman,

Als bank kunnen ze hier vast de humor van inzien.

Zelf heb ik te vaak fouten gemaakt om niet argwanend te zijn.

Ik kreeg een keer een aanmaning zogenaam van de Belastingdienst. Ik wist dat het phishing was, maar ik was wel bijna vergeten aangifte te doen binnen de termijn. Waar spam soms toch goed voor is.

[xflorisx]

Is dit echt of nep ?

Nep. Veel te schreeuwerig.

Om de vraag te beantwoorden hoef je alleen maar naar het echte afzender adres te kijken.

Gevaarlijk advies. Ik kan het van veld gewoon invullen met welk adres ik ook wil. Wil je een mail van Martin Luther King of Michael Jackson krijgen? Ik kan het regelen, zo gepiept. Je kan wel naar de links in een bericht lijken. De links naar de echte website van ING blijven naar de echte website van ING verwijzen, ook al is het spam.

Nee, hoor. Het echte mailadres is niet te spoofen. Dat staat in de header van de mail. Moet je even in de grote gegevensbrij kijken. Volgens mij laat Thunderbird dit gewoon direct zien.

Maar dit is nogal een theoretische discussie. De leek ziet dat helemaal niet en klikt overal op. Ik krijg maar eens per jaar een mail waarover ik ga twijfelen.

[alfatrion]

De header is te spoofen en dat wordt ook gedaan. Het gaat immers gewoon om een tekst bestand dat aan een SMPT server wordt aangeboden. De spammer verlies de controle over de inhoud van het E-mail bericht op het moment dat het bericht wordt aangeboden aan een SMPT server waar de spammer geen directe of indirecte controle over heeft.

In de header staat onder meer de van, aan, cc, bcc, onderwerp en datum velden. Die zijn vrij aanpasbaar. Daarnaast voegt iedere SMPT server een received regel toe. De laatste is echt, want die is van jouw provider. En alles wat daarvoor zit kan nep zijn. Spamcop maakt hier een analyse van om uit te vogelen wat de echte oorsprong is.

[BL2]

Jammer dat ING zelf niet even inhaalt in deze discussie waarbij toch wel blijkt dat TS niet als enige argwaan ontwikkeld bij dit soort mails van banken, waarbij de klant twijfeld of dit wel echt is.
Schijnbaar gaat de commerciële kant van ING ook hier boven het vertrouwen van de klant in de veiligheid van de bank.

[Lowieze]

Jammer dat ING zelf niet even inhaalt in deze discussie waarbij toch wel blijkt dat TS niet als enige argwaan ontwikkeld bij dit soort mails van banken, waarbij de klant twijfeld of dit wel echt is.
Schijnbaar gaat de commerciële kant van ING ook hier boven het vertrouwen van de klant in de veiligheid van de bank.

Vreemde conclusie, alleen omdat ING hier niet reageert. Als ik u was, zou ik bij ING zelf een klacht indienen ipv hier te klagen.

[Dirkie]

Jammer dat ING zelf niet even inhaalt in deze discussie waarbij toch wel blijkt dat TS niet als enige argwaan ontwikkeld bij dit soort mails van banken, waarbij de klant twijfeld of dit wel echt is.
Schijnbaar gaat de commerciële kant van ING ook hier boven het vertrouwen van de klant in de veiligheid van de bank.

Ik mag hopen dat de ING wel iets beter te doen heeft dan zich te mengen in oeverloze discussies hier tussen een paar personen. En daarbij is het antwoord (het is een mail van de ING) al gegeven, de rest is slechts ruis.

[Consumenneke]

En daarbij is het antwoord (het is een mail van de ING) al gegeven, de rest is slechts ruis.

De ING jammert wel anders wanneer een advocaat van een phishing-slachtoffer deze case gebruit om te bewijzen dat de ING zelf verwarring veroorzaakt over de 5 B's van veilig bankieren:

Bescherm je codes

Je codes zijn strikt persoonlijk. Vertel ze dus aan niemand en onthoud dat medewerkers van ING nooit naar je beveiligingscodes zullen vragen. Niet aan de balie, niet aan de telefoon, niet per e-mail, niet via een andere website of app dan van ING, noch op een andere manier.

De ING stuurt nu een mail met een spammerige aanbieding, leid je naar een landingspagina en vraagt je daar om in te loggen met jouw codes.

Wat zou een oplichter anders doen?

[Lowieze]

De ING jammert wel anders wanneer een advocaat van een phishing-slachtoffer deze case gebruit om te bewijzen dat de ING zelf verwarring veroorzaakt over de 5 B's van veilig bankieren:

Bescherm je codes

Je codes zijn strikt persoonlijk. Vertel ze dus aan niemand en onthoud dat medewerkers van ING nooit naar je beveiligingscodes zullen vragen. Niet aan de balie, niet aan de telefoon, niet per e-mail, niet via een andere website of app dan van ING, noch op een andere manier.

De ING stuurt nu een mail met een spammerige aanbieding, leid je naar een landingspagina en vraagt je daar om in te loggen met jouw codes.

Wat zou een oplichter anders doen?

Het is een nieuwsbrief waarin melding wordt gemaakt van een aanbieding.
Om de aanbieding te kunnen zien en te weten wat dat precies inhoudt, een creditcard, een verzekering of beleggen hoef je helemaal niet in te loggen. Inloggen is pas nodig als je dit product wilt aanschaffen.
Iets wat helemaal normaal is als je iets wilt aanschaffen.

Ik kreeg vandaag een aanbieding van Vattenfall. Om de aanbieding te kunnen bekijken, klik je op een link. Daarin wordt uitgelegd wat de aanbieding inhoudt. Wil ik daar gebruik van maken, dan pas zal ik moeten inloggen. Is dat ook spam?