Bank ING en internetprovider XS4all hebben de handen ineen geslagen om valse e-mails, die worden verstuurd uit naam van de ING, actief te blokkeren. Dit gebeurt door de inzet van zogenaamde DMARC-technologie. ING is de eerste bank in Nederland die DMARC geadopteerd heeft en inzet om haar klanten tegen valse e-mails, ook wel phishing e-mails genoemd, te beschermen. De proef met XS4all loopt nu 6 weken en blijkt een succes. Het aantal valse e-mails dat misbruik maakt van het domein ing.nl is gedaald met 71 procent.
DMARC staat voor 'domain-based message authentication, reporting & conformance'. De DMARC technologie is begin dit jaar ontstaan vanuit een samenwerking van marktpartijen als Google en Microsoft. ING en XS4all hebben zich hierbij aangesloten door als eerste grote partijen in Nederland DMARC te implementeren. Dit systeem zorgt ervoor dat klanten van providers als XS4all geen valse e-mails kunnen ontvangen waarin domeinnamen van de ING misbruikt worden. Dat betekent dat klanten van XS4all geen valse e-mails meer ontvangen met de afzender @ing.nl. Sinds de DMARC-techniek door ING in gebruik is genomen, is het aantal valse e-mails, verzonden vanuit deze domeinen, aanzienlijk gedaald.
Gezamelijke aanpak
'We zijn enthousiast over dit initiatief en de samenwerking met XS4all', zegt Max Mouwen, directeur Verkoop en Service Internet ING. 'Criminelen versturen, tot grote ergernis van zowel bedrijf als klant, veel valse e-mails uit naam van bijvoorbeeld een bank. Phishing is een hinderlijk fenomeen en het is fijn dat wij daar nu een flinke rem op kunnen zetten. Wij zullen onze ervaringen met anderen delen, omdat dit alleen met een structurele, gezamenlijke aanpak van alle banken en internetproviders effectief aangepakt kan worden. Wij nodigen andere partijen uit zich bij ons initiatief aan te sluiten. Samen staan we sterk tegen de internetcriminaliteit.'
Jan-Pieter Cornet, systeembeheerder bij XS4all, legt uit dat bij het tegenhouden van valse e-mails je altijd het risico loopt dat er per ongeluk legitieme berichten worden geblokkeerd. 'Die zogenaamde 'false positives' moet je natuurlijk vermijden. Door gebruik te maken van DMARC kunnen we vaststellen of een bericht echt afkomstig is van de ING. False positives worden zo tot het minimum beperkt.'
Als andere banken nu ook eens zouden volgen, er zijn er meer dan genoeg die niet eens SPF records publiceren…
Gaat het hier om internetprovider XS4ALL, of mail-provider XS4All?
Een dergelijke techniek, waarbij de inhoud van IP-pakketten kennelijk bekeken wordt, is door de Telecomwet niet toegestaan voor een internetprovider.
Een mailprovider mag het wel, mits in de voorwaarden genoemd.
@sceptisch: het gaat hier om het gebruik van DMARC, geen DPI (Deep Packet Inspection)
Goede zaak dit type initiatief. Vooral gebruikers met weinig ervaring zullen hier hun voordeel mee kunnen doen. Te vaak wordt een nietsvermoedende telebankier geconfronteerd met mails die inhoudelijk afkomstig lijken van hun bank om pas na grondige bestudering van het verzendadres of van de inhoud te concluderen dat dit weer een vals verzoek is.
Laat alle financiele instellingen dit voorbeeld navolgen.
Ik keur het zeker niet af, en vind dat de criminelen die hiervoor verantwoordelijk zijn zeker moeten worden aangepakt, maar gebruikers hebben ook een eigen verantwoordelijkheid. Vaak staan die valse emails vol met taalfouten en bij sommige webmaildiensten (bijv. gmail) komen ze altijd al in de spam terecht. Daarbij opgeteld dat banken toch al menigmaal duidelijk gecommuniceerd heeft dat ze nooit inloggegevens of pincodes per email of telefoon zullen opvragen, moet je ook wel erg naïef zijn om daar dan toch in te trappen.
@Hans: Je verhaal klopt en gaat uit van een ideale wereld, helaas is dat niet werkelijkheid. Stel dat 1 op 10.000 het niet snapt of de communicatie mist dan heb je toch te maken met een schadepost en zijn de criminelen succesvol.
Ik word er ook zo moe van, moet soms vier keer per week opnieuw mijn bankgegevens invoeren,
vertellen hoeveel geld ik heb, en hoe vaak ik het de afgelopen week gedaan heb (en met wie)
Maar verdorie dat is lastig als je geen rekening hebt bij de ING
Ik vul dus maar het serie nr van mijn koffiezet apparaat in.