Op de redactie zijn we inmiddels wel gewend aan de pogingen om KVK mails na te maken, in de hoop op die manier ondernemende Nederlanders via een nepwebsite van malware te voorzien, of persoonsgegevens afhandig te maken. Maar de laatste phishing mails komen opvallend genoeg van het domein van de KVK zelf, mogelijk dankzij het Nederlandse deployteq.
Inhoud van de KVK phishing mail
De inhoud van de mail valt meteen op het oog. De mail is kort en krachtig, vraagt je in te loggen en kent bovendien de nodige stijlfoutjes in het taalgebruik. Bovendien viel hij extra op, omdat onze mailbox niet bij de KVK bekend is.
Belangrijke informatie ontvangt u als ondernemer ook per e-mail
Beste ondernemer
Een korte reminder dat op donderdag 21/12, uw digitale inschrijving definitief komt te vervallen.
i.v.m. het niet tijdig vervangen van uw digitale sleutels.
U kunt dit nog snel en geheel kosteloos doen voor de verval datum
Naar Mijn KVK
Met vriendelijke groet,
Kamer van Koophandel
Hoe deze KKV phishing mail mogelijk is verzonden
Wie het afzender adres bekijkt, ziet dat deze afkomstig is van mail@e.kvk.nl. Dat ziet er super legitiem uit, omdat dit om het subdomein ‘e’ van domein kvk.nl gaat. Wanneer mail vanuit een @*.kvk.nl adres komt, komt dat natuurlijk heel wat formeler over.
Wanneer we de DNS gegevens van het domein e.kvk.nl opvragen, zien we dat deze op het Amerikaanse Amazon AWS draait. Weliswaar op een server die in Frankfurt staat.
Het MX record is waarmee mail verzonden en ontvangen kan worden door e.kvk.nl. Dat draait ook weer bij Amazon, maar lijkt uit te komen in Zeist. Msdp1 lijkt van e-Village B.V. te zijn.
Wanneer we msdp1 intikken in onze browser, komen we echter weer uit op de Google Cloud in Londen (buiten de EU voor AVG liefhebbers) waar de website van het Nederlandse Deployteq.com draait en dat levert natuurlijk heel wat vraagtekens op.
Maar we zitten al buiten kantooruren. Want wie is er verantwoordelijk voor het verzenden van deze phishing campagne? Waarom zit er een Nederlands bedrijf in de chain, dat haar data buiten de EU plaatst? Hoe kijkt de KVK zelf naar dit misbruik?