Sticky

Let op: valse e-mails in omloop


Laatste update: 3 augustus 2017

Let op: vanaf heden kun je phishing mails doorsturen naar valse.email@ns.nl. Omdat we merken dat veel mensen te maken hebben met deze vorm van oplichting, hebben wij speciaal hiervoor een uniek mailadres geactiveerd. Controleer voordat je een e-mail doorstuurt even of de ontvangen e-mail niet al wordt genoemd in dit bericht. Zo niet, stuur dan de originele e-mail door naar valse.email@ns.nl. Wij zullen het bericht dan onderzoeken.

Waarschuwing: valse berichten


Hoewel deze e-mails qua vormgeving en inhoud soms veel gelijkenis vertonen met de echte NS e-mails of die van onze partners zoals Blokker en Kruidvat, zijn deze niet van NS en onze partners afkomstig.

Onze naam en ons logo wordt misbruikt om persoonlijke gegevens te verzamelen. Meestal wordt in deze valse e-mails gevraagd om je gegevens te verstrekken of op een link te klikken. Doe je dit, dan krijgen fraudeurs mogelijk toegang tot jouw persoonlijke gegevens. Je kunt vervelende gevolgen verkleinen door, als u bijvoorbeeld een wachtwoord heeft meegestuurd, dit zo snel mogelijk te vervangen. Ook doe je er goed aan de valse e-mail te verwijderen.

Welke mailadressen worden door NS gebruikt en zijn dus te vertrouwen?
  • NS@samr.nl: SAMR is de ‘nieuwe’ naam voor Market Response
  • @ezine.ns.nl: nieuwsbrieven, communicatie abonnementen, Spoordeelwinkel
  • research@branches-en-trends.nl

Hoe herken je een valse e-mail?
Internetcriminelen worden steeds beter in het opstellen van valse e-mails. Toch maken ook zij nog fouten. Fouten die nog veel voorkomen zijn:
  • Het verzendadres is geen NS e-mailadres of dat van onze partners Blokker, Kruidvat, Etos of Hema
  • De link die de mail bevat verwijst naar een website die niet van NS is
  • De aanhef is niet juist en de mail bevat spelfouten
  • Tot slot geldt ook vaak dat het aanbod dat gedaan wordt, vaak te mooi is om waar te zijn en dat is het dan ook
NS zet steeds voorbeelden van de meest recente valse e-mails op http://www.ns.nl/uitgelicht/interessant-voor-u/waarschuwing-phishingmails.html en in dit topic, zodat je kunt zien welke valse e-mails reeds bij ons bekend zijn.

Hoe herken je een e-mail of actie van NS?
Een e-mail of actie van NS herken je aan het verzendadres eindigend op ns.nl. Daarnaast staan alle lopende acties van NS vermeld op onze website(s).

Melden van valse e-mails
Als je een valse e-mail ontvangt die afkomstig lijkt te zijn van NS en dat nog niet gemeld is, dan kun je dit doen in dit topic. Jouw melding wordt gebruikt om nieuwe valse e-mails te signaleren en andere klanten te waarschuwen.

Voorbeelden van valse e-mails die in omloop zijn
  • 26 juni. Speciale traktatie. Afzender: reply@kex56.kuroglio.com
  • 23 juni. Spoordeelwinkel. Zo haalt u uw kaartjes op... Afzender: NS Reizigers mailto:info@supplydealmcp.com
  • 21 juni. Uw tickets wachten. Afzender: NS kaartjes@wit18.paralleloconcept.com
  • 6 juni. NS geeft de hele winter iedere week 10 NS dagkaarten weg! Afzender: NS Dagkaart info@genotsnews.nl
  • 23 mei. Wij hebben 2 NS dagkaarten voor jou klaarliggen, haal ze nu op! Afzender: NS Reizigersinformatie default@supplydealsmcp.com
  • 20 mei. [jouw naam], je dagkaarten zijn bevestigd. Afzender: NS reply@cane150.legratego.com
  • 16 mei. Een jaar lang gratis reizen met OV. Afzender: Voordeel Plaza
  • 25 april. Jouw NS Dagkaart is geldig voor een periode van 6 maanden. Afzender: NS Dagkaarten mailto:agrological@e.815.burieshort.us
  • 28 maart. Reis gratis door heel Nederland. Afzender: advertentie@sflcp.com
  • 8 juli. Uw gratis tickets zijn klaar. Afzender: kaartjes@sake34.kushanbai.com
  • 11 juli. Bevestig je gratis dagkaartje. mailto:bvanhees@hotmail.nl
  • 13 juli. Dit is onze manier om u te bedanken! Afzender: mailto:reply@saab048.dharity.com

145 reacties

Misschien is het handiger een e-mail rond te sturen aan de klanten of een waarschuwing te geven op de NS homepage, want dit bericht hier is vrij zinloos als waarschuwing, dit wordt bekeken door hooguit 100 mensen en dat schat ik nog hoog 😃
Bedankt voor de tip, Macca.

We zijn momenteel aan het kijken wat de beste werkwijze is omtrent deze berichten. Gelukkig zijn het er niet heel veel, en om die reden verwachten we dat wanneer we proactief een bericht sturen of plaatsen op de site, we ook mensen bereiken die geen phishing mail hebben gehad, hetgeen weer leidt tot verwarring. Bovendien weten wij niet welke klanten per e-mail zijn benaderd, dus als wij dan onze eigen administratie gaan gebruiken, pakken we én mensen die de phishing mail niet hebben gehad, én missen we een deel van de mensen die hem wel hebben gehad.
Dus als we door een e-mail die van NS lijkt te komen worden doorverwezen naar een obscuur domein als actiesite-2organize.com, gaan we er voortaan vanuit dat het gaat om phishing in plaats van een legitiem bericht van NS over toestemming voor het bewaren van een pasfoto.
Dat betrof geen aanbieding of actie. Ik zal dat nog eens extra benadrukken in mijn bericht.
Dat doet er natuurlijk helemaal niet toe. Op die site moesten net zo goed allerlei gegevens invullen die maar beter niet in verkeerde handen kunnen vallen. Jullie verwijderen OV-chipkaartnummers in openbare posts op het forum immers ook niet voor niets. Door het gebruik van obscure domeinnamen en onvoorspelbare acties via mailings aan een deel van het klantenbestand, maken jullie het moeilijk om legitieme berichten van NS te onderscheiden van phishing en zoals je ziet maakt dat NS-klanten tot een gemakkelijk doelwit van phishing.
Nee als je van NS een e-mail krijgt moet je alleen links krijgen die naar de NS site verwijzen en niet naar een vage domeinnaam verwijzen.

Daar raken mensen nu juist van in verwarring.
a.p, Win 10x een NS Dagkaart!


Maak kans op 10 NS dagkaarten met een totale waarde van €500 en reis heel Nederland door!

Zijn deze gegevens correct?
Eigenaar reisproduct: OV chipkaart
Email adres: a.p

Bevestig hier je gegevens en pak je kaartjes!

zou dit óók een valse email kunnen zijn. helaas trap ik er niet in. ik had de waarschuwing al gelezen op kilroy.nl. (mijn email adres verwijderd) het laatste zinnetje was met blauw aangestreept. dat was de link. afkomstig van NS [ns@mx2.colognevacations.com]
Hallo Annie, deze mail is niet van ons afkomstig. Je kan dat zien aan het adres achter het @. Ik zou dit soort aanbiedingen altijd critisch bekijken, klinkt het te mooi om waar te zijn? Dan is het waarschijnlijk niet waar.
Sivan NS schreef:

Je ziet de link dan verschijnen. Indien dit niet verwijst naar een website van NS of de Spoordeelwinkel, klik er dan niet op.


En spoordeelwinkel.nl.moshenniki.ru zou ook maar niet op klikken 😉.

En NS zelf moet natuurlijk wel het juiste voorbeeld geven, automatisch doorlinken (vanaf 'n ns.nl url) naar 'https://ns-nl-1510.voncle.com/' wekt ook niet echt het vertrouwen dat het daadwerkelijk een site van NS is* (wat het feitelijk ook niet is, maar wat het wel moet doen lijken. Inderdaad net als bij echte phishing ook het geval is.), houd dit soort acties gewoon in eigen beheer. Al was het maar om verwarring te voorkomen.

*malware kan veroorzaken dat linkjes aangepast worden in jouw browser.
Kirsten Visceuss schreef:

Sivan NS schreef:

Je ziet de link dan verschijnen. Indien dit niet verwijst naar een website van NS of de Spoordeelwinkel, klik er dan niet op.


En spoordeelwinkel.nl.moshenniki.ru zou ook maar niet op klikken 😉.

En NS zelf moet natuurlijk wel het juiste voorbeeld geven, automatisch doorlinken (vanaf 'n ns.nl url) naar 'https://ns-nl-1510.voncle.com/' wekt ook niet echt het vertrouwen dat het daadwerkelijk een site van NS is* (wat het feitelijk ook niet is, maar wat het wel moet doen lijken. Inderdaad net als bij echte phishing ook het geval is.), houd dit soort acties gewoon in eigen beheer. Al was het maar om verwarring te voorkomen.

*malware kan veroorzaken dat linkjes aangepast worden in jouw browser.




Geacht Forum,

Onderstaande mail probeerde ik te verzenden naar forum@ns.nl, zoals werd geadviseerd. Maar telkens werd mijn mail naar u geweigerd, vanwege een spam filter. Daarom zet ik de tekst van die mail hieronder, al weet ik niet precies of dat hier wel de bedoeling is. Maar ik zag geen andere oplossing!

Geacht Forum,
dit is voor mij de eerste keer dat ik in een valse mail ben getuind... ik had geen enkele reden om hem te verdenken...
Tot ik op het eind niet alleen mijn mobiele nummer moest intikken, wat ik helaas heb gedaan, maar ook merkte dat ik me automatisch zou abonneren op één of ander betaald abonnement... Daar ben ik gelukkig afgehaakt.

Nu weet ik niet wat ze met mijn mobiele nummer alleen kunnen, maar ik kan me wel voor mijn kop slaan dat ik het niet door had.
Op het forum bleek echter, dat bij NS al bekend was dat deze phishing mail rondging...
Ik had het zeer op prijs gesteld als ik daar per mail door NS voor was gewaarschuwd. Lang niet elke klant zit op het forum!
Dus ik hoop dat u dat in het vervolg wel zult doen.
En dat u duidelijk kunt maken wat wèl, en wat zeker niet mails zijn die door NS zijn verzonden.
Daar helpt u alle klanten mee!

Bij voorbaat hartelijk dank,
met vriendelijke groet,
Marja Eerelman
Reputatie 3
Hier heb ik ook een melding van gehad 😉 Maar gelukkig geen mail 🙂
Sivan NS schreef:

Bedankt voor de tip, Macca.

We zijn momenteel aan het kijken wat de beste werkwijze is omtrent deze berichten. Gelukkig zijn het er niet heel veel, en om die reden verwachten we dat wanneer we proactief een bericht sturen of plaatsen op de site, we ook mensen bereiken die geen phishing mail hebben gehad, hetgeen weer leidt tot verwarring.
Bovendien weten wij niet welke klanten per e-mail zijn benaderd, dus als wij dan onze eigen administratie gaan gebruiken, pakken we én mensen die de phishing mail niet hebben gehad, én missen we een deel van de mensen die hem wel hebben gehad.



Zou het geen goed idee zijn om alle mail die vanuit NS wordt verstuurd van een veiligheidskenmerk te voorzien? En dat dan goed te communiceren met alle klanten? Dan wordt het fenomeen phishing een stuk lastiger...
M.Eerelman schreef:

Zou het geen goed idee zijn om alle mail die vanuit NS wordt verstuurd van een veiligheidskenmerk te voorzien? En dat dan goed te communiceren met alle klanten? Dan wordt het fenomeen phishing een stuk lastiger...



Er zijn methodes waarmee authenticatie (en zelfs versleuteling) van e-mailberichten mogelijk is. Het nadeel daarvan is dat daarvoor ofwel vereist is dat beide partijen (verzender en ontvanger) daarvoor geschikte software installeren (en dat is tot op heden niet veel verder gekomen dan hobbyisten), of dat een e-mailbericht niet direct te lezen is, maar dat er wordt verwezen naar een website waar het bericht na inloggen pas zichtbaar is.
Ik heb de mail voor 5 dagkaarten vandaag ontvangen. Ziet er professioneel uit maar de afsluiting "Het Nederlandse Spoor" is niet "De Nederlandse Spoorwegen" en daardoor vertrouwde ik het niet. De afzender was ook wat wacko wantedgift(dot)eu
Ik heb jullie suggesties en signalen naar onze afdeling Fraudemanagement gezet, met de vraag hoe we hier nog beter mee om kunnen gaan. We hebben al wel een pagina op onze website toegevoegd: http://www.ns.nl/reizigers/acties-en-uitjes/acties-en-uitjes/phishing-mail.html.

Nogmaals iedereen bedankt voor de nieuwe lading e-mails. Ik heb iedere ontvangen e-mail persoonlijk beantwoord.
Misschien dat de pishing mail naar een en hetzelfde mailaccount wordt gestuurd. Wij hebben bovenstaande mail namelijk ook gekregen. Dat zie je vaak gebeuren met mailadressen van tele2.Hoe ze daar aan komen? Geen idee.
@Waa Dat durf ik ook niet te zeggen. We zijn er in ieder geval mee bezig en ook dat proberen we te achterhalen.
Nu ben ik een beetje in de war. Ik heb als vaste klant een mail gekregen waarvan ik me afvroeg of hij echt is. Namelijk een aanbod voor twee kaartjes van 25 euro. de mail is afkomstig van mail@ezine.ns.nl. Omdat ik de laatste tijd veel valse mails krijg, heb ik de klantenservice gebeld. Dat kan niet van ons zijn, kreeg ik te horen. maar nu zie ik op die link die hier net gegeven is dat mails die eindigen met ns.nl wel van jullie zijn. Dus graag een antwoord op de vraag: is het speciale aanbod van twee kaartjes voor 25 euro, geldig tot 15 december voor vaste klanten nu wel of niet echt? Ik kan de actie namelijk niet terugvinden op de site.
Deze e-mail is van ons, Marjan. Goed dat je dit even checkt!

Ik vind het erg vervelend dat jij andere informatie hebt gehad. Excuses hiervoor.
Voortaan stel ik mijn vragen hier! Dank, ik ga de kaarten meteen bestellen dan. En misschien moeten de mensen aan de telefoon even horen dat mail@ezine.ns.nl wel van jullie is. 😉
Leuk om te horen, Marjan!

Ik vind het vreemd dat dit is gebeurd, want deze informatie staat in onze kennisbank. Is jouw gesprek geregistreerd? Dan kan ik als je wil even meekijken en de medewerker hierop aanspreken. Als dit zo is, mag je mij een privébericht sturen met je naam en adres.
Ik denk het niet, ik heb geen bandje gehoord of zo. Hij heeft nog wel even geinformeerd hoe het zat.
Laten we dan hopen dat dit een eenmalige vergissing was 🙂.
Vandaag een email gehad over NSExtra, maar mogelijk niet van de NS:

Verstuurd van E-mailadres: Nederlandse Spoorwegen
Verstuurd via servers van: jambo10.digitpaint.nl
Linkjes naar sites van ns.nl maar ook naar https://netpanel.jambo-mobile.com/XXXX

Dit lijkt op de eerdere emails van de NS, maar is dit echt van de NS?
En zo ja waarom worden er dan zoveel verwijzingen naar externe sites opgenomen?
Goed dat je dit aankaart, marv! Zou je deze e-mail ook kunnen doorsturen naar forum@ns.nl? Dan kan Sivan checken of het wel of niet om phishing gaat.

Reageer