XS4ALL heeft de afgelopen zes weken een succesvolle test uitgevoerd voor ING waarbij phishingmail door middel van DMARC-technologie worden onderschept. DMARC staat voor Domain-based Message Authentication Reporting and Conformance en is in het leven geroepen door vijftien grote techbedrijven. Ongeautoriseerde mail kan worden tegengehouden door extra filtering via authenticatie.

ING-klanten overspoeld met phishingmails

Volgens ING is het aantal valse e-mails dat misbruik maakt van het domein ING.nl door het toepassen van DMARC met 71 procent gedaald. Klanten van ING hebben de afgelopen jaren veel last gehad van phisingmail. De bank hield al eens een waarschuwingscampagne nadat klanten werden overspoeld door frauduleuze e-mails waarin bankgegevens worden opgevraagd.

Nu probeert ING het probleem bij de kern aan te pakken. Met provider XS4ALL als technisch partner is het als eerste Nederlandse bank gaan kijken naar de DMARC-technologie. DMARC werkt volgens een standaard authenticatieprotocol waarbij de afzender een extra domeincontrole krijgt via SPF (Sender Policy Framework) en een digitale handtekening via DKIM (DomainKeys Identified Mail).

Microsoft, Google en Facebook werken samen

DMARC moet op termijn de nieuwe standaard worden bij het versturen en ontvangen van e-mail. Het project is in 2010 gezamenlijk opgezet door onder andere grote spelers als Microsoft, Google, Yahoo, AOL, Bank of America en Facebook. Google is daarbij één van de initiatiefnemers en liet eerder dit jaar weten blij te zijn met de succesvolle resultaten van DMARC bij Gmail.

Hoewel met DMARC geen honderd procent garantie kan worden gegeven dat phishingmails je inbox bereiken, zou de extra filtering een oplossing kunnen zijn tegen het groeiend aantal phishingmails. Deze worden ook in Nederland massaal verstuurd. Dat gebeurd vaak uit naam van banken. Maar ook uit naam van websites, incassobureaus en PR-bureaus is in het verleden getracht rekeningen te plunderen.

XS4ALL en ING willen ervaring delen

Het implementeren van de DMARC-techniek bij ING is uitgevoerd door XS4ALL. Een ingewikkelde maar geslaagde operatie, laat woordvoerder Niels Huijbregts van SX4ALL weten. “Bij de test is gekozen voor de domeinen ing.nl en ing.com. DMARC is vervolgens toegepast op de inkomende server van XS4ALL en de uitgaande server van ING. In eerste instantie ging het om flaggen van verdachte e-mail. Na het verhelpen van verschillende bugs konden we filteren. Dat bleek al snel een grote deuk in het aantal phishingmails."

Ook ING is uitermate positief. De bank zet de test met SX4ALL door en is inmiddels in gesprek met andere internetproviders. “We zien graag dan andere banken en serviceproviders mee gaan doen. Daarbij delen wij graag onze ervaringen. Dit is de volgende stap in de strijd tegen phishingmail. Wat ons betreft wordt DMARC de maat" aldus woordvoerder Daan Heijbroek van ING.