Phishing namens PostNL en DHL is onderhand een bekend fenomeen. Opgelicht?! werd echter op een valse e-mail uit naam van PostNL gewezen die wat betreft de details qua huisstijl en uitwerking behoorlijk overtuigend is. Aangezien het er de oplichters ook dit keer weer om te doen is om jouw bankrekening finaal te plunderen, is een bescheiden reminder om even bij de les te blijven dan ook helemaal geen gek idee.

Oplichting namens pakketbezorgers is een fenomeen dat vorig jaar ineens sterk in omvang toenam en sindsdien eigenlijk nooit meer is opgehouden. Een logische verklaring voor deze plotselinge opmars is het coronavirus en de bijbehorende lockdowns: door het sluiten van fysieke winkels werden Nederlander plotseling veel meer afhankelijk van webwinkels. De bezorgdiensten draaiden dan ook overuren, en oplichters wisten daar al snel handig op in te springen.

De meeste meldingen over oplichting namens PostNL of DHL betreffen sms-berichten met verwijzingen naar nepsites, die in enkele gevallen bovendien zeer overtuigend zijn nagemaakt. Voor de valse mails namens beide koeriersdiensten geldt vaak dat de kwaliteit relatief matig is en nogal te wensen overlaat.

PostNL-huisstijl overtuigend nagebootst, extra geloofwaardig door alle details

Dat is echter niet het geval in deze nepmail uit naam van PostNL. Niet alleen is het e-mailadres gespooft, waardoor het lijkt alsof deze echt vanaf het PostNL-domein verstuurd is, de huisstijl van de mail is daarnaast zeer goed nagebootst en door allerlei details met betrekking tot de Track & Trace-code, het geplande bezorgmoment en het alternatieve afhaalmoment zou je zomaar kunnen denken dat het allemaal klopt.

Dat geldt natuurlijk al helemaal als je daadwerkelijk op een pakketje zit te wachten, wat in deze tijden lang geen onrealistisch scenario is. Bekijk de mail zelf maar:

Valse mail uit naam van PostNL

Dat ziet er al met al vrij overtuigend uit, nietwaar? De link achter de oranje Track & Trace-knop verwijst echter naar het volgende domein: bankiern-veilig.xyz/PostNL/PostNL.php.

Trekken we dit domein eens na, dan zien we dat dit domein net twee weken online staat en dat de houder bewust geen enkele informatie over zijn identiteit vrijgeeft. En dat is natuurlijk een verdacht teken.

Domein is offline, maar kijk uit voor kopieën

Dit betreffende domein is inmiddels offline, maar we zien aan de url al hoe de spreekwoordelijke vork in de steel zit. Eenmaal op de site verschijnt er met aan zekerheid grenzende waarschijnlijkheid ook dit keer weer een betaalpaneel in de PostNL-huisstijl die jou zogenaamd de mogelijkheid biedt om een beperkt bedrag aan verzendkosten te betalen. En om het je extra makkelijk te maken, kun je dat bedrag direct in de omgeving van jouw eigen bank doen, zo luidt de suggestie.

In werkelijkheid zit dat toch echt anders: de links naar de verschillende banken verwijzen in werkelijkheid naar de nagemaakte inlogomgeving van de betreffende bank. Log je in, dan gaan de oplichters meteen met jouw inloggegevens aan de haal in een poging om je bankrekening vliegensvlug leeg te trekken. En omdat de oplichters vaak wel tien tot twaalf banken in het betaalpaneel opnemen, kan in principe iedereen slachtoffer worden.

'Waarom een waarschuwing voor een website die niet meer bestaat?', denk je wellicht. Dat is eenvoudig: de ervaring leert ons dat vervangende domeinnamen vaak alweer klaarstaan tegen de tijd dat er ééntje offline is.

Oplichters spelen in die zin een kat-en-muisspel met autoriteiten en hostingpartijen: maatregelen volgen immers pas zodra de eerste signalen van oplichting zijn ontvangen. De kans is dan ook groot dat deze mail met verwijzingen naar andere, nog niet ontdekte domeinnamen binnen afzienbare termijn opnieuw rondgaat.

Vergelijkbare oplichting namens PostNL of DHL: