ING phishing email with a twist


MX Lab, http://www.mxlab.eu, intercepted a series of ING phishing emails in Dutch with the subject “Controleer nu uw gegevens” from the spoofed email address “ING BANK N.V. <security@ing.nl>”.

The email caught our attention because the Dutch version is quite good. This is the body text:

Het is u ongetwijfeld niet ontgaan dat wij de laatste tijd doelwit zijn van internetcriminaliteit. Om te voorkomen dat deze internetcriminelen misbruik van uw rekening kunnen maken hebben wij onlangs een waarschuwing gepubliceerd. Ondanks deze waarschuwingen komt het helaas nog te vaak voor dat er internetcriminelen misbruik maken van ons beveiligingssysteem. Wij verzoeken u daarom direct te controleren of uw saldo en gegevens nog correct zijn.Tevens verzoeken wij u om uw telefoonnummer bij ons te registreren zodat wij u kunnen bereiken in geval van fraude. verifieren door op de volgende link te klikken..

Controleer nu uw gegevens

Wij willen u er nogmaals op attenderen dat een link naar onze website altijd begint het https://mijn.ing.nl dit is namelijk een beveiligde link met 128 bits encryptie. Bedankt voor uw aandacht en medewerking.,

Customer Service,
2011 ING BANK Nederland

However, let’s analyze the email. At the end of the first paragraph we noticed that the sentence “verifieren door op de volgende link te klikken..” is not complete.

And then, the text below the URL mentions “een link naar onze website altijd begint het https://mijn.ing.nl dit is namelijk een beveiligde link met 128 bits encryptie”. Translated to English it says “a link to our site always starts https://mijn.ing.nl because this is a secure link with 128-bit encryption”. When hovering over the URL under “Controleer nu uw gegevens” we have the URL hxxp://www.apartamentainaglis.com/en/includes/Cache/includes/default.html which is clearly not an https or secured connection as they mentioned in the standard copied text.

So, if you ever receive such a phishing email, take a look at the fine details. In most cases, you can identify a phish by such poorly formatted emails.

Firefox warns about this phishing attempt and the account is already disabled at the hosting company.

One thought on “ING phishing email with a twist

  1. This phishing scam has been going around for several months. I first got it around April or May, and have had several more since then (No, I did not get caught).
    I don’t have an account with the bank – possibly the scammer realised my family name is Dutch, and thought I might have an account with a Dutch bank. I don’t even speak Dutch!

Comments are closed.