E-mailspoofing is het versturen van e-mails met een vervalst afzenderadres. Door technische beperkingen van e-mailprotocollen, welke niet altijd standaard ingesteld staan, is het mogelijk voor kwaadwillenden om in naam van een organisatie of persoon een mail te versturen. Één van de bekende voorbeelden zijn CEO-fraude, waarbij een mail verstuurd lijkt te zijn door de CEO van een organisatie met als doel om bijvoorbeeld geld over te maken of inloggegevens te verkrijgen. Spoofing-e-mails kunnen ook door cybercriminelen worden gebruikt om gevoelige informatie te verzamelen, zoals creditcardnummers en persoonlijke informatie voor identiteitsdiefstal.
Het doel van e-mailspoofing is om ontvangers het e-mailbericht te laten openen, erop te reageren en ermee te doen wat de kwaadwillende wilt dat de ontvanger ermee doet. E-mailspoofing kan de effectiviteit van phishing aanzienlijk verhogen doordat de ontvanger de afzender vertrouwt – het lijkt immers van je CEO of je collega te zijn. Wanneer je een e-mail niet vertrouwt, is het altijd het beste om het mail door te sturen naar de security afdeling zodat zij kunnen beoordelen of de mail wel of niet te vertrouwen is. Daarnaast zijn er verschillende manieren om zelf te ontdekken of een mail gespoofd kan zijn, zie hier bijvoorbeeld een pagina met tips om te dergelijke mails te herkennen.
Redenen waarom e-mailsspoofing voorkomt
Er zijn verschillende redenen waarom cybercriminelen een afzenderadres kunnen vervalsen, waaronder:
- Om de ware identiteit van de afzender van de e-mail te verbergen: Dit kan ook worden bereikt door een anoniem e-mailadres te registreren, maar het wordt over het algemeen gebruikt waarbij bestaande e-mailadressen misbruikt worden;
- Om zwarte lijsten voor spam te vermijden: Spammers gebruiken gespoofde e-mailadressen om spamfilters te vermijden. Dit risico wordt beperkt door het feit dat organisaties specifieke IP-adressen of ISP’s op de zwarte lijst kunnen zetten;
- Doen alsof de mails van een vertrouwd persoon zijn: Oplichters gebruiken e-mailspoofing om zich voor te doen als een vriend of collega die bijvoorbeeld kan vragen om hen geld te lenen;
- Doen alsof het een vertrouwde organisatie is: Vervalste e-mails van financiële instellingen kunnen leiden tot phishing-pagina’s die zijn ontworpen om toegang te krijgen tot bankrekeningen en creditcardnummers;
- De reputatie van de afzender aantasten: E-mailspoofing kan worden gebruikt om de reputatie van een organisatie of persoon aan te tasten;
- Om identiteitsdiefstal te plegen: De aanvaller kan toegang vragen tot persoonlijk identificeerbare informatie (PII) door te doen alsof hij het e-mailaccount van het slachtoffer gebruikt;
- Om malware te verspreiden: Door het e-mailadres te vervalsen, is de kans groter dat de ontvanger de e-mail en eventuele bijlagen opent die malware kunnen bevatten. Daarom zijn anti-malwaresoftware en netwerkbeveiliging een belangrijk onderdeel van elke cyberbeveiligingsstrategie;
- Om toegang te krijgen tot gevoelige informatie van externe leveranciers: E-mailbeveiliging moet deel uitmaken van leveranciers- en risicobeheer van derden. Als uw leveranciers toegang hebben tot klantgegevens, is het voor hen net zo belangrijk om e-mailspoofing te voorkomen als voor u.
Hoe kan e-mailspoofing gestopt worden?
Gelukkig is het mogelijk om e-mailspoofing zo goed als onmogelijk te maken voor uw organisatie. Hieronder staan enkele technische tips samengevat. Deze kunt u binnen uw IT-afdeling bespreken of, indien van toepassing, met uw IT-beheerder.
- Sender Policy Framework (SPF): SPF controleert of een bepaald IP-adres geautoriseerd is om e-mail te verzenden vanaf een bepaalde domeinnaam. SPF kan leiden tot valse positieven en vereist dat de ontvangende server een SPF-record controleert en de afzender valideert;
- Domain Key Identified Mail (DKIM): DKIM gebruikt een paar cryptografische sleutels die uitgaande berichten ondertekenen en inkomende berichten valideren. Hierdoor worden e-mailberichten als het ware gewaarmerkt;
- Domain-Based Message Authentication, Reporting, and Conformance (DMARC): DMARC geeft de afzender de mogelijkheid om de ontvanger te laten weten dat het wordt beschermd door SPF of DKIM en wat te doen als e-mail niet wordt geverifieerd.