• Hoe ‘Email Spoofing-as-a-Service’ werkt en hoe je dit kunt tegengaan

Hoe ‘Email Spoofing-as-a-Service’ werkt en hoe je dit kunt tegengaan

door

Laatst bijgewerkt:
7 leestijd: 7 minuten
Hoe ‘Email Spoofing-as-a-Service’ werkt en hoe je dit kunt tegengaan

Lees meer over ‘email spoofing-as-a-service’, de risico’s ervan en hoe u zich hiertegen kunt beschermen. Beperk de risico’s door middel van degelijke authenticatie, mogelijk gemaakt door PowerDMARC.

Belangrijkste Conclusies

  1. Bij e-mailspoofing worden e-mails verzonden met een vervalst afzenderadres, wat phishing en de verspreiding van malware in de hand werkt.
  2. Met ‘Email spoofing-as-a-service’ kunnen gebruikers tegen betaling eenvoudig en anoniem vervalste e-mails versturen.
  3. Dit brengt aanzienlijke risico’s met zich mee, omdat aanvallers zich hierdoor kunnen voordoen als vertrouwde entiteiten, wat kan leiden tot mogelijke datalekken en financiële verliezen.
  4. BEC-aanvallen die mogelijk worden gemaakt door e-mailspoofing kosten bedrijven jaarlijks miljarden dollars, en ‘spoofing-as-a-service’ maakt het aanzienlijk gemakkelijker om dergelijke aanvallen uit te voeren.
  5. Technische maatregelen zoals DMARC, SPF en DKIM kunnen organisaties helpen de authenticiteit van e-mails te controleren en het risico op spoofing te verminderen.
  6. Gebruikerseducatie en het handhaven van een strikt e-mailbeleid zijn essentieel in het bestrijden van e-mail spoofing en het verbeteren van de algehele beveiliging.
  7. Het implementeren van DMARC met een beleid van p=reject is de meest effectieve technische verdediging tegen e-mail-spoofing-as-a-service-aanvallen die op uw domein zijn gericht.

E-mail heeft meer dan 4 miljard gebruikers wereldwijd en is daarmee een onmisbaar hulpmiddel voor bedrijven. Deze populariteit brengt echter ook uitdagingen met zich mee. De opkomst van e-mailspoofing-as-a-service onderstreept de groeiende bezorgdheid over de veiligheid en integriteit van e-mailcommunicatie.

E-mailspoofing is een praktijk die al tientallen jaren bestaat. Aanvallers sturen een e-mail met een vervalst adres, waardoor het lijkt alsof deze is verzonden door iemand die je vertrouwt. Deze identiteitsfraude vormt de basis voor phishing-aanvallen, datalekken of de verspreiding van malware. 

Met „Spoofing-as-a-service“ gaat het nog een stap verder. Iedereen kan gemakkelijk en anoniem vervalste e-mails versturen, of hij nu over technische kennis beschikt of niet.

De gevolgen zijn terug te zien in de cijfers. Volgens de statistieken van PowerDMARC over e-mailphishing en DMARCbeschikt ongeveer 50% van de organisaties in de meeste sectoren nog steeds niet over de authenticatiemaatregelen die nodig zijn om domeinspoofing te voorkomen. Dit maakt ‘spoofing-as-a-service’-platforms tot een directe bedreiging voor onbeschermde bedrijven.

Hoe ‘Email Spoofing-as-a-Service’ werkt

De meeste aanbieders van e-mail-spoofing-as-a-service werken via een webinterface of een API. Om een vervalste e-mail te versturen, voeren aanvallers het domein in waarvan ze zich willen voordoen, het e-mailadres van de ontvanger en de tekst van het bericht. Het platform vervalst vervolgens het veld ‘Van’ in de header, genereert de e-mail en stuurt deze tegen een kleine vergoeding namens de gebruiker van de dienst via hun infrastructuur.

Het doel is om het legitiem te laten lijken, wat lukt als het niet wordt gecontroleerd. De ontvanger ziet uiteindelijk het e-mailadres van de vervalste afzender in zijn of haar inbox en denkt dat het bericht afkomstig is van een klant, leverancier of een betrouwbare contactpersoon.

Waarom is het gevaarlijk?

Het concept van een e-mailspoofingdienst is eenvoudig en voor velen toegankelijk. Je betaalt gewoon een klein bedrag om toegang te krijgen tot een tool waarmee je e-mails kunt versturen waarin je je voordoet als iemand anders. De dienstverlener regelt de technische details, terwijl je zelf alleen maar het e-mailadres hoeft in te voeren van de persoon die je wilt benaderen.

Het lijkt bijna op het versturen van een e-mail via Gmail of Outlook, maar in plaats van hun eigen account en IP-adres te gebruiken, maken ze gebruik van die van iemand anders. De berichten verschijnen vervolgens in je inbox alsof ze afkomstig zijn van een vertrouwde contactpersoon.

De risico’s van e-mail-spoofing-as-a-service

E-mail-spoofing-as-a-service was de meest gemelde vorm van cybercriminaliteit in de VS in 2024. Aanvallers deden zich voor als vertrouwde personen of organisaties om ontvangers ertoe te verleiden op kwaadaardige links te klikken of gevoelige informatie, wat leidde tot grootschalige datalekken, financiële verliezen en reputatieschade.

Het wordt ook gebruikt voor geavanceerde aanvallen, zoals Business Email Compromise (BEC)-zwendel. Dit is een vorm van e-mailfraude die zich richt op bedrijven en waarbij doorgaans wordt gedaan alsof men een leidinggevende, leverancier of partner is. In de loop der jaren heeft dit bedrijven in zijn eentje miljarden dollars gekost.

De twee meest voorkomende BEC-e-mailzwendelpraktijken die mogelijk worden gemaakt door „spoofing-as-a-service“ zijn:

  • Fraude door de CEO: Een aanvaller vervalst het e-mailadres van de CEO en geeft het financiële team de opdracht om met spoed geld over te maken naar de rekening van een nieuwe leverancier. De e-mail ziet er authentiek uit, komt op het juiste moment binnen en ontwijkt de menselijke controles.
  • Factuurfraude: Vervalste e-mails afkomstig van het domein van een leverancier geven het crediteurenadministratieteam de opdracht om vóór een grote betaling de bankgegevens bij te werken, waardoor het geld naar de rekening van de aanvaller wordt doorgesluisd.

Naast directe financiële schade ondermijnt een spoofing-aanval het vertrouwen van klanten en leidt het ertoe dat uw legitieme e-mails als spam op de zwarte lijst terechtkomen.

Hoe herken je een vervalste e-mail?

Vervalste e-mails zijn niet altijd direct te herkennen. Weten waar je op moet letten, is van groot belang bij het opzetten van een robuuste e-mailbeveiliging, vooral voordat je technische beveiligingsmaatregelen volledig zijn geïmplementeerd. 

  • Afwijking in afzenderadres: De weergavenaam verwijst naar een bekende contactpersoon, maar als u er met de muis overheen gaat, verschijnt er een ander domein. Wat in uw e-mail misschien wordt weergegeven als ‘CEO John Smith’, kan in werkelijkheid een willekeurig of op het domein lijkend domein zijn.
  • Ongewone urgentie of verzoeken: Vervalste e-mails zetten ontvangers vaak onder druk om tijdgevoelige acties te ondernemen, zoals geld overmaken, inloggegevens delen of bijlagen openen, om de gebruikelijke verificatiestappen te omzeilen.
  • Het ‘Reply-to’-adres verschilt van het ‘Van’-adres: Aanvallers stellen een ander ‘Reply-to’-adres in, zodat reacties bij hen terechtkomen en niet bij het vervalste e-mailadres.
  • Headers die de authenticatiecontrole niet hebben doorstaan: Door de volledige e-mailheader te onderzoeken, wordt duidelijk of het bericht de SPF-, DKIM- en DMARC-controles heeft doorstaan. Als een van deze controles mislukt, is dat een sterke aanwijzing voor spoofing.
  • Domains die op echte domeinen lijken: Aanvallers registreren domeinen die sterk lijken op echte domeinen (bijvoorbeeld paypa1.com in plaats van paypal.com). Gebruik de Lookalike Domain Checker om domeinen te identificeren die zich voordoen als uw merk.

PowerDMARC’s E-mailheader-analysator analyseert de SPF-, DKIM- en DMARC-authenticatieresultaten rechtstreeks voor een grondiger technische inspectie.

E-mail-spoofing-as-a-service voorkomen

Een combinatie van technische en niet-technische maatregelen biedt de oplossing voor e-mail-spoofingaanvallen. Op technisch vlak ligt de nadruk op het gebruik van DMARC (Domain-based Message Authentication, Reporting, and Conformance), SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail). 

Zij voorkomen e-mailspoofing door te controleren of het e-mailadres van de afzender overeenkomt met het domein waarvan het beweert afkomstig te zijn. Zie voor een vergelijkend overzicht de gids van PowerDMARC over SPF versus DKIM versus DMARC.

De implementatie moet bovendien volgens een stapsgewijze aanpak verlopen:

  • Controleer uw huidige configuratie: Gebruik de DMARC Record Checker van PowerDMARC om te controleren of er al een beleid voor uw domein is gepubliceerd en of dit correct is geconfigureerd.
  • Een SPF-record publiceren: Vermeld alle IP-adressen en diensten die bevoegd zijn om e-mail namens uw domein te verzenden in een TXT-record in uw DNS.
  • DKIM-ondertekening inschakelen: Configureer uw e-mailplatform zodat uitgaande e-mails worden ondertekend met een DKIM-privésleutel, zodat ontvangende servers de handtekening kunnen verifiëren.
  • Implementeer DMARC eerst met p=none: Begin met het verzamelen van geaggregeerde DMARC-rapporten om alle legitieme afzenders te identificeren voordat u overgaat tot handhaving.
  • Ga over naar p=reject: Zodra alle legitieme afzenders zijn afgestemd, stelt u uw DMARC-beleid in op p=reject. Dit geeft ontvangende servers de opdracht om alle e-mails die de authenticatie niet doorstaan te verwijderen, waardoor vervalste e-mails die vanaf uw domein worden verzonden volledig worden geblokkeerd.

De niet-technische laag is bedoeld om de kans op menselijke fouten te verkleinen. Medewerkers voorlichten over de risico's van e-mailspoofing en hoe ze phishing-e-mails helpt succesvolle aanvallen te voorkomen. Stel bovendien e-mailbeleidsregels op en handhaaf deze, waarin meervoudige authenticatie en sterke wachtwoorden vereist.

De toenemende angst voor ‘as-a-service’-aanvallen

Bij ‘as-a-service’-aanvallen maakt een hacker gebruik van een standaarddienst om op grote schaal kwaadaardige activiteiten uit te voeren. Veelvoorkomende aanvallen die relevant zijn voor e-mailbeveiliging vallen onder twee categorieën: aanvallen op de toeleveringsketen en Software-as-a-Service (SaaS)-aanvallen.

  • In het eerste geval maakt een aanvaller gebruik van een gehackte leverancier of externe dienstverlener om toegang te krijgen tot het netwerk van het doelbedrijf.
  • Bij SaaS-aanvallen maakt een aanvaller gebruik van legitieme SaaS-toepassingen die door het doelbedrijf worden aangeboden om toegang te krijgen tot het netwerk van dat bedrijf.

Cyberaanvallen via ‘as-a-service’-modellen worden op verschillende manieren uitgevoerd. Door een systeem met malware te infecteren, krijgen hackers toegang tot gegevens en inloggegevens. Ze maken ook misbruik van kwetsbaarheden in applicaties van derden, waaronder e-mailprogramma’s zoals Microsoft Outlook. Veel aanvallers versturen zorgvuldig opgestelde valse massamails vanaf vervalste adressen om inloggegevens te verzamelen of frauduleuze transacties te autoriseren.

Het gebruik van door AI aangestuurde phishingtools is een andere bijzonder zorgwekkende variant. Aanvallers maken steeds vaker gebruik van Large Language Models (LLM’s) om op grote schaal zeer gepersonaliseerde, overtuigende valse e-mails op te stellen. Traditionele verdedigingsmaatregelen tegen social engineering schieten tekort tegen methoden die specifiek zijn ontwikkeld om deze te omzeilen.

Lees dit zeker: Voor meer informatie over deze opkomende bedreigingen, zie deze blog over Beveiliging van AI-agenten: risico's, best practices en e-mailauthenticatie door PowerDMARC.

E-mail-spoofing-as-a-service is inmiddels een van de meest toegankelijke toegangspunten tot dit bredere ‘as-a-service’-dreigingslandschap. Deze diensten verlagen de vereiste vaardigheidsdrempel voor het uitvoeren van een overtuigende identiteitsfraudeaanval aanzienlijk, doordat ze alle technische complexiteit voor hun klanten uit handen nemen.

Conclusie

E-mail-spoofing-as-a-service is inmiddels een op grote schaal toegepaste bedreiging voor bedrijven. Aanvallers maken gebruik van deze platforms om zich voor te doen als vertrouwde personen of organisaties, wat leidt tot verlies van gegevens, geld en reputatie.

Om die achterdeur te sluiten, zijn zowel technische als niet-technische maatregelen nodig. Dit houdt in dat er moet worden geïnvesteerd in authenticatieprotocollen, voorlichting en bewustmaking van gebruikers, en beleid voor veilige e-mail. 

PowerDMARC’s DMARC Managed Services maken het eenvoudig om bij e-mailbeveiliging over te stappen van passieve monitoring naar actieve handhaving. Met geautomatiseerde DMARC-rapportage, SPF-flattening, gehoste DKIM en 24/7 ondersteuning helpt het uw domein te beschermen, zelfs als bedreigingen zoals e-mailspoofing zich verder ontwikkelen.

Veelgestelde Vragen

1. Wat is e-mail-spoofing-as-a-service?

E-mail-spoofing-as-a-service is een soort cybercriminaliteitsplatform dat gebruikers tegen een kleine vergoeding de middelen biedt om e-mails te versturen vanaf vervalste afzenderadressen. Deze diensten nemen de technische complexiteit van spoofing voor hun rekening, waardoor zelfs aanvallers zonder technische kennis zich op grote schaal kunnen voordoen als betrouwbare organisaties of personen.

2. Hoe werkt e-mail-spoofing-as-a-service?

De gebruiker voert het e-mailadres in dat als afzender moet worden weergegeven (het „Van”-adres), het adres van de ontvanger en de inhoud van de e-mail. Het platform vervalst vervolgens de header en stuurt de e-mail via zijn eigen infrastructuur door, waardoor de aanvaller geen controle hoeft te hebben over de e-mailserver van het vervalst domein.

3. Hoe kan ik voorkomen dat iemand mijn e-mailadres vervalst?

De meest effectieve technische beveiligingsmaatregel is het publiceren van een DMARC-record met de instelling p=reject, ondersteund door correct geconfigureerde SPF- en DKIM-records. Hierdoor krijgen ontvangende mailservers de opdracht om alle e-mails die de authenticatie niet doorstaan, te weigeren.

4. Wat is het verschil tussen e-mailspoofing en phishing?

Onder e-mailspoofing wordt specifiek het vervalsen van het e-mailadres van de afzender verstaan. Phishing is een bredere aanvalsstrategie waarbij misleidende e-mails worden gebruikt om ontvangers ertoe te brengen hun inloggegevens prijs te geven of schadelijke handelingen te verrichten. Vaak wordt daarbij gebruikgemaakt van spoofing als techniek. Alle phishing-e-mails waarin zich iemand voordoet als een bekend merk of een bekende persoon, maken gebruik van een of andere vorm van spoofing, maar niet alle vervalste e-mails zijn phishing-aanvallen.

5. Kan DMARC e-mail-spoofing-as-a-service tegengaan?

Ja. DMARC is speciaal ontworpen om domeinspoofing te voorkomen. Wanneer uw DMARC-beleid is ingesteld op p=reject, zullen ontvangende mailservers alle e-mails verwijderen die beweren afkomstig te zijn van uw domein, maar niet voldoen aan de SPF- of DKIM-authenticatiecontroles. Dit betekent dat ‘spoofing-as-a-service’-platforms geen e-mails kunnen afleveren die zich voordoen als afkomstig van uw domein, in beveiligde inboxen.

6. Zijn platforms voor e-mail-spoofing-as-a-service illegaal?

Het gebruik van ‘email spoofing-as-a-service’ om frauduleuze of misleidende e-mails te versturen, is in de meeste rechtsgebieden verboden op grond van wetgeving inzake computerfraude, antispam en telegraaffraude. Deze platforms opereren echter vaak grensoverschrijdend, wat handhaving bemoeilijkt. De meest betrouwbare bescherming voor uw organisatie is het implementeren van de DMARC-, SPF- en DKIM-protocollen om te voorkomen dat vervalste e-mails de ontvangers bereiken.