Phishing-verkenning: hoe aanvallers kwetsbare domeinen opsporen en als doelwit kiezen

De meeste mensen zien phishing als een kwestie van grote aantallen: miljoenen e-mails versturen en afwachten tot iemand erop klikt. Sommige campagnes werken nog steeds op die manier. Maar de aanvallen die echte schade aanrichten – die in de inboxen van bedrijven terechtkomen en zelfs ervaren medewerkers om de tuin leiden – beginnen bijna nooit met het versturen van een bericht. Ze beginnen met onderzoek.

Phishing-verkenning is het gestructureerde proces dat aanvallers gebruiken om een doeldomein in kaart te brengen nog voordat er ook maar één e-mail is opgesteld. Ze onderzoeken authenticatiegegevens, de DNS-configuratie, de aanwezigheid van subdomeinen en de complexiteit van de verzendomgeving. Het doel is duidelijk: domeinen vinden waar een vervalst bericht de grootste kans heeft om filters te omzeilen en in een echte inbox terecht te komen.

Volgens de APWG werden er alleen al in het eerste kwartaal van 2025 meer dan een miljoen phishingaanvallen geregistreerd, en in het IC3-rapport van de FBI uit 2024 worden phishing en spoofing genoemd als de belangrijkste categorie van klachten. Wat dit omvangrijke aantal mogelijk maakt, is dat de verkenningsfase geen speciale toegang, geen exploits en geen geavanceerde tools vereist. Deze fase is vrijwel volledig gebaseerd op openbaar beschikbare informatie. Inzicht krijgen in wat aanvallers over uw domein te weten kunnen komen – met behulp van dezelfde tools die zij gebruiken – is de meest directe manier om de kwetsbaarheden te dichten waarop zij vertrouwen.

Wat is phishing-verkenning?

Phishing-verkenning is de fase voorafgaand aan de aanval waarin een cybercrimineel openbaar beschikbare informatie over een doelwit verzamelt om de kans op succes van zijn campagne zo groot mogelijk te maken. Het is een vorm van OSINT (Open Source Intelligence) – het verzamelen van gegevens uit bronnen die al openbaar toegankelijk zijn, zonder dat daarvoor een directe aanval of ongeoorloofde toegang nodig is.

Bij phishing via e-mail richt de verkenning zich op drie zaken: inzicht krijgen in de authenticatiemaatregelen van het doeldomein, de volledige infrastructuur van verzenders en subdomeinen in kaart brengen, en het zwakste punt identificeren waardoor een vervalste e-mail de grootste kans heeft om de filters te passeren en de inbox te bereiken. Een domein met zwakke of ontbrekende authenticatiemaatregelen, met onbewaakte subdomeinen en een complexe, niet-gedocumenteerde verzenderomgeving, is het ideale doelwit.

De tools die in deze fase worden gebruikt – DNS-opzoektools, Certificate Transparency-logs, subdomein-enumerators, WHOIS-records en e-mailverificatiediensten – zijn allemaal gratis, openbaar gedocumenteerd en vereisen geen technische kennis om te gebruiken. De drempel om phishing-verkenning uit te voeren op een willekeurig domein is laag. De drempel om je hiertegen te verdedigen is eveneens laag, als je weet waar je op moet letten.

Fase 1: De authenticatiestatus van het domein controleren

Het eerste wat een phishing-aanvaller controleert, is het DMARC-record van het domein. Dit kost slechts enkele seconden met behulp van een willekeurige gratis DNS-lookup-tool en geeft direct inzicht in het geldende handhavingsniveau.

DMARC-beleid opzoeken

Wat aanvallers hopen te vinden, is p=none, oftewel helemaal geen DMARC-record. Een domein met p=none heeft wel een DMARC-record gepubliceerd – wat betekent dat er enige monitoring plaatsvindt – maar heeft elke ontvangende mailserver geïnstrueerd om geen actie te ondernemen wanneer een e-mail de authenticatie niet doorstaat. In de praktijk betekent dit dat een aanvaller een vervalste e-mail vanaf dat domein kan versturen; de ontvangende server kan detecteren dat deze niet geauthenticeerd is, maar zal deze toch afleveren omdat het beleid van het domein zelf voorschrijft dat deze niet geblokkeerd mag worden.

Domeinen zonder enig DMARC-record lopen nog meer risico. Er is geen beleidsrichtlijn, geen geaggregeerde rapportage en geen forensisch inzicht. Aanvallers zoeken actief naar deze domeinen en geven ze voorrang als doelwitten voor spoofing, juist omdat de domeineigenaar geen mechanisme heeft om pogingen tot identiteitsfraude te detecteren of te blokkeren.

p=none is een veelvoorkomend startpunt voor organisaties die bezig zijn met het opzetten van authenticatie – een logisch moment om te beginnen met monitoring voordat men overgaat tot handhaving. Het probleem is dat veel organisaties daar beginnen en nooit verder komen. Domeinen die al maanden of jaren live staan met p=none vormen een goed gedocumenteerde, veelvuldig aangevallen groep in phishingcampagnes.

Controle van SPF-records

Na DMARC controleren aanvallers het SPF-record. Een goed geconfigureerd SPF-record bevat een lijst van alle servers die bevoegd zijn om namens het domein te verzenden en eindigt op -all, waarmee ontvangende servers de instructie krijgen om alles wat niet op die lijst staat te weigeren. Aanvallers zijn op zoek naar een te soepel SPF-record dat eindigt op ~all (een ‘soft fail’, waarbij het bericht alsnog wordt afgeleverd) of +all (waarmee elke afzender wordt geautoriseerd), of naar een SPF-record dat de limiet van tien DNS-lookups heeft overschreden, waardoor het volledig faalt.

Een SPF-record dat eindigt op ~all in plaats van -all vormt een subtiel maar veelzeggend verschil: ontvangende servers beschouwen ‘soft fails’ als verdacht, maar bezorgen het bericht doorgaans toch, vooral wanneer DMARC niet is ingesteld op handhaving. Aanvallers die deze combinatie herkennen – SPF met ~all en DMARC ingesteld op p=none – weten dat vervalste e-mails van het domein in de meeste gevallen de inbox zullen bereiken.

Controle van de DKIM-configuratie

DKIM is iets moeilijker rechtstreeks te controleren, aangezien je voor het opzoeken van een openbare DKIM-sleutel de gebruikte selector moet kennen. Aanvallers kunnen de DKIM-configuratie echter afleiden uit DMARC-aggregatrapporten en uit de e-mailheaders van elk bericht dat legitiem door het doeldomein is verzonden. Kopteksten die zijn vastgelegd uit LinkedIn-meldingen, abonnementen op persberichten of marketing-e-mails onthullen de gebruikte DKIM-selector en het ondertekenende domein. Zodra een aanvaller de selector kent, kan hij de openbare sleutel opvragen en controleren of DKIM-ondertekening actief en consistent is.

Domeinen die inconsistent worden ondertekend – waarbij sommige afzenders zich met DKIM authenticeren en andere niet – zijn bijzonder aantrekkelijk. Voor DMARC-alignment is vereist dat ten minste één van SPF of DKIM slaagt, met identifier alignment. Een domein waar een deel van het verkeer zich wel authenticeert en een ander deel niet, is precies het soort omgeving waarin vervalst verkeer zich vermengt met legitieme fouten.

Fase 2: Het in kaart brengen van de voetafdruk van subdomeinen en domeinen

Controles op domeinverificatie zijn gericht op het primaire domein. Maar de meeste organisaties hebben een veel grotere domeinvoetafdruk dan er actief wordt bewaakt – en phishing-verkenning is erop gericht om die te vinden.

Opsomming van logboeken voor certificaattransparantie

Elk SSL/TLS-certificaat dat voor een domein wordt uitgegeven, wordt openbaar vastgelegd in Certificate Transparency (CT)-logboeken, die voor iedereen toegankelijk zijn en door iedereen kunnen worden doorzocht. Met tools zoals crt.sh kan een aanvaller binnen enkele seconden de volledige certificaatgeschiedenis van een domein opvragen, waardoor elk subdomein aan het licht komt waarvoor ooit een certificaat is uitgegeven – inclusief ontwikkelomgevingen, staging-servers, regionale microsites en allang vergeten campagnepagina’s.

Dit is een van de krachtigste passieve verkenningtechnieken die er zijn, omdat deze techniek zeer uitgebreid is en historische gegevens omvat. Subdomeinen die inmiddels buiten gebruik zijn gesteld, maar waarvoor ooit certificaten zijn uitgegeven, verschijnen nog steeds in CT-logs. Een aanvaller kan zo een volledig historisch beeld krijgen van de subdomeinen van een organisatie, zonder ook maar één pakket naar het doelwit te sturen.

Subdomein-opsomming

Naast CT-logs kunnen passieve DNS-databases en brute-force-tools voor subdomeinen nog meer subdomeinen aan het licht brengen. Subdomein-kaping – waarbij het DNS-record van een vergeten subdomein nog steeds verwijst naar een buiten gebruik gestelde dienst die een aanvaller kan overnemen – is een gedocumenteerd aanvalspatroon waarnaar bij verkenning specifiek wordt gezocht. Een subdomein met een loshangend CNAME-record dat verwijst naar een verlopen dienst van een derde partij kan worden overgenomen en gebruikt om phishing-e-mails te versturen die lijken afkomstig te zijn van de legitieme organisatie.

Subdomeinen zijn bijzonder kwetsbaar voor phishing, omdat ze vaak buiten het authenticatiebereik vallen dat beveiligingsteams hebben geconfigureerd. Een domein waarbij het primaire verzenddomein DMARC-handhaving heeft, maar de subdomeinen niet onder de DMARC sp-tag vallen, maakt elk subdomein kwetsbaar voor spoofing, ongeacht wat het primaire beleid voorschrijft.

WHOIS en de registratiegeschiedenis van het domein

Uit WHOIS-gegevens blijken de registratiedata, informatie over de registrar en in sommige gevallen gegevens over de registrant. De leeftijd van een domein is een aanwijzing die aanvallers gebruiken om te beoordelen of een domein een voldoende gevestigde verzendgeschiedenis heeft, waardoor vervalst verkeer moeilijker te filteren is. Ze gebruiken WHOIS ook om gerelateerde domeinen te identificeren die door dezelfde organisatie zijn geregistreerd – overnamedomains, registraties ter bescherming van het merk, regionale varianten – die mogelijk niet actief worden gecontroleerd.

Fase 3: Analyse van de omgeving van de afzender

De afzenderomgeving van een domein – het volledige geheel van diensten en platforms die bevoegd zijn om namens dat domein e-mail te versturen – is inzichtelijk via de geaggregeerde DMARC-rapporten en kan gedeeltelijk worden afgeleid uit openbaar zichtbare e-mailheaders. Voor phishing-aanstichters vormt een complexe of slecht gedocumenteerde afzenderomgeving een kwetsbaarheid die kan worden uitgebuit.

Complexiteit bij afzenders die geen eigenaar zijn van de gegevens

Moderne organisaties versturen e-mails doorgaans vanuit talrijke bronnen: een primaire e-mailserver, een marketingplatform, een CRM-systeem zoals HubSpot, een ticketsysteem, een facturatiedienst en een agendatool. Voor elk van deze bronnen is een expliciete autorisatie vereist in het SPF-record en de DKIM-configuratie. Elk van deze bronnen genereert vermeldingen in de geaggregeerde DMARC-rapporten. Bij grote organisaties kunnen die rapporten dagelijks duizenden rijen bevatten, afkomstig van tientallen verzendbronnen.

Dit volume zorgt voor ruis, en phishing-aanvallers maken daar bewust misbruik van. Wanneer uit de geaggregeerde DMARC-gegevens van een organisatie blijkt dat er veertig geautoriseerde afzenders zijn, daalt de signaal-ruisverhouding voor het opsporen van een afwijkende bron aanzienlijk. Spoofingverkeer met een laag volume – een paar honderd berichten per dag afkomstig van een kwaadwillende bron – kan onopgemerkt blijven in de rapportagegegevens van een drukke verzendomgeving van een onderneming, zonder dat er automatische waarschuwingen worden geactiveerd.

Zichtbare e-mailheaders

Legitieme e-mails die vanaf het doeldomein worden verzonden, vormen een van de nuttigste bronnen van informatie over de omgeving van de afzender waarover een phishing-aanstichter beschikt. Marketingnieuwsbrieven, abonnementen op persberichten, bevestigingen van sollicitaties en klantmeldingen bevatten allemaal e-mailheaders die inzicht geven in de gebruikte verzendinfrastructuur: de mail transfer agent, de DKIM-selector en het ondertekeningsdomein, het Return-Path-domein en de authenticatieresultaten die door de ontvangende server zijn geregistreerd.

Een aanvaller die zich inschrijft op de marketinglijst van een doelorganisatie krijgt kosteloos en zonder dat dit opvalt een gedetailleerd beeld van de authenticatieconfiguratie van die organisatie. Deze informatie is direct van invloed op de opzet van de phishingcampagne: welke afzender moet worden nagebootst, welke headers moeten worden vervalst en via welke authenticatielekken het bericht waarschijnlijk zal worden doorgelaten.

Fase 4: Validatie van de doelgroep vóór de lancering

Zodra een domein in kaart is gebracht, voeren phishing-aanstichters aanvullende controles uit voordat ze een campagne starten, om zo het succes te maximaliseren en verspilling van infrastructuur te minimaliseren.

Verificatie van het e-mailadres

Operators controleren of de e-mailadressen van de doelgroep actief zijn en toebehoren aan personen met een hoge beslissingsbevoegdheid – leidinggevenden, leden van het financiële team, iedereen met toegang tot gevoelige systemen of de bevoegdheid om betalingen goed te keuren. Het verzenden naar ongeldige adressen leidt tot hoge bouncepercentages, wat kan leiden tot een hogere spamscore voor de verzendinfrastructuur en het risico op detectie vergroot, nog voordat de campagne haar daadwerkelijke doelgroep bereikt.

E-mailadressen worden vaak verzameld via LinkedIn, bedrijfswebsites, datasets uit datalekken en eerdere campagnes. Tools zoals theHarvester automatiseren dit inventarisatieproces voor een bepaald domein, waarbij ze e-mailadressen van medewerkers halen uit zoekresultaten van zoekmachines, sociale media en openbare adreslijsten.

Opstarten van de verzendinfrastructuur

De meeste grote e-mailproviders beschouwen de verzendgeschiedenis als een vertrouwensindicator. Een pas geregistreerd domein zonder verzendgeschiedenis loopt een veel grotere kans om door reputatiefilters te worden gesignaleerd dan een gevestigd domein. Daarom registreren phishing-aanstichters vaak weken of maanden vóór een campagne domeinen die op bestaande domeinen lijken, en voeren ze op kleine schaal verzendactiviteiten uit om een basisreputatie op te bouwen voordat ze hun activiteiten opschalen.

De opstartfase is bedoeld om dezelfde reputatiecontroles te doorstaan die legitieme afzenders gebruiken bij het aanmelden van nieuwe domeinen. Van buitenaf gezien lijkt de infrastructuur op een nieuw bedrijf of een nieuwe dienst die net begint met het versturen van e-mail. Tegen de tijd dat de campagne van start gaat, heeft het domein de eerste reputatiefilters doorstaan.

Constructie van homoglyfen en op elkaar lijkende domeinen

Volgens het Domain Security Report van CSC is 88% van de homoglyf-domeinen die gericht zijn op grote merken in handen van derden. Bij deze domeinen worden bijna identieke tekens vervangen of toegevoegd om een snelle visuele controle te doorstaan – bijvoorbeeld „arnazon.com“ in plaats van „amazon.com“, of Unicode-tekens die in de meeste e-mailprogramma’s identiek worden weergegeven als Latijnse letters.

Er worden ook lookalike-domeinen gecreëerd om de weergavenaam te vervalsen – waarbij de From-header een vertrouwde naam weergeeft, maar het daadwerkelijke verzendende domein een lookalike is. Deze techniek omzeilt DMARC volledig, aangezien DMARC alleen het domein in de From-header verifieert aan de hand van SPF en DKIM, en niet de weergavenaam. Dit is een van de redenen waarom het afdwingen van DMARC op zich, hoewel essentieel, niet de enige benodigde beveiligingslaag is.

Phishing-verkenning omzetten in een verdedigingsvoordeel

Elk signaal waarnaar bij phishing-verkenning wordt gezocht, is een signaal dat uw beveiligingsteam met dezelfde algemeen beschikbare tools kan controleren en monitoren. Het doel is ervoor te zorgen dat wanneer een aanvaller uw domein in kaart brengt, hij niets vindt dat de moeite waard is om aan te vallen: volledige handhaving van authenticatie, een gedocumenteerde afzenderomgeving en geen verlaten subdomeinen.

Controleer het DMARC-beleid voor alle domeinen en subdomeinen

Begin met het opvragen van de DMARC-records voor je primaire domein en elk subdomein dat je kunt identificeren. Elk domein dat nog steeds op p=none staat en al langer dan een paar maanden actief is, heeft prioriteit. De overgang van p=none naar p=reject hoeft niet van de ene op de andere dag te gebeuren, maar moet wel volgens een vast tijdschema verlopen – het mag niet voor onbepaalde tijd in de monitoringmodus blijven staan.

Stel de DMARC sp-tag expliciet zo in dat de handhaving wordt uitgebreid naar subdomeinen. Inactieve subdomeinen zonder legitiem verzendverkeer moeten onmiddellijk worden ingesteld op p=reject. Er is geen reden om de handhaving op none te laten staan voor een domein dat niets verzendt.

Controleer en verbeter je SPF-record

Voer een SPF-recordcontrole uit op je domein en controleer of elke vermelde afzender nog steeds actief wordt gebruikt en correct is geautoriseerd. Verander eventuele ~all-kwalificaties in -all als je verzendomgeving stabiel en volledig gedocumenteerd is. Als je record de limiet van tien DNS-lookups nadert of overschrijdt, los dit dan op met SPF-flattening – een SPF-record dat de limiet overschrijdt, faalt volledig, wat voor de bezorgbaarheid slechter is dan helemaal geen record, en het is een verkeerde configuratie die aanvallers kunnen opmerken.

Breng uw volledige afzenderomgeving in kaart en houd deze in de gaten

Gebruik de geaggregeerde DMARC-rapporten om een volledig overzicht op te stellen van alle afzenders die e-mails versturen die zogenaamd afkomstig zijn van uw domein. Elke afzender die in de rapporten voorkomt en niet op uw lijst met geautoriseerde afzenders staat, is ofwel een legitieme dienst die verkeerd is geconfigureerd, ofwel een ongeautoriseerde afzender. Beide gevallen moeten worden aangepakt.

In de meeste organisaties worden voortdurend nieuwe SaaS-tools en -integraties geïmplementeerd. Dit betekent dat de afzenderomgeving niet statisch is. Een inventarisatie die drie maanden geleden nog klopte, kan vandaag al achterhaald zijn. Beschouw het in kaart brengen van de afzenderomgeving als een terugkerend proces, niet als een eenmalige exercitie.

Maak een overzicht van je eigen subdomeinen

Gebruik crt.sh en passieve DNS-tools om hetzelfde beeld van de voetafdruk van je domein te krijgen als een aanvaller zou hebben. Alles wat u aantreft dat niet wordt bewaakt, niet is geauthenticeerd of een dangling DNS-record heeft, moet onmiddellijk worden aangepakt. Voor lookalike- en homoglyph-domeinen kunnen tools voor domeinspoofingbescherming en merkmonitoring deze aan het licht brengen voordat ze in een actieve campagne worden gebruikt. Voor uw eigen domeinen is het de moeite waard om de verborgen beveiligingsrisico's van meerdere domeinen en subdomeinen te beoordelen als uitgangspunt voor een volledige domeinaudit.

Wat aanvallers ontdekken wanneer ze uw domein verkennen met het oog op phishing

Het volledige, hierboven beschreven verkenningproces bij phishing – het controleren van de authenticatiestatus, het in kaart brengen van de subdomeinen, het analyseren van de omgeving van de afzender en het valideren van doelwitten – kost een ervaren aanvaller minder dan een uur met behulp van gratis tools. Een DMARC-checker, een SPF-lookup, crt.sh en een WHOIS-zoekopdracht zijn voldoende om te bepalen of uw domein de moeite waard is om aan te vallen.

De organisaties die het moeilijkst aan te vallen zijn, zijn die waarbij die verkenning niets bruikbaars oplevert: een DMARC-beleid met p=reject en dekking voor subdomeinen, een correct SPF-record dat eindigt op -all, gedocumenteerde DKIM-ondertekening voor alle verzendbronnen, en geen verlaten subdomeinen met open authenticatiegaten. Wanneer de verkenning van een aanvaller een domein aantreft dat deze deuren heeft gesloten, gaat hij verder. Dat is het doel.

• Over
• Laatste berichten

Ahona Rudra

Expert domein- en e-mailbeveiliging bij PowerDMARC

Ahona is marketingmanager bij PowerDMARC en heeft meer dan vijf jaar ervaring met het schrijven over cybersecurity, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een masterdiploma in journalistiek en communicatie, en heeft sinds 2019 haar carrière in de beveiligingssector verder uitgebouwd.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)

• Phishing-verkenning: hoe aanvallers kwetsbare domeinen opsporen en als doelwit kiezen - 24 juni 2026
• Hoe u een hoogpresterend cyberbeveiligingsteam voor uw bedrijf opbouwt - 23 juni 2026
• Beveiliging van HR-e-mail en salarisadministratie: beste praktijken voor internationale teams - 22 juni 2026