E-mailspoofing is een cybermisdaad waarbij een kwaadwillende actor het 'Van'-adres van een e-mailheader vervalst om zich voor te doen als een legitieme afzender. Wanneer een e-mail wordt verzonden, geeft het 'Van'-adres niet automatisch de server weer waarvan de e-mail afkomstig is, maar het domein dat is ingevoerd tijdens het maken van het adres. Dit maakt het erg moeilijk om spoofing te detecteren zonder specifieke antispoofingmaatregelen, wat bijdraagt aan het succes van deze aanvallen.
Spoofing wordt vaak gebruikt door cyberactoren voor spamming en phishing, waarbij het aantal phishing-incidenten naar verluidt met 220% is gestegen ten opzichte van de jaarlijkse gemiddelden tijdens grote wereldwijde gebeurtenissen zoals de pandemie. Phishing is een frauduleuze poging om gevoelige informatie te verkrijgen, zoals gebruikersnamen, wachtwoorden, creditcardgegevens (inclusief pincodes), vaak voor kwaadaardige doeleinden; de term zelf roept de associatie op met 'hengelen' naar een slachtoffer door betrouwbaarheid te veinzen. Deze vervalste e-mails bevatten vaak schadelijke koppelingen of bijlagen die zijn ontworpen om slachtoffers te verleiden tot het verstrekken van dergelijke gevoelige gegevens. Ze kunnen slachtoffers ook manipuleren om malware of virussen te downloaden en kunnen een vector zijn voor de levering van ransomware.
Belangrijkste opmerkingen
- E-mailspoofing vervalst afzenderadressen om zich voor te doen als betrouwbare bronnen, waardoor phishing, malwaredistributie en aanzienlijke financiële/reputatieschade mogelijk worden.
- Een robuuste verdediging bestaat uit meerdere lagen: implementeer e-mailverificatie (SPF, DKIM, DMARC, BIMI), gebruik e-mailfilters, beveiligde gateways en geef voorlichting aan werknemers.
- Goed beheer van SPF-records (binnen de opzoeklimieten blijven, IP-lijsten bijwerken) en handhaving van DMARC (p=afwijzen/quarantaine) zijn cruciaal voor de effectiviteit van authenticatie.
- Aanvallers gebruiken verschillende technieken, waaronder vervalsing van weergavenamen, legitieme domeinen (via SMTP-kwetsbaarheden) en lookalike domeinen om ontvangers te misleiden.
- Personen kunnen helpen bij het detecteren van vervalste e-mails door afzendergegevens te onderzoeken, te controleren op ongebruikelijke inhoud/links en verdachte verzoeken via aparte kanalen te verifiëren.
Hoe stop je spoofing e-mails?
1. E-mailverificatieprotocollen implementeren
Naast de drie kernprotocollen dragen ook andere protocollen zoals MTA-STS (SMTP MTA Strict Transport Security) en TLS-RPT (TLS Reporting) bij aan een veiliger e-mailecosysteem door encryptie af te dwingen en rapporten te leveren over problemen met TLS-verbindingen.
- SPF (Sender Policy Framework): Een van de basisprincipes van e-mailauthenticatieprotocollen. Wanneer het gebruikt wordt naast DKIM en DMARC, helpt het spoofing van e-mails te voorkomen. SPF records hebben een limiet van 10 DNS lookups, ontworpen om de kosten voor het verwerken van elke e-mail laag te houden. Hoewel het configureren van SPF vaak eenvoudig is, is het onderhouden ervan een uitdaging. Er is een aanzienlijk risico op het overschrijden van deze 10 DNS lookup limiet, vooral wanneer je meerdere e-mailverzenders van derden gebruikt. Als deze limiet wordt overschreden, breekt SPF, kunnen legitieme e-mails niet worden geverifieerd en wordt je domein kwetsbaarder voor spoofing en BEC-aanvallen (Business Email Compromise).
- DKIM (DomainKeys Identified Mail): Een e-mailverificatieprotocol om alle uitgaande berichten te ondertekenen om geknoei met e-mail te helpen voorkomen. Door DKIM te gebruiken, kan de integriteit van uw uitgaande e-mail worden behouden, wat helpt in de strijd tegen spoofing-aanvallen.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): DMARC is een e-mailverificatieprotocol waarmee organisaties zichzelf kunnen beschermen tegen spoofing- en phishingaanvallen. Het werkt als een laag bovenop SPF en DKIM, waardoor domeineigenaars een beleid kunnen publiceren voor hoe ontvangende mailservers moeten omgaan met berichten die niet voldoen aan de SPF of DKIM authenticatie en uitlijningscontroles. Dit helpt e-mailontvangers te herkennen wanneer een e-mail niet legitiem afkomstig is van de goedgekeurde domeinen van een bedrijf en geeft instructies (bijv. quarantaine, afwijzen) over hoe ze dergelijke ongeautoriseerde e-mails veilig kunnen verwijderen.
Stop gespoofde e-mails met PowerDMARC!
2. Controleer regelmatig e-mailverkeer
Houd uw e-mailverkeer en verzendbronnen in de gaten door de DMARC-rapporten. Deze uitgebreide rapporten geven een grondig overzicht van uw e-mailkanalen, domeinactiviteit, e-mailheaders en berichtbronnen. Ze kunnen helpen bij het snel detecteren van pogingen tot spoofing op uw domein, zodat u onmiddellijk actie kunt ondernemen.
Het lezen van deze rapporten kan echter een uitdaging zijn. Door de ingewikkelde XML-indeling van ruwe DMARC-rapporten zijn ze voor niet-technische gebruikers vaak moeilijk te ontcijferen. We raden aan een DMARC-rapportanalyser te gebruiken om deze rapporten in een voor mensen leesbare indeling te parsen. Dit neemt de technische complexiteit weg, waardoor ze voor iedereen gemakkelijk te begrijpen zijn.
Er zijn ook hulpprogramma's beschikbaar waarmee je per e-mail naar personen kunt zoeken. Dit kan helpen om meer details over de afzender te ontdekken en inzichten te verschaffen om deze aanvallen effectief te stoppen.
3. Anti-spoofing e-mailfilters gebruiken
Antispoofingfilters analyseren inkomende e-mails op verdachte kenmerken en tekenen van spoofing. Deze kunnen bestaan uit onjuiste verzendadressen, phishing-handtekeningen, schadelijke e-mailbijlagen, enz. De filters moeten worden toegepast in uw e-mailclients en -services en correct worden geconfigureerd om te voorkomen dat gespoofde e-mails uw Postvak IN bereiken.
4. Een aangepast "Van"-adres instellen
Stel een aangepast "Van"-adres in waarvoor e-mailverificatieprotocollen zoals SPF, DKIM en DMARC zijn ingeschakeld. Deze voorkomen dat onbevoegde afzenders misbruik maken van je domein en tokens ondertekenen namens jou. Om e-mailspoofing te voorkomen, moet het domein van je bedrijf een afgedwongen DMARC-beleid van "quarantaine" of "afwijzen".
5. Werknemers informeren over e-mailbeveiliging
Uw werknemers zijn de zwakste schakel in uw organisatie, die uw domein onbedoeld kunnen blootstellen aan spoofing. Het opleiden van uw werknemers kan deze zwakke schakel veranderen in de sterkste verdediging tegen e-mailfraude! Gratis e-mail beveiligingscursussen bieden veel inzicht in aanvalsvectoren, best practices en waarschuwingssignalen, zodat uw werknemers goed geïnformeerd en waakzaam blijven.
6. BIMI (Brand Indicators for Message Identification) implementeren
BIMI is een functie voor visuele e-mailbeveiliging die een afgedwongen DMARC-beleid vereist om je merklogo direct in de inbox van ontvangers weer te geven naast je geverifieerde berichten. Door het logo van een merk op e-mails aan te brengen, schept BIMI vertrouwen en geloofwaardigheid. Als een aanvaller een e-mail verstuurt die van uw domein afkomstig lijkt te zijn, maar niet door DMARC (en dus ook niet door BIMI) is gevalideerd, wordt uw logo niet in de e-mail weergegeven, waardoor ontvangers gemakkelijker kunnen zien dat het om een vervalsing gaat. Dit helpt niet alleen spoofing te voorkomen, maar verhoogt ook de merkherkenning telkens wanneer een legitieme e-mail wordt ontvangen. Om BIMI goed te configureren, heeft je domein een DMARC-beleid nodig(p=quarantine of p=reject) en een BIMI-compliant SVG-logo.
7. Oplossingen voor e-mailgateways benutten
E-mailgateways filteren phishing-e-mails om de beveiliging van inkomende e-mail te verbeteren. Deze gateways combineren kunstmatige intelligentie, sandboxing en bedreigingstechnologieën om actief e-mailbedreigingen te detecteren en te voorkomen.
Hoe vervalsen hackers je e-mailadres?
Als je antwoord op de vraag 'Word ik gespoofed' bevestigend is, dan moet je weten hoe acteurs van bedreigingen je misleiden. Zo ben je de volgende keer voorzichtiger.
Spoofing is mogelijk omdat het Simple Mail Transfer Protocol (SMTP) standaard niet inherent valideert dat het afzenderadres in een e-mail legitiem is; uitgaande e-mailservers hebben vaak geen manier om te zien of het echt of vervalst is. Aanvallers maken hier misbruik van door de e-mailsyntax te vervalsen, soms met behulp van scripts of door API's van e-mailclients te manipuleren om het afzenderadres te configureren. Hierdoor kunnen ze duizenden valse berichten versturen vanuit wat een authentiek e-maildomein lijkt, vaak zonder dat ze veel programmeerkennis nodig hebben. Hier zijn enkele veelgebruikte methoden:
Spoofing via weergavenaam
Hierbij wordt alleen de weergavenaam van de e-mailafzender vervalst door een nieuw e-mailaccount aan te maken met dezelfde naam als het contact dat wordt geïmiteerd. Het weergegeven e-mailadres van de afzender is echter anders.
Deze e-mails worden niet als spam bestempeld omdat ze er legitiem uitzien.
Spoofing via legitieme domeinen
Bij deze methode gebruiken kwaadwillenden een vertrouwd e-mailadres in de 'Van'-header (bijvoorbeeld - [email protected]). In dit geval worden zowel de displaynaam als het e-mailadres vervalste details weergegeven.
Hackers kapen geen intern netwerk, maar maken gebruik van het Simple Mail Transfer Protocol (SMTP) om handmatig 'Van' en 'Naar' adressen op te geven.
Spoofing via Lookalike-domeinen
Als een domein beschermd is, is het niet mogelijk om domeinen te spoofen. Daarom moeten spoofers een domein creëren dat er hetzelfde uitziet. Bijvoorbeeld door 0 (nul) te gebruiken in plaats van O (de 15e letter van het Engelse alfabet). Zeg, in plaats van www.amazon.com, kunnen ze www.amaz0n.com maken.
De truc werkt omdat de meeste ontvangers zulke kleine spellingswijzigingen niet opmerken.
De tekenen van spoofing herkennen
Tekenen van gespoofde e-mails
Je moet op je hoede zijn als:
- je e-mails ziet in je 'verzonden box' die niet door jou zijn verzonden.
- je antwoorden ontvangt op e-mails die niet door jou zijn gestart.
- je wachtwoord is veranderd en dat is niet door jou gedaan.
- mensen ontvangen frauduleuze e-mails in jouw naam.
Tips voor ontvangers om gespoofde e-mails te herkennen
Hoewel organisaties technische verdedigingsmechanismen implementeren, spelen individuen ook een rol bij het herkennen van potentieel schadelijke e-mails. Wees voorzichtig als u een e-mail ontvangt en dit opmerkt:
- Afzenderinformatie komt niet overeen: Controleer de domeinnaam van de afzender zorgvuldig. Ziet deze er niet helemaal goed uit (bijvoorbeeld "example.co" in plaats van "example.com") of compleet anders dan wat je verwacht?
- Slechte grammatica en typefouten: Veel phishingmails bevatten merkbare spelfouten of grammaticale fouten.
- Verdachte koppelingen of bijlagen: Beweeg met de muis over links (zonder te klikken!) om de werkelijke bestemmings-URL te zien. Wees op je hoede voor onverwachte bijlagen, vooral van onbekende afzenders.
- Dringende of bedreigende taal: E-mails die een vals gevoel van urgentie of angst creëren om onmiddellijke actie af te dwingen, zijn een veelgebruikte tactiek.
- Verzoeken om gevoelige informatie: Legitieme organisaties vragen zelden om wachtwoorden, sofinummers of volledige creditcardgegevens via e-mail.
- Algemene begroetingen: E-mails die beginnen met "Beste klant" in plaats van je naam kunnen een rode vlag zijn, hoewel niet altijd definitief.
- Als u het niet zeker weet, klik dan niet op koppelingen en open geen bijlagen. Neem contact op met de vermeende afzender via een bekend, afzonderlijk communicatiekanaal (bijv. hun officiële website of telefoonnummer) om de echtheid van de e-mail te verifiëren of rapporteer de e-mail aan uw IT-afdeling.
Hoe gespoofde e-mails schadelijk kunnen zijn
Gespoofde e-mails zijn als de doos van Pandora, aangezien een hoog percentage van cyberaanvallen (sommige onderzoeken suggereren meer dan 70%) begint met een kwaadaardige e-mail en bij veel datalekken social engineering-tactieken zoals spoofing worden gebruikt. Ze kunnen een hoop ellende veroorzaken, met gevaarlijke gevolgen zoals:
- Spoofing kan leiden tot phishingmails die namens jou worden verzonden om gevoelige informatie te stelen, zoals inloggegevens en creditcardgegevens.
- Spoofing kan leiden tot BEC-aanvallen. Cybercriminelen doen zich voor als legitieme bedrijfsleiders om geld over te maken of vertrouwelijke informatie te delen.
- Gespoofde e-mails kunnen leiden tot de verspreiding van malware en spyware en tot aanvallen met ransomware.
- Herhaalde spoofingaanvallen op uw domein kunnen leiden tot aanzienlijke reputatieschade en een verminderd vertrouwen in uw merk, waardoor klanten mogelijk aarzelen om zelfs legitieme e-mails te openen. Dit kan ook inhouden dat handelsmerken of intellectueel eigendom worden geschonden. Dergelijke aanvallen kunnen leiden tot aanzienlijke financiële verliezen voor organisaties.
- Voortdurende succesvolle spoofingpogingen kunnen leiden tot identiteitsdiefstal en onbevoegde toegang tot accounts.
- Organisaties die er niet in slagen hun e-maildomeinen te beveiligen, kunnen boetes opgelegd krijgen of juridische gevolgen ondervinden van verschillende compliance-raamwerken.
- Gespoofde e-mails gericht op leveranciers of verkopers kunnen zakelijke relaties in gevaar brengen, wat kan leiden tot frauduleuze transacties, datalekken of operationele verstoringen.
Wat moet ik doen als mijn domein wordt gespooft?
Als je vermoedt dat je e-mailadres is gebruikt in een spoofingaanval, kun je de onderstaande best practices volgen voor het afhandelen van incidenten met domain spoofing:
- DMARC-rapporten controleren op pogingen tot spoofing
- Je DMARC-beleid versterken (bijvoorbeeld van geen naar quarantaine of weigeren)
- Stel alle betrokken gebruikers en interne teams op de hoogte
- Meld incidenten met spoofing aan uw e-mailprovider of beveiligingsteams
- Tools gebruiken om pogingen tot spoofing op te sporen en te analyseren
Best Practices om e-mailspoofing te vermijden
Enkele beproefde best practices die u kunnen helpen e-mailspoofing te voorkomen, zijn de volgende:
Bewustmaking van werknemers
Werknemers spelen een cruciale rol in het voorkomen van e-mail spoofing, omdat zij vaak de eerste verdedigingslinie zijn tegen aanvallen. Organisaties moeten trainingen aanbieden over het herkennen van phishingpogingen, het verifiëren van afzendergegevens en het gepast reageren op verdachte e-mails. Door werknemers te leren waar ze op moeten letten en hoe ze moeten reageren op pogingen tot spoofing, kan het risico om slachtoffer te worden van deze aanvallen aanzienlijk worden verkleind.
Nauwkeurige afzenderlijsten (SPF Records) onderhouden
Controleer en update je SPF-record regelmatig om er zeker van te zijn dat er alleen IP-adressen en externe leveranciers in staan die momenteel geautoriseerd zijn om namens jou e-mails te versturen. Als u de services met een leverancier beëindigt, verwijder dan onmiddellijk hun IP-adressen uit uw SPF-record. Met een verouderd record kan het systeem van een gecompromitteerde ex-verkoper worden gebruikt voor het verzenden van gespoofde e-mails die door de SPF-controles voor uw domein komen.
Praktische tips voor e-mailbeveiliging implementeren
Moedig gebruikers aan om bijlagen van onbekende afzenders niet te openen, te controleren op inconsistenties in e-mailadressen en verdachte berichten te rapporteren. Deze kleine maar effectieve gewoontes kunnen het risico op spoofingaanvallen minimaliseren.
Rapporten over niet-aflevering (NDR's) uitschakelen
Het voorkomen van NDR's van spam of gespoofde e-mails zorgt ervoor dat aanvallers geen feedback ontvangen waarmee ze hun tactieken kunnen verfijnen. Deze eenvoudige stap kan de blootstelling aan toekomstige pogingen tot spoofing verminderen.
Hulpmiddelen tegen e-mailspoofing
Er zijn verschillende hulpmiddelen die je kunt gebruiken in de strijd tegen spoofing. Deze zijn:
SPF-afvlakkingstools
SPF-records kunnen breken als gevolg van te veel DNS-lookups. Dit kan voorkomen worden door gebruik te maken van SPF flattening tools met SPF macro's optimalisatiemogelijkheden. Terwijl traditionele of dynamische flattening oplossingen tijdelijke verlichting kunnen bieden, kunnen geavanceerde SPF flattening tools, die vaak gebruik maken van SPF macro's, effectiever zijn. Sommige tools bieden ook functies zoals periodieke controles om te controleren op wijzigingen in IP-adressen door je e-mailserviceproviders, waardoor je SPF-record accuraat en up-to-date blijft.
DMARC XML-lezers
DMARC-rapporten worden verzonden in XML-indeling, die moeilijk handmatig te interpreteren kan zijn. DMARC XML-lezers parseren deze rapporten in een gemakkelijk te lezen formaat en geven inzicht in authenticatiefouten, onbevoegde afzenders en pogingen tot domain spoofing. Dit helpt organisaties bij het bewaken van hun e-mailbeveiliging en het nemen van corrigerende maatregelen.
Oplossingen voor e-mailbeveiliging van derden
Geavanceerde oplossingen voor e-mailbeveiliging maken gebruik van geavanceerde AI-gestuurde Threat Intelligence om aanvalspatronen en -trends te detecteren en te voorspellen. Deze nieuwere technologieën kunnen spoofing e-mails voorkomen nog voordat ze de inbox kunnen bereiken! PowerDMARC gebruikt bijvoorbeeld voorspellende analyse van bedreigingsintelligentie om op e-mail gebaseerde cyberbedreigingen te voorspellen voordat ze beginnen.
Laatste woorden
Hoewel e-mailspoofing een van de meest hardnekkige bedreigingen in de cyberwereld is, kunnen bedrijven de juiste tools en strategieën implementeren om het te voorkomen. Door consequente controle, het volgen van best practices voor e-mailverificatie en het investeren in tools tegen spoofing, kan een groot deel van het risico worden beperkt.
Door e-mail spoofing te voorkomen, kunt u uw merk beschermen tegen grootschalige financiële verliezen en het volgende grote datalek. Het is tijd om proactief te worden door u aan te melden voor een gratis DMARC proefversieen begin uw domeinen te beschermen tegen spoofing!