Een imitatieaanval is een poging om ongeautoriseerde toegang te krijgen tot informatiesystemen door zich voor te doen als geautoriseerde gebruikers. Deze identiteitsgebaseerde aanvallen zijn specifiek gericht op en compromitteren de digitale identiteiten van personen of organisaties, waarbij kwetsbaarheden met betrekking tot identiteits- en toegangsbeheer worden uitgebuit om informatie zoals gebruikersnamen, wachtwoorden of persoonlijke gegevens te stelen, fraude te plegen of andere kwaadaardige activiteiten uit te voeren.
Volgens Beveiliging Magazineis er een duizelingwekkende toename van 131% in Whaling en imitaties van leidinggevenden tussen Q1 2020 en Q1 2021, waarbij 55% van de cyberbeveiligingsprofessionals zegt dat een leidinggevende van hun bedrijf is nagemaakt. Verder blijkt uit het rapport "Trends in het beveiligen van digitale identiteiten" voor 2023 rapport van de Identity Defined Security Alliance (IDSA) blijkt dat maar liefst 90% van de organisaties het afgelopen jaar te maken heeft gehad met ten minste één inbreuk in verband met digitale identiteiten. Deze aanvallen hebben bedrijven vorig jaar alleen al 1,8 miljard dollar aan verliezen gekost, en het niet beschermen van klantgegevens kan leiden tot hoge boetes en kostbare rechtszaken, zoals blijkt uit zaken als de schikking van 575 miljoen dollar die Equifax trof na een inbreuk.
Het probleem is zo wijdverbreid dat 1 op de 3.226 e-mails die een leidinggevende ontvangt (eens in de 24 dagen) een poging tot imitatie is.
In dit artikel leggen we alles uit wat je moet weten over een imitatieaanval, de soorten aanvallen, hoe je ze kunt detecteren en hoe je je organisatie ertegen kunt verdedigen.
Belangrijkste opmerkingen
- Bij imitatieaanvallen, een belangrijke vorm van identiteitsgebaseerde cyberbedreigingen, wordt social engineering gebruikt om vertrouwde entiteiten na te bootsen voor onbevoegde toegang of fraude.
- Deze aanvallen, die onlangs 90% van de organisaties hebben getroffen, vormen een aanzienlijk financieel, reputatieschade en juridisch risico en vereisen dringend aandacht.
- Tactieken variëren van het vervalsen van e-mails en valse domeinen (phishing) tot het misbruiken van hergebruikte wachtwoorden (credential stuffing) en het onderscheppen van communicatie (MitM).
- Waakzaamheid tegen verdachte signalen (urgentie, vreemde verzoeken, onjuiste e-mails) en een gedegen gebruikerstraining zijn vitale eerste verdedigingslinies.
- Een meerlaagse technische verdediging, inclusief sterke authenticatie (MFA), e-mailverificatie (DMARC), regelmatige patching en mogelijk een Zero Trust-model, is essentieel voor bescherming.
Wat is een imitatieaanval?
Een Impersonation Attack is een vorm van Social Engineering waarbij een aanvaller zich voordoet als iemand anders of zich voordoet als een legitieme gebruiker (of groep gebruikers) om toegang te krijgen tot informatie waartoe hij niet bevoegd is, identiteitsgegevens te stelen, fraude te plegen of andere kwaadaardige activiteiten uit te voeren.
Bij dit type aanval gebruikt de aanvaller vaak social engineering-technieken, waarbij de menselijke psychologie en het vertrouwen worden gemanipuleerd, om informatie over het systeem en/of doelwit te verkrijgen, zoals zich voordoen als een lid van de IT-afdeling en vragen om inloggegevens. Deze aanvallen worden steeds geavanceerder en maken gebruik van geavanceerde technieken en gerichte informatievergaring.
Aanvallen via imitatie kunnen persoonlijk, telefonisch of online plaatsvinden. En kunnen catastrofaal zijn als ze niet worden ontdekt.
Bescherm uzelf tegen aanvallen van impersonatie met PowerDMARC!
Hoe wordt een imitatieaanval uitgevoerd?
Bij impersonatie doet een kwaadwillende zich voor als een legitieme gebruiker of dienst om toegang te krijgen tot beschermde informatie. Impersonatieaanvallen zijn eenvoudig uit te voeren en kunnen zeer schadelijk zijn, afhankelijk van het type gegevens dat de aanvaller probeert te bemachtigen, wat kan leiden tot aanzienlijke financiële verliezen of reputatieschade.
Een aanvaller hoeft alleen maar genoeg informatie te verzamelen over een legitieme gebruiker of dienst om anderen te laten denken dat ze zijn wie ze zeggen dat ze zijn. De aanvaller zal dan proberen om zijn doelwit (of doelwitten) gevoelige informatie te laten onthullen die anders beschermd zou zijn door beveiligingsmaatregelen.
In veel gevallen gebruiken aanvallers e-mail of andere vormen van communicatie om zich voor te doen als iemand anders. Ze sturen e-mails die doen alsof ze iemand anders zijn (bekend als spoofing), waaronder phishingmails met koppelingen die malware downloaden naar het systeem van een nietsvermoedende gebruiker.
Een andere methode die wordt gebruikt door aanvallers staat bekend als whaling; hierbij wordt de identiteit van een manager of eigenaar gestolen en worden e-mails verstuurd waarin werknemers worden gevraagd geld over te maken of andere gevoelige informatie te verstrekken. Omdat de e-mail afkomstig lijkt te zijn van iemand met een gezaghebbende positie, zullen veel werknemers de instructies zonder vragen opvolgen.
Hoe worden imitatieaanvallen gepland?
Om een plan te maken voor een imitatieaanval, moeten hackers eerst informatie verzamelen over hun doelwit. Vaak gebruiken ze openbaar beschikbare informatie, zoals profielen op sociale media en de openbaar beschikbare informatie op de website van het bedrijf. De hackers kunnen deze informatie gebruiken om een realistische persona te creëren en beginnen te communiceren met werknemers van het doelbedrijf.
De hacker neemt contact op met de werknemers via methoden die in lijn zijn met wat van deze persona wordt verwacht. De hacker kan werknemers e-mailen, sms'en of bellen met een vals zakelijk e-mailadres of telefoonnummer dat zo veel mogelijk overeenkomt met het echte e-mailadres of telefoonnummer van het bedrijf - het verschil is er, maar het is bijna onzichtbaar voor het blote oog.
Dit geeft de werknemer het gevoel dat hij of zij contact heeft met een bekende in de organisatie.
Hier is een voorbeeld van e-mailimitatie: Zoals je hierboven kunt zien, zijn de verschillen tussen de twee e-mails subtiel en gemakkelijk te missen, vooral als je honderden e-mails per dag krijgt. |
Zodra de hacker het vertrouwen van de werknemer heeft gewonnen, stuurt hij hem een e-mail die van een authentieke bedrijfsbron afkomstig lijkt te zijn. Deze e-mails bevatten vaak links naar websites die om persoonlijke informatie vragen of actie van de werknemer vereisen (bijv. bestanden downloaden). Deze websites en bestanden zijn geïnfecteerd met malware waarmee hackers toegang kunnen krijgen tot gegevens, persoonlijke informatie kunnen stelen of andere cyberaanvallen op het bedrijfsnetwerk kunnen uitvoeren.
Valse afzenderadressen zoals deze worden afgewezen door een strikt DMARC-beleidDit kun je voor je e-mails gebruiken om beschermd te blijven tegen aanvallen van imitatie.
Enkele veelvoorkomende aanvalstactieken voor imitaties
Er zijn verschillende manieren waarop aanvallers kunnen proberen om zich voor te doen als jou of iemand die je kent. Hier zijn enkele veelvoorkomende tactieken:
1. Aanval met gratis e-mailaccount
De aanvaller gebruikt een gratis e-mailservice om berichten te versturen vanaf een e-mailadres dat lijkt op het e-mailadres dat het doelwit gebruikt. Deze tactiek kan worden gebruikt om mensen te overtuigen een kwaadaardige website te bezoeken, malware te downloaden of informatie te verstrekken zoals wachtwoorden of creditcardnummers.
2. Neven-domein aanval
Bij de Cousin Domain Attack maakt de aanvaller een website die er bijna identiek uitziet als de website van je bank, maar bijvoorbeeld eindigt op .com in plaats van .org of .net. Vervolgens sturen ze e-mails vanaf deze valse site: als mensen op links in deze e-mails klikken, worden ze naar de valse site gebracht in plaats van naar de site van hun echte bank.
3. Aanval met vervalste enveloppenafzender
De aanvaller maakt een e-mail met een afzenderadres dat lijkt te komen van een bekend bedrijf, zoals "[email protected]". Omdat dit adres er legitiem uitziet, omzeilt het de meeste filters van mailservers. De aanvaller richt zich vervolgens met zijn bericht op slachtoffers en lokt ze zo dat ze op koppelingen klikken of bijlagen openen waardoor malware hun computers kan infecteren.
4. Val de afzender van de vervalste header aan
Een header-afzenderaanval is een vorm van e-mailspoofing die kan worden gebruikt om mensen te laten geloven dat een bericht is verzonden door iemand anders dan de echte bron. Bij dit type aanval wordt het veld "afzender" in de header van een e-mail gewijzigd zodat er een ander adres in staat dan degene die het bericht daadwerkelijk heeft verzonden. Dit kan worden gedaan door de velden "Van:" of "Return-Path:" of beide te wijzigen. Het doel van deze aanvallen is om het te laten lijken alsof een e-mail door iemand anders is verzonden, zoals een zakenpartner of vriend, zodat ontvangers berichten openen van iemand die ze kennen.
5. Aanval op aangetaste e-mailaccounts
Bij deze aanval krijgt een aanvaller toegang tot een legitiem e-mailaccount en gebruikt dat account vervolgens om e-mails en berichten naar andere mensen in de organisatie te sturen. De aanvaller kan zich voordoen als een werknemer met speciale kennis of autoriteit, of hij kan zich voordoen als een andere persoon die speciale kennis of autoriteit heeft.
6. Aanval op CEO-fraude
Bij deze aanval doen aanvallers zich voor als de CEO van een bedrijf en proberen ze werknemers of klanten ervan te overtuigen dat ze toegang moeten krijgen tot gevoelige informatie. De aanvaller gebruikt vaak social engineering-technieken zoals phishing-e-mails of telefoontjes waarbij het lijkt alsof ze bellen vanuit de IT-afdeling van je bedrijf. Ze gebruiken vaak taal die specifiek is voor je branche of bedrijf om legitiem en betrouwbaar te klinken terwijl ze om gevoelige informatie vragen zoals wachtwoorden of creditcardnummers.
7. Man-in-the-Middle (MITM)-aanval
Bij dit type aanval onderschept de aanvaller je communicatie met een legitieme service en stuurt deze vervolgens door naar de legitieme service alsof ze van jou afkomstig zijn. Op deze manier kan de aanvaller je communicatie afluisteren, wijzigen of helemaal voorkomen.
8. Het vullen van referenties
Deze aanval maakt gebruik van de veelvoorkomende gewoonte om wachtwoorden te hergebruiken voor meerdere online diensten. Aanvallers verkrijgen lijsten met gestolen gebruikersnamen en wachtwoorden van eerdere datalekken (vaak beschikbaar op het dark web) en proberen deze gegevens systematisch uit op andere websites of systemen. Als een gebruiker zijn wachtwoord heeft hergebruikt, krijgt de aanvaller ongeautoriseerde toegang. Het datalek bij Target in 2013, waarbij gegevens van meer dan 41 miljoen consumenten werden gecompromitteerd en een schikking van $18,5 miljoen werd getroffen, werd gefaciliteerd door aanvallers die gestolen referenties gebruikten om toegang te krijgen tot een aangesloten verkoperssysteem.
Hoe herken je een aanval van imitatie?
Een gevoel van urgentie: De aanvaller kan er bij de ontvanger op aandringen om onmiddellijk actie te ondernemen (zoals het initiëren van een onmiddellijke overschrijving, anders zal hun account permanent worden geblokkeerd) door een dringende toon te gebruiken in hun e-mails. Dit zet slachtoffers onder druk om actie te ondernemen zonder na te denken.
Vertrouwelijkheid: De aanvaller kan aangeven dat de informatie waar hij om vraagt privé moet blijven, wat impliceert dat de onthulling ervan tot ernstige gevolgen kan leiden.
Verzoek om gevoelige informatie te delen: De aanvaller kan je vragen om informatie die alleen je bank zou weten, zoals je rekeningnummer of wachtwoord. Ze kunnen je ook vragen om je bedrijfsgegevens te delen, wat privé-informatie is waar alleen jij toegang toe hebt. Hierdoor kunnen ze toegang krijgen tot de databases van je bedrijf en gevoelige informatie lekken.
Gewijzigde e-mailadressen: Als je bijvoorbeeld een e-mail ontvangt van iemand die zich voordoet als iemand van "Amazon" en je vraagt om in te loggen en je accountgegevens bij te werken, maar het e-mailadres is in werkelijkheid "[email protected]", dan kan dit een imitatieaanval zijn.
Slecht geschreven e-mails: Phishing-e-mails zijn slecht geschreven, vaak met spel- en grammaticafouten, omdat ze meestal massaal worden gegenereerd.
Aanwezigheid van kwaadaardige koppelingen of bijlagen: Kwaadaardige koppelingen en bijlagen zijn een veelgebruikte manier om een imitatieaanval uit te voeren. Dit soort aanvallen kan worden geïdentificeerd door de aanwezigheid van:
- Koppelingen die in een nieuw tabblad worden geopend in plaats van in het huidige tabblad.
- Bijlagen met vreemde titels of bestandsextensies (zoals "attachment" of ".zip").
- Bijlagen die een uitvoerbaar bestand bevatten (zoals .exe).
Beschermd blijven tegen imitatie
Het voorkomen van identiteitsgebaseerde aanvallen zoals imitatie vereist een meerlaagse aanpak die gebruikersbewustzijn en technische controles combineert.
1. Cyberbeveiligingstraining: Bedrijven moeten zich ervan bewust zijn dat cyberbeveiligingstraining essentieel is. De training moet het volgende omvatten:
- Hoe aanvallers zich kunnen voordoen als gebruikers en toegang krijgen tot systemen
- Hoe herken je tekenen dat iemand zich voordoet als jou, zodat je actie kunt ondernemen voordat er schade wordt aangericht?
- Het belang van preventieve controles begrijpen
2. Sterke verificatie: Implementeer robuuste authenticatiemethoden.
- Multi-Factor Authenticatie (MFA): Schakel MFA waar mogelijk in. Dit vereist dat gebruikers twee of meer verificatiefactoren opgeven (bijv. wachtwoord plus OTP, biometrie of antwoord op beveiligingsvraag), waardoor onbevoegde toegang aanzienlijk wordt bemoeilijkt, zelfs als de referenties worden gestolen.
- Sterke wachtwoordpraktijken: Moedig gebruikers aan om complexe, unieke wachtwoorden te maken voor verschillende accounts. Bevorder het gebruik van gerenommeerde wachtwoordbeheerders om sterke wachtwoorden te genereren en veilig op te slaan. Vermijd gemakkelijk te raden patronen.
3. Beveiliging van e-mail: Bescherm uw primaire communicatiekanaal.
- Domeinbescherming: Het e-maildomein van het bedrijf moet worden beschermd tegen imitatie. Gebruik een domein dat specifiek is voor uw bedrijf (bijvoorbeeld "@uwbedrijfsnaamhier.com") in plaats van algemene providers zoals "@gmail.com".
- DMARC-implementatie: Implementeer e-mailverificatieprotocollen zoals DMARC (Domain-based Message Authentication, Reporting & Conformance). DMARC stelt domeineigenaren in staat om aan te geven hoe ontvangende mailservers moeten omgaan met e-mails die niet voldoen aan SPF (Sender Policy Framework) of DKIM (DomainKeys Identified Mail) controles, waardoor gespoofde e-mails worden geblokkeerd. Het afdwingen van een strikt DMARC-beleid (p=afwijzen of p=quarantaine) voorkomt ongeoorloofd gebruik van uw domein bij phishing- en imitatieaanvallen.
- E-mailfiltering: Gebruik geavanceerde oplossingen voor e-mailbeveiliging die verdachte koppelingen, bijlagen en afwijkende afzenders kunnen detecteren.
4. Systeem- en softwarebeveiliging: Een veilige IT-omgeving onderhouden.
- Regelmatige updates en patchbeheer: Houd besturingssystemen, toepassingen en beveiligingssoftware up-to-date met de nieuwste beveiligingspatches om bekende kwetsbaarheden te verhelpen waar aanvallers misbruik van maken.
- Beveiligingsoplossingen: Installeer en onderhoud antivirus/anti-malware software met een goede reputatie en overweeg de implementatie van Intrusion Detection Systems (IDS) om te controleren op verdachte netwerkactiviteiten.
- Verouderde systemen uitfaseren: Vervang verouderde systemen die mogelijk niet-gepatchte kwetsbaarheden of zwakke beveiligingscontroles hebben, aangezien deze vaak het doelwit zijn van aanvallers.
5. Gegevensbescherming: Gevoelige informatie beveiligen.
- Gegevensencryptie: Versleutel gevoelige gegevens zowel wanneer ze worden opgeslagen (in rust) als wanneer ze worden verzonden (onderweg) om ze te beschermen, zelfs als ze worden onderschept.
6. Adopteer een Zero Trust Model: Implementeer een Zero Trust beveiliging benadering, die ervan uitgaat dat geen enkele gebruiker of apparaat inherent betrouwbaar is. Toegang wordt verleend op basis van voortdurende verificatie en het principe van de minste privileges, waardoor de potentiële impact van een gecompromitteerde identiteit wordt geminimaliseerd.
Door deze preventieve maatregelen te implementeren en een cyberbeveiligingscultuur te stimuleren, kunnen organisaties hun kwetsbaarheid voor imitatie en andere identiteitsgebaseerde aanvallen aanzienlijk verminderen. Waakzaam blijven, je aanpassen aan nieuwe bedreigingen en werknemers voortdurend informeren zijn cruciale onderdelen van een robuuste verdedigingsstrategie.
Wilt u 24/7 bescherming tegen impersonatie? PowerDMARC is een aanbieder van oplossingen voor e-mailverificatie en biedt diensten aan waarmee bedrijven hun e-mailcommunicatie kunnen beveiligen. Wij helpen u bij het beheren van de reputatie van uw domein door ervoor te zorgen dat alleen e-mails van geautoriseerde afzenders worden afgeleverd via beveiligde gateways, terwijl het ook wordt beschermd tegen spoofing door cybercriminelen en phishers.
- DMARC fout-positieven: Oorzaken, oplossingen en preventiegids - 13 juni 2025
- Nieuw-Zeelandse overheid verplicht DMARC onder nieuw veilig e-mailraamwerk - 9 juni 2025
- Wat is e-mail spoofing? - 29 mei 2025