Click here or click 'CHOOSE LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
In de tip van de week bespreken we deze keer een meer technisch onderwerp. Recentelijk werd mijn aandacht getrokken door een slachtoffer dat €4000,- euro kwijtraakte doordat Bart (pseudoniem) dacht een e-mail te hebben ontvangen van de ICS-creditcardmaatschappij. Hij controleerde zelfs het e-mailadres, dat afkomstig was van @ICS.nl, en ging ervan uit dat het een legitieme e-mail betrof van de kredietmaatschappij ICS (International Card Services). Maar hoe is het mogelijk dat een cybercrimineel dit domein zomaar kan inzetten voor het versturen van valse e-mails? We leggen het uit in dit artikel.
E-mail spoofing
De truc die cybercriminelen hiervoor gebruiken is e-mail spoofing.
Wat is e-mail spoofing en hoe werkt het dan?
E-mail spoofing is een techniek waarbij een aanvaller een e-mailbericht vervalst om te doen alsof het afkomstig is van een andere afzender dan de werkelijke verzender. Het doel van e-mail spoofing is meestal om de ontvanger te misleiden, zodat ze gevoelige informatie verstrekken, op kwaadaardige links klikken, of malware downloaden.
E-mail spoofing werkt door het manipuleren van de e-mailheaders, die normaal gesproken informatie bevatten over de afzender, ontvanger en het pad dat de e-mail heeft afgelegd. De aanvaller kan valse informatie invoegen in de "From" (van) en "Reply-to" (antwoord aan) velden van de e-mailheader, waardoor het lijkt alsof de e-mail afkomstig is van een vertrouwde bron, zoals een bekend bedrijf of een persoonlijk contact.
Er zijn verschillende manieren waarop e-mail spoofing kan worden uitgevoerd:
-
Vervalsen van het 'From'-adres: Een aanvaller kan het 'From'-adres in de e-mailheader vervalsen zodat het lijkt alsof de e-mail afkomstig is van een legitieme bron. Dit kan gedaan worden met behulp van speciale software of eenvoudige e-mailprogramma's die de mogelijkheid bieden om het 'From'-adres aan te passen.
-
Gebruik van open mail-relays: Een open mail-relay is een e-mailserver die e-mails doorstuurt namens andere servers of gebruikers zonder enige vorm van authenticatie. Aanvallers kunnen open mail-relays gebruiken om gespoofte e-mails te verzenden, waardoor het moeilijker wordt om de werkelijke afzender te traceren.
-
Man-in-the-middle-aanvallen: In dit geval onderschept de aanvaller communicatie tussen de verzender en ontvanger van een e-mail, en verandert de e-mailinhoud en/of headers voordat deze wordt doorgezonden naar de ontvanger. Dit kan leiden tot gespoofte e-mails die eruitzien alsof ze afkomstig zijn van een vertrouwde bron.
Technische Maatregelen tegen E-mail Spoofing
Wat kun je technisch doen om e-mailspoofing van uw domeinnaam te voorkomen, bijvoorbeeld hoe kunt u voorkomen dat cybercriminelen misbruik maken van het domein cybercrimeinfo.nl?
Om e-mail spoofing van je domeinnaam te voorkomen en te zorgen dat cybercriminelen je domein niet misbruiken, kun je verschillende technische maatregelen treffen. Hier zijn enkele belangrijke stappen die je kunt nemen:
-
SPF (Sender Policy Framework): SPF is een e-mailvalidatiesysteem dat helpt voorkomen dat spammers je domein gebruiken om vervalste e-mails te versturen. Door een SPF-record aan je DNS-instellingen toe te voegen, geef je aan welke e-mailservers gemachtigd zijn om e-mails namens jouw domein te verzenden. E-mailontvangers kunnen het SPF-record controleren om te verifiëren of de e-mail afkomstig is van een geautoriseerde server.
-
DKIM (DomainKeys Identified Mail): DKIM is een e-mailauthenticatietechniek waarbij een digitale handtekening aan e-mails wordt toegevoegd. Deze handtekening wordt gegenereerd met een privésleutel die alleen bij de eigenaar van het domein bekend is, en kan worden gecontroleerd met een publieke sleutel die in de DNS-instellingen van het domein is opgeslagen. Door DKIM te implementeren, kunnen e-mailontvangers de integriteit van de e-mail verifiëren en controleren of deze daadwerkelijk afkomstig is van het vermelde domein.
-
DMARC (Domain-based Message Authentication, Reporting, and Conformance): DMARC is een beleids- en rapportageprotocol dat op SPF en DKIM is gebaseerd. Met DMARC kun je aangeven hoe ontvangers van je e-mails moeten omgaan met berichten die niet aan SPF- en DKIM-vereisten voldoen. DMARC helpt je ook feedback te ontvangen over e-mails die vanaf jouw domein worden verzonden, zodat je eventuele problemen kunt opsporen en aanpakken.
-
Beveilig je e-mailserver: Zorg ervoor dat je e-mailserver goed is beveiligd en up-to-date is met de nieuwste beveiligingspatches. Configureer je e-mailserver zo dat deze geen open mail-relay is en dat alleen geauthenticeerde gebruikers e-mails kunnen verzenden.
-
Regelmatige monitoring en rapportage: Houd de e-mailactiviteiten van je domein in de gaten en analyseer DMARC-rapporten om ongeautoriseerd gebruik van je domein voor e-mailspoofing te identificeren. Reageer snel op eventuele beveiligingsincidenten.
Door deze stappen te volgen, verklein je de kans dat cybercriminelen je domeinnaam misbruiken voor e-mail spoofing aanzienlijk. Dit helpt je de reputatie van je domein te beschermen en zorgt voor een veiligere e-mailervaring voor je gebruikers en contacten.
De casus van Bart die een mail ontving van ics.nl
Maar wat gebeurde er in dit geval? Hoe komt het dat de cybercriminelen het e-mailadres toch konden spoofen naar ics.nl?
In deze casus zijn de cybercriminelen erin geslaagd om het e-mailadres van ICS (International Card Services) te spoofen, wat betekent dat ze een e-mail hebben verzonden die eruitzag alsof hij van een legitiem ICS-adres kwam. Dit kan gebeuren door verschillende technieken toe te passen, zoals het vervalsen van e-mailheaders of het misbruiken van kwetsbaarheden in e-mailprotocollen.
E-mail spoofing is mogelijk door de manier waarop e-mailprotocollen zoals SMTP (Simple Mail Transfer Protocol) zijn ontworpen. SMTP is het standaardprotocol dat wordt gebruikt voor het verzenden van e-mailberichten tussen servers. Het protocol controleert echter niet altijd of de afzender van een e-mail daadwerkelijk het opgegeven e-mailadres bezit. Hierdoor kunnen cybercriminelen e-mails versturen die lijken te komen van een betrouwbaar domein, zoals in dit geval ICS.nl.
Laten we een de website ics.nl erbij pakken
Wat valt dan op?
Oh, dit lijkt helemaal niet op de website van International Card Services (ICS). Wat is dan de officiële website van International Card Services (ICS)?
Even zoeken..
Oh, het blijkt dat het icscards.nl is, maar dit kan inderdaad verwarrend zijn.
Wauw, die cybercriminelen hebben echt hun best gedaan! Ze hebben een overtuigende domeinnaam gekozen die het slachtoffer waarschijnlijk geloofwaardig zou vinden. Je zou inderdaad denken dat de domeinnaam voor International Card Services (ICS) Nederland ics.nl zou zijn. Maar betekent dit dat ze het domein ics.nl hebben kunnen nabootsen? Laten we dit domein eens nader onderzoeken.
Hé, er is iets opmerkelijks: het DMARC-protocol is niet ingeschakeld voor dit domein, wat betekent dat cybercriminelen het domein kunnen spoofen. Is het bedrijf ics.nl hier schuldig aan? Nee, dat vind ik niet, want dit is een behoorlijk technisch aspect en ICT moet vooral goed functioneren, toch? Inderdaad, een ICT'er is geen cybersecurity-expert; het zijn twee verschillende disciplines. De ICT'er moet er vooral voor zorgen dat alles goed werkt, terwijl de cybersecurity-man of -vrouw zich vooral moet richten op de veiligheid. Veiligheid en gebruiksvriendelijkheid gaan vaak niet hand in hand. Maar soms wel, denk hierbij aan MindYourPass de wachtwoorden oplossing.
Verantwoordelijkheid DMARC-Protocol
Betekent dit dat niemand de verantwoordelijkheid moet nemen om het DMARC-protocol in te stellen? Absoluut niet! Overheid, grote bedrijven en bedrijven met een domeinnaam die gevaarlijk is als deze wordt misbruikt, zoals bijvoorbeeld banken, moeten deze verantwoordelijkheid wel nemen, vind ik. Bovendien hebben zij aanzienlijke budgetten voor cybersecurity.
Dit is natuurlijk slechts mijn mening, maar wat denken jullie? Zouden bijvoorbeeld een kerncentrale en een veiligheidsregio het DMARC-protocol moeten instellen? Er is in september 2021 onderzoek naar gedaan; lees hier de resultaten en conclusies van dat onderzoek.
Als Peter Lahousse wil ik absoluut niemand beledigen, maar het is belangrijk dat we allemaal samen hard werken om problemen te voorkomen voordat het ernstig misgaat.
"Om je te kunnen verdedigen, moet je eerst weten hoe ze aanvallen"
Meer tip van de week artikelen
Tip van de week: Moet ik gezichtsherkenning op mijn telefoon uitschakelen?
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Tip van de week: Seksfakes: Een strijd tegen digitale schending van intimiteit
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Tip van de week: Een praktische gids voor risicomanagement (NIS2 en ISO27001)
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Tip van de week: Bescherm jezelf tegen sextortion
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Tip van de week: Digitale identiteit op de weegschaal: LinkedIn's verificatie dilemma
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Tip van de week: De voor- en nadelen van wachtwoorden opslaan in je browser
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Ontvangen reacties op dit artikel
De achilleshiel van SPF, DKIM en DMARC echter zit in het feit dat al deze tools door de eigenaar van een domein ingezet en geconfigureerd moeten worden, maar dat uiteindelijk de ontvangende kant (jouw E-Mail provider) er wat mee moet doen. Dus zelfs als ICS.NL alles perfect had ingesteld, maar de mailserver van Bart geen gevolg geeft aan bijvoorbeeld een p=reject directive in DMARC, of op basis van een ~all ergens in een SPF include het mailtje gewoon door laat, dan lost het nog niks op.