'Zembla' en de 'Internet Cleanup Foundation' deden onderzoek naar e-mailbeveiliging bij 100 vitale bedrijven en organisaties. Hieruit zou blijken dat 43 van hen “hun e-mail onvoldoende (hebben) beschermd tegen cybercriminaliteit, zoals phishing, spoofing en ransomware”. Als je het onderzoek van Zembla nader inziet gaat het niet om bescherming tegen al deze vormen van cybercriminaliteit, maar om bescherming tegen spoofing.

Het lijkt een e-mail afkomstig van het e-mailadres van een betrouwbare organisatie

Door spoofing lijkt een e-mail afkomstig van het e-mailadres van een betrouwbare organisatie. Dit noem je ook wel het ‘spoofen’ van een domeinnaam. Het bemoeilijkt het herkennen van phishingmail en vergroot de kans dat de ontvanger gevoelige gegevens prijsgeeft.

De bescherming tegen spoofing bestaat uit specifieke e-mailbeveiligingsstandaarden die deze organisaties niet (volledig) gebruikten of onvoldoende strikt hadden geconfigureerd. Denk hierbij aan het Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting, and Conformance (DMARC). Zonder deze maatregelen is het makkelijker voor cybercriminelen om spoofing te laten plaatsvinden.

Het belang van e-mailbeveiligingsstandaarden

Deze instellingen hebben dus zelf niet direct te maken met ransomware of phishing, maar zijn slechts een onderdeel van de totale beveiliging. Het belang van deze instellingen is mede afhankelijk van de inrichting van de rest van (de beveiliging van) de organisatie. Zo gaf de exploitant van de kerncentrale in Borssele (EPZ) bijvoorbeeld aan dat de mail inderdaad niet maximaal was beveiligd, maar dat het aansturen van het nucleaire proces en de bediening van de reactor met analoge techniek gebeurt. Deze techniek is ongevoelig voor digitale verstoringen. Het reactorbeveiligingssysteem van de kerncentrale kan dus per definitie niet gehackt worden, althans niet via internet.

Toch zet het onderzoek wel aan tot denken, om twee redenen:

1. Het roept de vraag op welke beveiligingsrisico’s nog meer worden gelopen als deze (schijnbaar basale) beveiliging niet op orde is. Een diepgaander cybersecurity onderzoek zou een logische vervolgstap zijn. Het zou ons ook niet verbazen als meer bedrijven naar hun cyberveiligheid zullen laten kijken naar aanleiding van dit onderzoek.
2. Vanuit aansprakelijkheidsrisico’s is dit onderzoek ook relevant. Rechtbank Gelderland oordeelde recent over een hack van een website van een verhuurmakelaar. Iemand wiens gegevens waren buitgemaakt bij die hack stelde de makelaar aansprakelijk, onder andere vanwege onvoldoende beveiliging van de gegevens. De rechter stelde dat ook bij de meest optimale beveiliging niet volledig valt uit te sluiten dat cybercriminelen zich toegang verschaffen. Omdat de makelaar aangaf dat zijn beveiliging wel op orde was (en de klager het tegendeel niet kon bewijzen) hield het voor hem op.

Dat besluit had heel anders uit kunnen vallen als die betrokkene de rechter (met hulp van een ethical hacker) een gespooft mailtje had gestuurd dat vanaf het domein van die makelaar lijkt te komen. Of als die makelaar in het onderzoek was genoemd als een van de bedrijven die haar e-mail beveiliging niet op orde heeft.

Hoe zit het met de rest van de beveiliging

De stelling dat 43 van de 100 door Zembla en de Internet Cleanup Foundation onderzochte bedrijven “hun e-mail onvoldoende (hebben) beschermd tegen cybercriminaliteit, zoals phishing, spoofing en ransomware” is wat kort door de bocht. Toch is dit onderzoek wel relevant. Enerzijds omdat de bevindingen de vraag oproept hoe het met de rest van de beveiliging zit bij die (en andere) bedrijven. 

Bron: anoniem, bdo.nl, rechtspraak.nl, bnnvara.nl/zembla, binnenlandsbestuur.nl

Vitale infrastructuur gerelateerde artikelen 》

Wat is spoofing 》

Meer info over cybercrime 》

Bekijk alle vormen en begrippen 》

Actuele aanvallen overzicht per dag 》

Ernstige kwetsbaarheden 》

Tips of verdachte activiteiten gezien? Meld het hier.

Spoofing gerelateerde berichten