Onlangs werd het weer breed uitgemeten in het nieuws: "spoofing". Een man kreeg een telefoontje van, zo stond op zijn telefoonscherm, de ING helpdesk. Met een babbeltruc werd de man overtuigd om zijn geld, €27.500, op een andere rekening te storten.
Dit is een voorbeeld van telefonische spoofing. Zakelijk zien we veel meer risico in e-mail spoofing. Ook bij onze klanten zien we dat niet altijd de juiste technische maatregelen zijn genomen om e-mail spoofing tegen te gaan. Op deze manier zijn ze kwetsbaar voor spear phishing-aanvallen, zoals CEO-fraude. Deze aanvallen zijn alleen af te weren door bewuste en alerte medewerkers.
Wat is e-mail spoofing?
‘Spoofing’ kan vertaald worden als ‘nabootsing’. Bij e-mail spoofing wordt een e-mailadres nagebootst en daarmee wordt de afzender vervalst. Dit kan een organisatie zijn of een persoon uit de eigen organisatie. Het is een trucje dat eigenlijk door iedereen uitgevoerd kan worden. Je kunt het vergelijken met briefpost: daar kun je namelijk ook een andere ontvanger of afzender op de envelop schrijven.
Het grappige is dat niet de vervalser, maar de echte eigenaar van het e-mailadres een eventueel antwoord op het vervalste bericht ontvangt. Hier gaat het de crimineel echter niet om. Er wordt door criminelen gebruik gemaakt van spoofing om het vertrouwen van de ontvanger te winnen en hem of haar zodoende links of bijlagen te laten openen. Men is immers sneller geneigd om actie te ondernemen op een mail afkomstig van, zo lijkt, een betrouwbare organisatie of persoon uit de eigen organisatie dan op een mail van een onbekende afzender.
Hoe kun je je als organisatie wapenen tegen e-mail spoofing?
Goed ingestelde e-maildiensten controleren of de afzender ook daadwerkelijk de afzender is, maar vaak is dit niet het geval. De volgende technische oplossingen kunnen e-mail spoofing voorkomen.
SPF: bekijkt of de verzender namens het e-mailadres een mail mag verzenden. De ontvangende partij controleert dit en bepaalt of de mail wordt geblokkeerd of wordt doorgelaten.
DKIM: ondertekent je e-mails met een digitale handtekening waarmee de ontvanger weet dat de mail door de bijbehorende mailserver is verzonden.
DMARC: bepaalt wat er gebeurt met mails die niet voldoen aan de SPF- en DKIM-voorwaarden.
Train medewerkers
Train medewerkers in het herkennen en afwenden van risico's. Spoofing is alleen te herkennen door bewuste en alerte medewerkers. Twijfel je? Neem dan op een andere manier contact op met de afzender om te verifieren of het bericht legitiem is en laat je niet onder tijdsdruk zetten. Onder tijdsdruk worden vaak overhaaste beslissingen gemaakt. Moedig je medewerkers ook aan in het doen van meldingen bij twijfel.
Gebruik onze phishing simulaties
Bij onze phishing simulaties voeren we standaard een e-mail spoof test uit om te controleren of de e-mailadressen van jouw organisatie vervalst kunnen worden. Daarnaast bieden we verschillende oplossingen om medewerkers te trainen en te testen op het gebied van informatiebeveiliging, cyber security en privacy. Activeer jouw human firewall!
Wil je meer weten? Laat het me weten...