Bij spoofing past een aanvaller de header van een e-mail aan zodat het lijkt alsof deze van een betrouwbare bron komt. Dit is technisch doodeenvoudig omdat het e-mailprotocol (SMTP) uit 1982 stamt en van nature geen enkele identiteitscontrole bevat. Het is vergelijkbaar met een brief versturen met een vals afzenderadres op de envelop, omdat de postbode niet controleert of u werkelijk op dat adres woont.

Spoofing is niet hetzelfde als phishing, hoewel ze vaak hand in hand gaan. Spoofing is de techniek (het vervalsen van de afzender), phishing is het doel (het stelen van informatie of geld). Je kunt phishing doen zonder spoofing, maar spoofing maakt phishing veel overtuigender.

Wat is e-mail spoofing precies?

Elke e-mail heeft meerdere headers die informatie bevatten over de afzender. De twee belangrijkste zijn het "envelope from" adres (gebruikt door de mailserver) en het "header from" adres (zichtbaar voor de ontvanger). Bij spoofing manipuleert de aanvaller het "header from" adres zodat de ontvanger een vertrouwd adres ziet, terwijl de mail in werkelijkheid van een heel andere server komt.

Moderne mail-clients, vooral op mobiele apparaten, maken dit probleem erger door alleen de weergavenaam te tonen en het volledige e-mailadres te verbergen. Een aanvaller hoeft alleen maar de naam in te stellen op "Jan de Vries (CEO)" en de meeste ontvangers zullen niet doorhebben dat het e-mailadres eigenlijk hacker@cybercrime.ru is.

Waarom is spoofing überhaupt mogelijk?

Het Simple Mail Transfer Protocol (SMTP) werd in 1982 ontworpen voor een klein, vertrouwd netwerk van universiteiten en onderzoeksinstituten. Iedereen kende iedereen. Er was simpelweg geen behoefte aan identiteitsverificatie. Sindsdien is e-mail uitgegroeid tot het belangrijkste zakelijke communicatiemiddel ter wereld, maar het onderliggende protocol is nooit fundamenteel gewijzigd.

SPF, DKIM en DMARC zijn later als aanvullingen ontwikkeld om dit gat te dichten. Maar omdat ze optioneel zijn en apart moeten worden geconfigureerd, heeft een groot deel van de bedrijven ze nog steeds niet geïmplementeerd. Dit maakt hun domeinen kwetsbaar voor spoofing.

De soorten spoofing

badge Display Name Spoofing

De weergavenaam zegt "Directeur Jan", maar het daadwerkelijke adres is hacker@gmail.com. Veel mobiele mail-apps laten alleen de naam zien, waardoor dit type spoofing bijzonder effectief is op telefoons en tablets.

dns Domain Spoofing

De mail komt daadwerkelijk van directeur@uwbedrijf.nl, maar is verzonden via een ongeautoriseerde server. DMARC is de enige effectieve oplossing tegen dit type spoofing. Zonder DMARC is uw domein volledig onbeschermd.

content_copy Lookalike Domain Spoofing

De aanvaller registreert een domein dat visueel bijna identiek is aan het uwe: bedriijf.nl in plaats van bedrijf.nl, of spoef.co in plaats van spoef.nl. Moeilijk technisch te blokkeren.

reply Reply-to Spoofing

Het "From" adres lijkt legitiem, maar het "Reply-to" adres verwijst naar een ander, door de aanvaller gecontroleerd adres. Als het slachtoffer antwoordt, gaat de respons naar de aanvaller, niet naar de veronderstelde afzender.

9:41
mail
Jan (CEO)
Dringend: Betaling
more_vert

Hoi,

Ben je op kantoor? Ik heb snel een overboeking nodig voor die nieuwe leverancier. Kan het niet via de bank-app doen.

Verstuurd vanaf mijn iPhone

CEO-fraude is een veelvoorkomende toepassing van spoofing die bedrijven wereldwijd miljarden kost.

Impact op uw bedrijf

De gevolgen van e-mail spoofing reiken verder dan de directe financiële schade:

  • Reputatieschade: Als klanten frauduleuze e-mails ontvangen van uw domein, verliest u hun vertrouwen. Dit kan jarenlange relaties beschadigen.
  • Financiële schade: CEO-fraude en factuurfraude via spoofing kosten bedrijven gemiddeld €120.000 per incident in Nederland.
  • Leveringsproblemen: Als uw domein bekend staat als bron van spam of fraude, kunnen uw legitieme e-mails in de spamfolder belanden of zelfs worden geweigerd.
  • Juridische aansprakelijkheid: Als uw onbeveiligde domein wordt misbruikt voor fraude, kunt u medeverantwoordelijk worden gehouden voor de schade.
  • Operationele verstoring: Het afhandelen van een spoofing-incident kost tijd en middelen die u aan uw kernactiviteiten had kunnen besteden.

Bescherming in 4 stappen

1

SPF implementeren

Definieer welke servers namens u mogen mailen. Publiceer een SPF-record in uw DNS met alle geautoriseerde verzendservers. Gebruik -all voor een strikt beleid.

2

DKIM activeren

Onderteken elke uitgaande e-mail digitaal. Dit garandeert dat de mail niet is gewijzigd en daadwerkelijk van uw server komt. Gebruik minimaal 2048-bit sleutels.

3

DMARC publiceren

Combineer SPF en DKIM met een DMARC-beleid dat ontvangende servers vertelt wat ze moeten doen met ongeauthenticeerde mail. Begin met p=none, werk naar p=reject.

4

Monitoren en optimaliseren

Analyseer DMARC-rapportages om ongeautoriseerde bronnen te ontdekken en uw configuratie te verfijnen. Dit is een doorlopend process.

Spoofing herkennen als ontvanger

Zelfs met de beste technische maatregelen kunt u gespoofde mails ontvangen van domeinen die zelf geen DMARC hebben. Enkele tips om spoofing te herkennen:

  • Controleer het volledige e-mailadres: Klik op de afzendernaam om het werkelijke adres te zien. Op mobiel moet u vaak extra tikken om dit te onthullen.
  • Let op subtiele domeinvariaties: Eén letter verschil is genoeg: rn ziet er op sommige fonts uit als m, en l (kleine L) lijkt op I (hoofdletter i).
  • Verifieer via een ander kanaal: Bij twijfel, bel de afzender op een bekend telefoonnummer. Niet op het nummer in de e-mail zelf.
  • Controleer de mail headers: Geavanceerde gebruikers kunnen de volledige headers bekijken om te zien via welke server de mail daadwerkelijk is verzonden.

Is uw domein beschermd tegen spoofing?

Gebruik onze gratis DMARC checker op de homepage om direct te zien of uw domein kwetsbaar is.

Check uw domein