Een cyberveilig bedrijf

Spoofing: voorkom misbruik van je e-mailadres

Veel digitale fraude start met het versturen van een e-mail. Criminelen vervalsen een mailadres en verspreiden zo nepfacturen en phishingmails. Wat is e-mailspoofing en hoe voorkom je dat je slachtoffer wordt?

Spoofing is een truc onder oplichters. Er zijn verschillende vormen van spoofing, zoals telefoonnummerspoofing, websitespoofing en e-mailspoofing. Dit artikel gaat over e-mailspoofing.

Wat is e-mailspoofing?

E-mailspoofing is een manier waarmee oplichters het e-mailadres van de afzender vervalsen. De oplichter die de spoofmail verzendt, doet alsof hij iemand anders is door gebruik te maken van diens domeinnaam. Hij gebruikt bijvoorbeeld het e-mailadres van een bedrijf waar je vaker zaken mee doet. De oplichter heeft je vertrouwen, omdat het lijkt alsof de mail komt van een bedrijf dat je vertrouwt. Criminelen gebruiken deze techniek voor het verspreiden van onder meer valse facturen of phishing-mails. Hiermee proberen ze geld of inloggegevens van jou of jouw klanten te stelen of je computer te hacken.

Hoe werkt e-mailspoofing?

Spoofen blijkt vrij eenvoudig. Tanya Wijngaarde, woordvoerder bij de Fraudehelpdesk, legt uit: ”Het is voor oplichters vrij simpel om e-mails te versturen namens een ander. E-mail beschikt standaard niet over een goede beveiliging. Hierdoor is het voor criminelen eenvoudig om een bestaand e-mailadres te vervalsen.” Bijvoorbeeld het e-mailadres van iemand waar je regelmatig zaken mee doet. Criminelen gebruiken illegale tools om de header van een e-mail aan te passen. In de header van een e-mailbericht staat belangrijke informatie, zoals de afzender en het onderwerp. Voor de ontvanger is het vervolgens lastig om te beoordelen of de e-mail echt van de afzender komt, want het e-mailadres in de header ziet er hetzelfde uit. Je hebt daardoor niet in de gaten dat de e-mail is verstuurd door een oplichter.

Wijngaarde vergelijkt e-mailspoofing met het vervalsen van een echte brief. ”Ook daaraan zie je niet of de brief daadwerkelijk van bijvoorbeeld je bank of de belastingdienst komt. Iedereen kan een blauwe envelop pakken en een brief printen namens de belastingdienst. Voor post is de oplossing vaak het ondertekenen van de brief. Maar oplichters kunnen handtekeningen vervalsen. Neem daarom bij twijfel altijd contact op met de afzender."

’Niet van echt te onderscheiden’

Fraudehelpdesk ontvangt meldingen van ondernemers en consumenten over verschillende vormen van fraude, waaronder e-mailspoofing. Wijngaarde legt uit wat de impact van e-mailspoofing kan zijn op een bedrijf: “Zo kregen wij een melding van een bedrijf dat door criminelen was gebruikt om honderden spoofmails te versturen. Het bedrijf ontving boze reacties van allerlei mensen, geen klanten, die vroegen waarom het bedrijf dit aan hen stuurden. De e-mails waren door criminelen verzonden uit naam van het bedrijf en in de bijlage bleek schadelijke software, ofwel malware, te zitten. Het afzenderadres was het e-mailadres van het bedrijf. Hierdoor was de e-mail niet van echt te onderscheiden. Gelukkig heeft niemand de schadelijke bijlage geopend maar het heeft de reputatie van het bedrijf geen goed gedaan.”

Voorkomen

Om te voorkomen dat anderen onder jouw naam e-mails versturen, test je de beveiliging van je e-mail en installeer je beveiligingsprogramma’s.

Beveiligingsprogramma’s

Er zijn beveiligingstechnieken waarmee je misbruik tegengaat, zoals Sender Policy Framework (SPF). Wijngaarde ligt toe: “SPF is eenvoudig te installeren software en verkleint het risico op e-mail-spoofing. Met SPF regel je welke e-mailservers namens jouw domein mogen verzenden. Een domein is alles achter ‘@’ in een e-mailadres. E-mails verzonden van een niet goedgekeurde server worden tegengehouden of aangemerkt als onveilig.” Op de website van de Fraudehelpdesk vind je een stappenplan waarmee je zelf SPF installeert.

Naast SPF zijn er uitgebreidere beveiligingstechnieken zoals DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting & Conformance (DMARC) om je te beschermen tegen e-mailspoofing. Je ICT-dienstverlener kan deze uitgebreide programma’s voor je installeren.

E-mailtest

Op internet.nl vind je een e-mailtest. Deze test de betrouwbaarheid van de meest gangbare e-mailbeveiligingsstandaarden zoals Sender Policy Framework (SPF). Na het doorlopen van de test krijg je een rapport en een score die aangeven hoe goed je maildomein beveiligd is. Aan de hand van het testresultaat verbeter je je e-mailbeveiliging. Installeer bijvoorbeeld een beveiligde mailserver-verbinding zoals STARTTLS en DANE. E-mail wordt standaard onversleuteld verstuurd. Daardoor is de vertrouwelijkheid niet gegarandeerd en kunnen hackers de mail onderscheppen. Door gebruik van STARTTLS en DANE is e-mail versleuteld en daarmee onleesbaar voor hackers.

Meld fraude

Ben je slachtoffer van e-mailspoofing of een andere vorm van fraude? Meld dit bij de Fraudehelpdesk. De Fraudehelpdesk is het landelijk meldpunt voor oplichting, en helpt fraudeslachtoffers met advies en doorverwijzingen naar instanties zoals de politie, Autoriteit Financiële Markten (AFM) en Slachtofferhulp Nederland. Ook maakt de Fraudehelpdesk burgers en bedrijven bewust van frauderisico’s en geeft ze praktische tips over hoe je die risico’s beperkt.

Word geen slachtoffer van cybercriminaliteit. Bescherm jezelf en ga aan de slag met de digitale veiligheid van je bedrijf.
Jan van der Beek

Als KVK-adviseur informeer ik ondernemers over (duurzame) bedrijfshuisvesting, fraudepreventie en wet- en regelgeving. Ik heb kennis van data-analyse en een brede belangstelling voor regionale economische ontwikkelingen.

InspiratiePage