Spoofing: voorkom misbruik van je e-mailadres

Veel digitale fraude start met het versturen van een e-mail. Criminelen vervalsen een mailadres en verspreiden zo nepfacturen en phishingmails. Wat is e-mailspoofing en hoe voorkom je dat je slachtoffer wordt?

Spoofing is een truc onder oplichters. Er zijn verschillende vormen van spoofing, zoals telefoonnummerspoofing, websitespoofing en e-mailspoofing.

Wat is e-mailspoofing?

E-mailspoofing is een manier waarmee cybercriminelen het e-mailadres van de afzender vervalsen. De oplichter die de spoofmail verzendt, doet alsof die iemand anders is door gebruik te maken van diens domeinnaam. De oplichter gebruikt bijvoorbeeld het e-mailadres van een bedrijf waar je vaker zaken mee doet. De oplichter heeft je vertrouwen, omdat het lijkt alsof de mail komt van een bedrijf dat je vertrouwt. Criminelen gebruiken deze techniek voor het verspreiden van onder meer valse facturen of phishingmails. Hiermee proberen ze geld of inloggegevens van jou of jouw klanten te stelen of je computer te hacken.

Hoe werkt e-mailspoofing?

Spoofen blijkt vrij eenvoudig. Tanya Wijngaarde, woordvoerder bij de Fraudehelpdesk, legt uit: ”Het is voor oplichters vrij simpel om e-mails te versturen namens een ander. E-mail beschikt standaard niet over een goede beveiliging. Hierdoor is het voor cybercriminelen eenvoudig om een bestaand e-mailadres te vervalsen.” Bijvoorbeeld het e-mailadres van iemand waar je regelmatig zaken mee doet. Criminelen gebruiken illegale tools om de header van een e-mail aan te passen. In de header van een e-mailbericht staat belangrijke informatie, zoals de afzender en het onderwerp. Voor de ontvanger is het vervolgens lastig om te beoordelen of de e-mail echt van de afzender komt, want het e-mailadres in de header ziet er hetzelfde uit. Je hebt daardoor niet in de gaten dat de e-mail is verstuurd door een oplichter.

Wijngaarde vergelijkt e-mailspoofing met het vervalsen van een echte brief. ”Ook daaraan zie je niet of de brief daadwerkelijk van bijvoorbeeld je bank of de belastingdienst komt. Iedereen kan een blauwe envelop pakken en een brief printen namens de belastingdienst. Voor post is de oplossing vaak het ondertekenen van de brief. Maar oplichters kunnen handtekeningen vervalsen. Neem daarom bij twijfel altijd contact op met de afzender."

’Niet van echt te onderscheiden’

Fraudehelpdesk ontvangt meldingen van ondernemers en consumenten over verschillende vormen van fraude, waaronder e-mailspoofing. Wijngaarde legt uit wat de impact van e-mailspoofing kan zijn op een bedrijf: “Zo kregen wij een melding van een bedrijf dat door criminelen was gebruikt om honderden spoofmails te versturen. Het bedrijf ontving boze reacties van allerlei mensen, geen klanten, die vroegen waarom het bedrijf dit aan hen stuurden. De e-mails waren door criminelen verzonden uit naam van het bedrijf en in de bijlage bleek schadelijke software, ofwel malware, te zitten. Het afzenderadres was het e-mailadres van het bedrijf. Hierdoor was de e-mail niet van echt te onderscheiden. Gelukkig heeft niemand de schadelijke bijlage geopend maar het heeft de reputatie van het bedrijf geen goed gedaan.”

Misbruik e-mailadres voorkomen

Om te voorkomen dat anderen onder jouw naam e-mails versturen, test je de beveiliging van je e-mail en installeer je beveiligingsprogramma’s.

Beveiligingsprogramma’s

Er zijn beveiligingstechnieken waarmee je misbruik tegengaat, zoals Sender Policy Framework (SPF). Wijngaarde licht toe: “SPF is eenvoudig te installeren software en verkleint het risico op e-mail-spoofing. Met SPF regel je welke e-mailservers namens jouw domein mogen verzenden. Een domein is alles achter ‘@’ in een e-mailadres. E-mails verzonden van een niet goedgekeurde server worden tegengehouden of aangemerkt als onveilig.” Op de website van de Fraudehelpdesk vind je een stappenplan waarmee je zelf SPF installeert.

Naast SPF zijn er uitgebreidere beveiligingstechnieken zoals DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting & Conformance (DMARC) om je te beschermen tegen e-mailspoofing. Je ICT-dienstverlener kan deze uitgebreide programma’s voor je installeren.

E-mailtest

Op internet.nl vind je een e-mailtest. Deze test de betrouwbaarheid van de meest gangbare e-mailbeveiligingsstandaarden zoals Sender Policy Framework (SPF). Na het doorlopen van de test krijg je een rapport en een score die aangeven hoe goed je maildomein beveiligd is. Aan de hand van het testresultaat verbeter je je e-mailbeveiliging. Installeer bijvoorbeeld een beveiligde mailserver-verbinding zoals STARTTLS en DANE. E-mail wordt standaard onversleuteld verstuurd. Daardoor is de vertrouwelijkheid niet gegarandeerd en kunnen hackers de mail onderscheppen. Door gebruik van STARTTLS en DANE is e-mail versleuteld en daarmee onleesbaar voor hackers.

Andere vormen van spoofing

Wees ook alert op andere vormen van spoofing, zoals nummerspoofing, URL-spoofing en SMS-spoofing.

Nummerspoofing

Een bekende lijkt je te bellen, bijvoorbeeld je eigen bank. Het nummer klopt. Alleen heb je geen bankmedewerker aan de lijn, maar een crimineel die je probeert op te lichten. Die vraagt je bijvoorbeeld een overboeking te doen of je pincode te geven. Verwacht je geen telefoontje van je bank of vertrouw je het niet? Verbreek de verbinding en bel zelf naar je bank.

URL-spoofing

Een oplichter stuurt je een link (URL) naar een website, bijvoorbeeld via een e-mail of tekstbericht. De link lijkt echt, maar gaat in werkelijkheid naar een gevaarlijke website. De crimineel maakt in zo’n nagebootste URL handig gebruik van kleine spelfouten en letters die op elkaar lijken. Voorbeeld: belastngdienst.nl in plaats van belastingdienst.nl. Klik niet op de link, maar voer het echte adres handmatig in de adresbalk van je webbrowser in.

SMS-spoofing

Je krijgt een SMS of ander tekstbericht van een bekende persoon of organisatie, bijvoorbeeld je boekhouder. Het nummer en de naam in het bericht kloppen. Je boekhouder vraagt of je direct een openstaande factuur wilt betalen. In werkelijkheid is het een oplichter die een tekstbericht van je boekhouder heeft nagemaakt. Zo’n bericht is bijna niet van echt te onderscheiden, maar vaak zal een oplichter benadrukken dat er per direct actie nodig is. Reageer niet op het tekstbericht en klik niet op een link daarin. Neem zelf contact op met je boekhouder, bijvoorbeeld via de telefoon.

Meld fraude

Ben je slachtoffer van spoofing of een andere vorm van fraude? Meld dit bij de Fraudehelpdesk. De Fraudehelpdesk is het landelijk meldpunt voor oplichting, en helpt fraudeslachtoffers met advies en doorverwijzingen naar instanties zoals de politie, Autoriteit Financiële Markten (AFM) en Slachtofferhulp Nederland. Ook maakt de Fraudehelpdesk burgers en bedrijven bewust van frauderisico’s en geeft ze praktische tips over hoe je die risico’s beperkt.

Is jouw bedrijf getroffen door spoofing? We komen graag met je in contact. Deel je ervaring via kvk.cyber@kvk.nl.

Hackhelpdesk

Ben je gehackt of denk je dat je gehackt bent? Op Hackhelpdesk.nl vind je een stappenplan en praktische oplossingen waarmee je verdere schade voorkomt.