Spoofing: zo doet een crimineel alsof die jou is

Cybercriminelen doen vaak alsof ze iemand zijn die je vertrouwt. Zo trap je sneller in hun val. Denk aan een e-mail met een nepfactuur die lijkt te komen van een leverancier die je kent. De crimineel maakt dan het e-mailadres van de afzender precies na. Dit heet spoofing en kan op veel manieren. Criminelen maken op die manier bijvoorbeeld ook telefoonnummers na. Ontdek wat je ertegen kunt doen.

Wat is spoofing?

Spoofing is een technische truc waarmee een crimineel doet alsof die iemand anders is. Bijvoorbeeld een persoon die je kent of iemand van een organisatie die je vertrouwt. Dit is een vorm van identiteitsfraude en is illegaal. De crimineel misleidt je met een vervalste afzender. Bijvoorbeeld via SMS-spoofing. Hierbij stuurt de oplichter je een SMS, die verzonden lijkt door je bank. Hierdoor denk je dat het wel goed zit en klik je op de link in de SMS. Via de link raakt je computer besmet met schadelijke software, ofwel malware.

Verschil met phishing

Bij phishing houdt een oplichter je voor de gek en probeert vertrouwelijke informatie van je te krijgen. Denk aan creditcardgegevens, burgerservicenummers of wachtwoorden. Met de techniek spoofing vergroot de oplichter de kans dat phishing lukt. Je reageert waarschijnlijk eerder op een e-mail die van je boekhouder lijkt te komen, dan op een e-mail van een totaal onbekende afzender.

Veel soorten

Een oplichter kan zich via veel kanalen voordoen als iemand anders. Naast e-mailspoofing en SMS-spoofing heb je bijvoorbeeld telefoonnummerspoofing. De crimineel gebruikt het telefoonnummer van een organisatie die je vertrouwt. Denk aan je eigen bank. Terwijl je denkt dat je een bankmedewerker aan de lijn hebt, spreek je eigenlijk met een oplichter. Die probeert met mooie praatjes je pincode te krijgen. Verder bestaat er spoofing van internetadressen, ofwel IP-nummers, en ontstaan er steeds nieuwe vormen van spoofing.

Reputatieschade

Een cybercrimineel kan ook jouw informatie misbruiken voor spoofing. Stel, ze sturen een nepfactuur aan duizenden mensen uit naam van je bedrijf. De e-mailafzender, je bedrijfsnaam en zelfs je logo, alles klopt aan deze vervalste e-mail. Je loopt mogelijk reputatieschade op als slachtoffers denken dat jij hen hebt opgelicht.

Spoofing tegengaan

Je wil niet dat criminelen je informatie, zoals je bedrijfsnaam, e-mailadres en telefoonnummer, misbruiken voor spoofing. Helemaal voorkomen gaat helaas niet, maar je verkleint de risico’s met deze tips.

Let op wat je deelt

Bedenk goed welke informatie je deelt, met wie en op welk kanaal. Is het bijvoorbeeld noodzakelijk dat je telefoonnummer en e-mailadres openbaar op je Facebookpagina of andere social media staan?

Stel een Google Alert in

Stel een Google Alert in op je bedrijfsnaam. Dan krijg je automatisch bericht als iemand je bedrijfsnaam noemt op internet. Zo zie je meteen wanneer een oplichter een website aanmaakt onder jouw naam. Met een Notice-and-Take-Down (NTD) kun je zo’n valse website die je naam misbruikt offline laten halen.

Voorkom e-mailspoofing

Normaal gesproken zijn jij en de eventuele medewerkers van je bedrijf de enigen die e-mails kunnen verzenden vanuit jouw domeinnaam. Je domeinnaam is het gedeelte van je e-mailadres achter het apenstaartje. Vaak is dat de naam van je bedrijf. Via e-mailspoofing kan een crimineel ook e-mails versturen vanuit jouw domeinnaam en zo je klanten oplichten. Met de beveiligingstechniek Sender Policy Framework (SPF) voorkom je dat.

Deze techniek controleert waar een e-mail echt vandaan komt. Je stelt dan in vanaf welke netwerken er gemaild mag worden vanuit jouw domeinnaam. Gaat er een e-mail uit jouw naam over het internet die niet verstuurt is vanaf een netwerk dat je zelf hebt goedgekeurd? Dan blokkeert SPF de e-mail zodat deze niet aankomt bij de ontvanger. Dit maakt het lastiger voor criminelen om je e-mailadres via spoofing te misbruiken.

De Fraudehelpdesk heeft een stappenplan waarme je zelf SPF installeert. Is het te ingewikkeld? Schakel dan de hulp van je IT-partner of een cybersecurityspecialist in. Vraag dan ook naar andere beveiligingstechnieken, zoals DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting, and Conformance (DMARC).