Inhoudsopgave
Wat is ‘spoofing’
Internetcriminelen nemen een andere identiteit aan om achter persoonsgegevens of pincodes te komen, of om geld afhandig te maken. Dat is spoofing.
Net zo vervelend als zelf op die manier opgelicht te worden, is het idee dat criminelen jouw naam, e-mailadres of telefoonnummer gebruiken om anderen geld of gegevens afhandig te maken.
Cybercriminelen kunnen op verschillende manieren te werk gaan. E-mailspoofing is een bekend fenomeen, net als websitespoofing, SMS-spoofing en telefoonnummerspoofing.
Wat is e-mail spoofing?
Bij e-mail spoofing vervalsen criminelen jouw eigen e-mailadres, of het e-mailadres van iemand die jij kent, voor het verspreiden van onder meer valse facturen, betalingsherinneringen en phishingmails.
Cybercriminelen gebruiken een e-mailadres dat afkomstig lijkt te zijn van iemand die je kent, of van een bekende instantie, zoals de bank of de overheid. Vaak gebruiken ze daarvoor de domeinnaam die bij de afzender hoort.
Omdat de ontvanger vertrouwd lijkt, zijn slachtoffers snel geneigd op een link te klikken of een gevraagde betaling te doen. Wie via een valse e-mail op zo’n link klikt, loopt groot risico gehackt te worden.
Hoe werkt e-mail spoofing?
Voor cybercriminelen is het vrij eenvoudig om namens anderen e-mails te versturen. E-mailadressen zijn bijna nooit goed beveiligd. Alleen mails die gebruik maken van het zogeheten DMARC Reject Policy zijn tegen spoofing beveiligd.
Criminelen gebruiken de e-mails met persoonlijke gegevens om ontvangers via phishing door te sluizen naar een valse website. Wie daar terecht komt, wordt vaak meteen geïnfecteerd met malware om gegevens zoals bankgegevens en wachtwoorden te achterhalen.
Zo’n valse e-mail is soms nauwelijks van echte e-mail te onderscheiden. Klik erop, zo’n link lijkt echt, en je komt op een vals IP-adres. Zo’n nepwebsite lijkt sprekend op wat je gewend bent van de ontvanger.
Spoofing en jouw online reputatie
Een oplichter stuurt namens de financiële afdeling binnen je bedrijf een mail. En jouw klanten komen zo via een e-mailadres van jouw organisatie terecht op een gevaarlijke website.
Dat kan veel scheve gezichten opleveren. Er zijn veel gevallen bekend van criminelen die namens hetzelfde bedrijf honderden nep mails verstuurden.
De afzender is een echt e-mailadres dat je relaties herkennen, en jij wordt erop aangekeken dat je klanten via links bij schadelijke software terecht kwamen.
En ook binnen je eigen organisatie kan spoofing voorkomen.
Telefoonnummer spoofing
Telefoonnummer spoofing werkt op ongeveer dezelfde manier als mailspoofing of andere vormen van spoofing. Oplichters bellen namens de overheid, de bank, de politie of wat dan ook. Dat doen ze met een onbekend nummer, of met een telefoonnummer dat lijkt alsof het klopt.
Je Pincode
De meest gebruikte trucs bij oplichting gaan vaak over je pincode. Het komt ook voor dat gevraagd wordt geld over te maken naar een ‘veilige rekening’.
Cybercriminelen maken regelmatig gebruik van nep helpdesks. De oplichter zegt van de bank te zijn, of van de softwareleverancier en vraagt je te betalen, software te downloaden of je pincode te geven.
Soms ontvang je zelfs een pop-up op je beeldscherm met de vraag zo’n helpdesk te bellen.
Websitespoofing
Nep websites zien er vaak uit als de echte website, zodat je de situatie, als slachtoffer, vertrouwt.
Ze bouwen de website van een bank, de overheid of een webshop na. Kom je op de website, dan wordt gevraagd naar je identiteit, en moet je je gegevens opnieuw invullen, of een achterstallige betaling voldoen.
Vaak lijkt het webadres sprekend op de echte URL van een instantie. Soms zijn er twee letters omgedraaid, of is de landcode net anders.
Sms spoofing
Ook via sms proberen criminelen gegevens of geld te stelen. Ze gebruiken een echt nummer, de naam in het bericht lijkt ook te kloppen. Allemaal geraffineerd nagemaakt.
Via zo’n nep sms wordt gevraagd direct een factuur te voldoen, of op een link te klikken met een neppe URL, maar bijna niet van echt te onderscheiden is.
Whitepaper Controle Belastingdienst
Wat doe je tegen e-mail spoofing
Voorkomen is beter dan genezen. Je doet er goed aan de beveiliging van je e-mails te testen en beveiligingsprogramma’s te installeren.
Beveiligingssoftware
De meest gebruikte beveiligingssoftware is Sender Policy Framework. Die is simpel te installeren en verkleint het risico op e-mailspoofing flink. Je stelt in welke servers namens jou domein e-mails mogen verzenden.
Uitgebreidere beveiligingstechnieken bestaan ook, zoals: Domain Keys Identified Mail en Domain-based Message Authentication, Reporting & Performance zijn ook zulke oplossingen. Daarvoor is wel specialistische ICT-kennis nodig.
Een andere manier om te beveiligen is het installeren van versleutelingssoftware. STARTTLS en DANE zijn daarvan voorbeelden. Die tools versleutelen je e-mailberichten zodat hackers er niet meer bij kunnen.
Test je e-mail
Wil je weten hoe makkelijk jouw website of e mailadressen gespoofd kunnen worden? Via een test krijg je daarin inzicht. Daar staan ook suggesties om de beveiliging te verbeteren.