Spoofing webbanner
29 oktober 2021 / Verdieping

Zo voorkom je e-mailspoofing en bescherm je jouw klanten

Bescherm jouw domein tegen spoofing, want Microsoft en Google doen het niet automatisch


Een nietsvermoedende klant krijgt een phishingmail die ogenschijnlijk van jouw onderneming afkomstig is. Hij of zij klikt met vol vertrouwen verder, geeft gevoelige informatie door en deelt misschien zelfs bankgegevens.

De schuld ligt bij de hacker, maar ook jij draagt verantwoordelijkheid. Het is enerzijds de taak van een firma om de werknemers bewust te maken van de gevaren van phishing. Anderzijds kan je mee helpen om het gevaar van spoofing als phishingmethode te beperkten: mailadressen nabootsen of spoofing wordt immers onmogelijk wanneer je zelf de juiste voorzorgen neemt.

Spoofing als aanvalstechniek was vroeger een heel groot probleem. Aanvallers konden hun malafide mails zonder al te veel moeite vermommen als e-mails afkomstig van een betrouwbare organisatie. Vandaag is dat al iets complexer, al is het risico allesbehalve verdwenen. Organisaties groot en klein hebben de tools in handen om spoofing van hun domein onmogelijk te maken, maar die tools worden al te vaak vergeten. Hoe misbruiken hackers het mailprotocol, en welke verantwoordelijkheid draag je zelf om je domein te beschermen?

Enveloppe en afzender

Een e-mail verzonden via SMTP (Simple Mail Transfer Protocol – het standaardprotocol achter e-mail) bevat standaard geen enkel verificatiemechanisme. Een klassieke digitale brief zit in een zogenaamde enveloppe met daarin twee parameters: MAIL FROM en RCPT TO. De MAIL FROM-parameter specifieert voor de ontvangende mailserver waar de mail vandaan komt en vooral waar die server foutmeldingen heen moet kaatsen. De menselijke ontvanger krijgt deze informatie niet te zien.

Binnen de enveloppe zit de eigenlijke e-mail. Die bevat opnieuw parameters, zoals de velden From en Reply-to. De informatie die daarin staat, prijkt in de mailcliënt zichtbaar bovenaan de mail bij onze nietsvermoedende ontvanger.

Zonder enige vorm van beveiliging kan een crimineel zijn creativiteit loslaten op de MAIL FROM en From-velden. Je kan er immers inzetten wat je wil. Zowel de mailcliënt als de brave ontvanger zelf krijgen zo een bericht te zien dat schijnbaar van een betrouwbare partij komt, maar eigenlijk vertrekt vanuit een duidelijk kwaadaardig adres zoals hackertje69@phishing.com. Vandaag bestaan er verschillende beveiligingstechnieken om dergelijk misbruik te voorkomen.

Eerste controlelaag: SPF

De eerste laag van beveiliging heet SPF, kort voor Sender Policy Framework. SPF-authenticatie injecteert een gezonde achterdocht bij de ontvangende mailserver ten opzichte van het MAIL FROM-veld op de enveloppe. De server kijkt naar de inhoud (bijvoorbeeld belangrijk@bank.com) en vraagt zich dan af of het IP-adres van de afzender wel gemachtigd is om vanuit het aangegeven domein (@bank.com) te sturen. De mailserver beroept zich daarvoor op de DNS-informatie die bij het domein hoort. Dat werkt natuurlijk alleen maar als die informatie bij de DNS-records beschikbaar is. Stuurt de hacker via een IP-adres dat bij hackertje69@phishing.com hoort maar claimt hij in het MAIL FROM-veld dat de afzender belangrijk@bank.com is, dan heeft de mailserver dat door.

Moderne mailserver-oplossingen zoals Microsoft Exchange of Microsoft 365 gebruiken automatisch SPF-authenticatie bij binnenkomende mails maar het is aan de eigenaar van een domein om de lijst met legitieme IP-adressen ter beschikking te stellen zodat verificatie mogelijk is.

Heb je een eigen domein, dan gebeurt dat niet vanzelf, zelfs niet wanneer je Microsoft 365 of Google Workspace gebruikt. Maak binnen je domein een SPF-record aan met daarin de authentieke IP-adressen voor uitgaande e-mail en cybercriminelen zullen jouw organisatie niet meer kunnen spoofen via het MAIL FROM-veld. De registrar van je domein kan je helpen bij de aanpassing van je DNS-records.

Spoofing

Half beschermd is half onveilig

De oplettende lezer stelt vast dat SPF slechts een klein deel van het probleem oplost. Een aanvaller kan met SPF nog steeds zijn eigen domein in het MAIL FROM-veld invullen zodat de SPF-check geen alarmbellen doet afgaan. De MAIL FROM bevat dan hackertje69@phishing.com, en de SPF-check ziet geen vuiltje aan de lucht omdat het ‘beveiligde’ veld correct werd ingevuld.

De hacker kan een eigen mailadres of een eerder gekraakte mailbox gebruiken, zonder argwaan te wekken bij de uiteindelijke ontvanger. Die krijgt de informatie op de enveloppe immers niet te zien. Onze cybercrimineel heeft nog steeds vrij spel om het wel zichtbare From-veld aan te passen met een betrouwbaar adres zoals belangrijk@bank.com. Dat volstaat om een potentieel slachtoffer te misleiden.

Beter beveiligd met DMARC

Ook daarvoor bestaat gelukkig een oplossing: DMARC, kort voor Domain-based Message Authentication, Reporting and Conformance, gaat verder waar SPF stopt. Een mailserver verifieert de From-afzender via een DMARC-record bij de DNS-informatie.

Opnieuw gebeurt die verificatie bij de ontvanger automatisch, op voorwaarde dat de juiste data bij de DNS-gegevens beschikbaar zijn. Te veel organisaties vergeten om een DMARC-record te voorzien, wat hackers vrij spel geeft om een mailadres uit hun domein valselijk als afzender naar voren te schuiven. Fijn voor wie een realistische phishingmail wil sturen, minder fijn voor wie in de luren gelegd wordt omdat hij of zij dacht met jouw organisatie te maken te hebben.

Vergeet DKIM niet

DMARC heeft een broertje in DKIM: DomainKeys Identified Mail. DKIM gebruikt encryptie en een digitale handtekening met een private en publieke sleutel om na te gaan of een mail legitiem is. Opnieuw gebeurt het hele verificatieproces op de achtergrond en opnieuw is het aan bedrijven zelf om hun domeinnaam te beschermen tegen spoofing met het protocol. Dat doe je door een CNAME-record met DKIM-waarden toe te voegen aan de DNS-gegevens van je domein. Zowel Microsoft als Google maken het eenvoudig om de sleutel voor een domein te genereren via hun beveiligingsportaal.

Aanvallers gaan niet kieskeurig te werk. Ze proberen met hun phishingcampagnes mails van gekende en betrouwbare organisaties te spoofen. Heeft de organisatie in kwestie zijn SPF, DKIM en DMARC-records op orde, dan herkent de mailserver van de ontvanger ze als malafide en komen ze niet aan. Vind een crimineel echter een organisatie die zijn huiswerk niet heeft gemaakt, dan kan de aanvalscampagne beginnen.

Concept computer keyboard with red key with lock 2021 11 01 20 01 11 utc 1

Je logo als beloning

Wil je nog een stapje verder gaan in de bescherming van jouw domein tegen misbruik, dan bestaat er sinds kort Brand Indicators for Message Identification of BIMI. BIMI bouwt verder op DMARC en zorgt ervoor dat authentieke mails voorzien worden van het logo van de afzender. Organisaties die hun SPF en DMARC-records up-to-date hebben en BIMI omarmen, zien een klein logo naast hun berichten verschijnen. Dat logo kan een spoofer niet zomaar stelen en zorgt zo voor meer vertrouwen in berichten afkomstig van je firma.

Ieder bedrijf met enige naamsbekendheid heeft hier een verantwoordelijkheid. Voor ontvangers is de beveiliging van mails vandaag optimaal geconfigureerd om spoofing tegen te gaan, maar de bescherming werkt enkel als bedrijven zelf hun steentje bijdragen. SPF, DKIM en DMARC helpen om ontvangers te beschermen, terwijl BIMI dankzij de toevoeging van het logo ook een zichtbaar voordeel biedt voor legitieme afzenders. De introductie van BIMI is een uitstekend moment om eens na te gaan hoe de situatie binnen jouw organisatie is.

Bewustmaking

Op het einde van de rit blijft spoofing helaas bestaan zolang niet alle bedrijven de juiste maatregelen nemen. Je eigen bijdrage leveren is belangrijk, maar daarmee verdwijnt spoofing niet van de aardbol. Vergeet dus niet om je werknemers bewust te maken van de techniek en andere vormen van phishing. Misschien denken ze verkeerdelijk dat hun mailcliënt hen helemaal veilig zal houden, maar zoals je hierboven las, is dat al te vaak niet de volledige waarheid.