Overzicht
Actueel
24 October 2017
'Hey, een mailtje van Mark Rutte'

Het e-mailverkeer van de Tweede Kamer is in het nieuws. Het gaat deze keer niet om de inhoud van de berichten, maar om de afzenders. De e-mailbeveiliging op het Binnenhof is namelijk lek, zo bleek uit onderzoek van Follow the Money.

Door zoiets simpels als het verkeerd instellen van een server kan iedereen zich probleemloos voordoen als Nederlands politicus: de onderzoekswebsite wist uit naam van onder meer Alexander Pechtold en Geert Wilders diverse e-mails rond te sturen. Een eenvoudige truc met potentieel serieuze gevolgen.

Social engineering

We denken bij cyberaanvallen vaak aan complexe computerstreken, heel technisch in elkaar gestoken en eigenlijk alleen vanuit de informatiebeveiligingssystemen van een IT-afdeling tegen te gaan. Verreweg de meeste ‘aanvallen’ zijn echter ingericht om de zwakste schakel in de beveiliging te kraken: de mens. Wat we daarom vooral mee moeten nemen uit het nieuws van deze week is het feit dat het ook hier niet om een hack gaat. Er is niet fysiek ingebroken in de servers van de overheid, en er is geen zware beveiliging omzeild om met staatsgeheimen aan de haal te gaan.

E-mail spoofing, de truc om te simuleren dat een e-mail verzonden is door een ander adres, is een vorm van social engineering: een techniek waarbij cybercriminelen een aanval ondernemen door menselijke kwetsbaarheden op te zoeken. E-mail spoofing wordt dan ook op grote schaal toegepast voor phishing en andere vormen van cyberfraude.

Phishing is een van de meest gangbare vormen van social engineering. Lees daarom onze 5 tips om je tegen phishing te wapenen, zowel zakelijk als privé.

De potentiële gevolgen van de door Follow the Money blootgelegde kwetsbaarheid zijn dus niet mis. Zo zet geslaagde e-mail spoofing de deur wel heel ver open voor bijvoorbeeld CEO-fraude, een variant van social engineering die we steeds vaker zien. CEO-fraude is een vorm van (spear)phishing waarbij een medewerker binnen een bedrijf of organisatie benaderd wordt door een fraudeur die zich voordoet als directeur of andere hooggeplaatste functionaris.

Het doelwit is bijvoorbeeld een medewerker van de boekhouding of financiële afdeling. Hij of zij wordt vriendelijk maar met de nodige urgentie verzocht om een betaling uit te voeren, meestal naar een onbekende relatie in het buitenland. Een medewerker of collega op die manier proberen te verleiden tot een ongewenste handeling is natuurlijk een stuk laagdrempeliger als de e-mail uit de eigen organisatie lijkt te komen.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.
Neem contact op
Beveiliging e-mailservers

Hetzelfde geldt voor kwaadaardige linkjes in een phishing e-mail. Ga maar na: een Kamerlid dat een bericht van m.rutte@tweedekamer.nl ontvangt, zoals in het onderzoek van Follow the Money het geval was, zal een stuk eerder geneigd zijn op een link te klikken. E-mail spoofing tegengaan wordt gelukkig steeds gemakkelijker vanuit beveiliging in e-mail servers. Een goed ingestelde server ziet of de afzender ook daadwerkelijk bevoegd is om vanuit het bewuste adres te mailen. Maar dan moet het e-maildomein wel op de juiste manier ingesteld zijn! | Lees meer over de bescherming van domeinnamen tegen phishing en spoofing in de factsheet van het NCSC

Kijk ook eens naar

Praktijkvoorbeelden
Een overzicht van onze praktijkvoorbeelden.
Security Awareness Engine
De spil in jouw security awareness programma.
Nulmeting
Awareness in cijfers het kan echt.