E-mail spoofing is een aanval waarbij hackers het doen voorkomen dat een e-mail afkomstig is van een ander adres dan het daadwerkelijke adres. Met spoofing kan de aanvaller zich om verschillende redenen voordoen als personen of organisaties. Dat is eng, dus hoe werkt het?
Waarom e-mailspoofing gebeurt
E-mailspoofing is een vorm van nabootsing van identiteit en maakt meestal deel uit van een ander type zwendel of aanval. Spoofing speelt een grote rol bij op e-mail gebaseerde phishing of zogenaamde 419-scams. Er komt een e-mail in uw mailbox die zogenaamd afkomstig is van uw bank, een online betalingsverwerker of, in het geval van spear phishing, iemand die u persoonlijk kent.
De e-mail bevat vaak een link waarop u moet klikken, die u naar een nepversie van een echte site brengt waar uw gebruikersnaam en wachtwoord worden verzameld.
In het geval van CEO-fraude, of wanneer aanvallers zich voordoen als verkopers of zakenpartners, wordt in de e-mails om gevoelige informatie gevraagd of om bankoverschrijvingen naar accounts die de hackers beheren.
Hoe spoofing werkt
E-mail spoofing is verrassend eenvoudig te doen. Het werkt door de “header” van de e-mail aan te passen, een verzameling metadata over de e-mail. De informatie die u in uw mail-app ziet, wordt uit de e-mailheader gehaald.
Het SMTP (Simple Mail Transport Protocol) voorziet niet in de authenticatie van e-mailadressen. Dus hackers profiteren van deze zwakte om nietsvermoedende slachtoffers voor de gek te houden door te denken dat de e-mail van iemand anders komt.
Dit is een andere vorm van e-mailimitatie, waarbij het e-mailadres zo is ontworpen dat het lijkt op het echte adres van het imitatiedoelwit. In dat geval maakt de aanvaller een aparte e-mail aan op hetzelfde domein en gebruikt hij methoden zoals het verwisselen van letters of cijfers die op elkaar lijken in het valse adres.
De secties FROM, REPLY-TO en RETURN-PATH van een e-mailheader kunnen worden gewijzigd zonder speciaal gereedschap of geavanceerde kennis. Dit zal resulteren in een e-mail die u op het eerste gezicht een vervalst oorsprongsadres laat zien.
Spoofing van e-mail detecteren
De eenvoudigste manier om een vervalste e-mail te detecteren, is door de koptekst van de e-mail te openen en te controleren of het IP-adres of de URL van de koptekst onder het gedeelte ‘Ontvangen’ afkomstig is van de bron die u verwacht.
De methode om de koptekst van een e-mail te zien, verschilt per e-mailapp, dus u zult de exacte methode voor uw e-mailclient moeten opzoeken. Hier gebruiken we Gmail als voorbeeld, omdat het zowel populair als gemakkelijk te doen is.
Open de e-mail waarvan u vermoedt dat deze vervalst is, klik op de drie puntjes en “Show Original”.
Naast “Ontvangen” ziet u een server-URL en ook een IP-adres. In dit geval komt een e-mail zogenaamd van Costco van een server die niet van Costco lijkt te zijn.
Om dit te bevestigen, kopieert u het IP-adres en plakt u het in de WhoIs Lookup van DomainTools.
Zoals de resultaten laten zien, is dit IP-adres afkomstig uit Singapore en afkomstig uit een Microsoft-domein.
Het is zeer onwaarschijnlijk dat het echt van Costco is, dus dit is waarschijnlijk een oplichtingsmail!
Hoe spoofing tegen te gaan
Hoewel het controleren van de e-mailheader van een bericht op verdachte inhoud een betrouwbare manier is om te bevestigen dat een e-mail vervalst is, moet je enigszins technisch zijn om te begrijpen waar je naar kijkt, dus het is niet de meest effectieve manier om mensen te helpen in uw bedrijf of woning voorkomen dat u slachtoffer wordt.
Het is veel effectiever om een paar basisregels toe te passen als het gaat om ongevraagde e-mail waarin u wordt gevraagd op een link te klikken, geld over te maken of om bevoorrechte informatie te vragen:
- Controleer alle verzoeken om geldoverboekingen nogmaals via een ander kanaal, zoals een telefoongesprek.
- Maak geen geld over naar rekeningen die niet zijn goedgekeurd.
- Klik niet op links in e-mails die u niet hebt aangevraagd.
- Typ eventuele webadressen zelf in uw browser.
Het belangrijkste is dat u risicovolle berichten altijd bij de afzender verifieert via een apart kanaal, zoals een telefoongesprek of een beveiligde chat. (Gebruik echter geen telefoonnummers die in de e-mail staan.) Een gesprek van 30 seconden kan 100% bevestigen of u het slachtoffer bent van spoofing of niet!