'Zembla' en de 'Internet Cleanup Foundation' deden onderzoek naar e-mailbeveiliging bij 100 vitale bedrijven en organisaties. Hieruit zou blijken dat 43 van hen “hun e-mail onvoldoende (hebben) beschermd tegen cybercriminaliteit, zoals phishing, spoofing en ransomware”. Als je het onderzoek van Zembla nader inziet gaat het niet om bescherming tegen al deze vormen van cybercriminaliteit, maar om bescherming tegen spoofing.
Het lijkt een e-mail afkomstig van het e-mailadres van een betrouwbare organisatie
Door spoofing lijkt een e-mail afkomstig van het e-mailadres van een betrouwbare organisatie. Dit noem je ook wel het ‘spoofen’ van een domeinnaam. Het bemoeilijkt het herkennen van phishingmail en vergroot de kans dat de ontvanger gevoelige gegevens prijsgeeft.
De bescherming tegen spoofing bestaat uit specifieke e-mailbeveiligingsstandaarden die deze organisaties niet (volledig) gebruikten of onvoldoende strikt hadden geconfigureerd. Denk hierbij aan het Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting, and Conformance (DMARC). Zonder deze maatregelen is het makkelijker voor cybercriminelen om spoofing te laten plaatsvinden.
Het belang van e-mailbeveiligingsstandaarden
Deze instellingen hebben dus zelf niet direct te maken met ransomware of phishing, maar zijn slechts een onderdeel van de totale beveiliging. Het belang van deze instellingen is mede afhankelijk van de inrichting van de rest van (de beveiliging van) de organisatie. Zo gaf de exploitant van de kerncentrale in Borssele (EPZ) bijvoorbeeld aan dat de mail inderdaad niet maximaal was beveiligd, maar dat het aansturen van het nucleaire proces en de bediening van de reactor met analoge techniek gebeurt. Deze techniek is ongevoelig voor digitale verstoringen. Het reactorbeveiligingssysteem van de kerncentrale kan dus per definitie niet gehackt worden, althans niet via internet.
Toch zet het onderzoek wel aan tot denken, om twee redenen:
- Het roept de vraag op welke beveiligingsrisico’s nog meer worden gelopen als deze (schijnbaar basale) beveiliging niet op orde is. Een diepgaander cybersecurity onderzoek zou een logische vervolgstap zijn. Het zou ons ook niet verbazen als meer bedrijven naar hun cyberveiligheid zullen laten kijken naar aanleiding van dit onderzoek.
- Vanuit aansprakelijkheidsrisico’s is dit onderzoek ook relevant. Rechtbank Gelderland oordeelde recent over een hack van een website van een verhuurmakelaar. Iemand wiens gegevens waren buitgemaakt bij die hack stelde de makelaar aansprakelijk, onder andere vanwege onvoldoende beveiliging van de gegevens. De rechter stelde dat ook bij de meest optimale beveiliging niet volledig valt uit te sluiten dat cybercriminelen zich toegang verschaffen. Omdat de makelaar aangaf dat zijn beveiliging wel op orde was (en de klager het tegendeel niet kon bewijzen) hield het voor hem op.
Dat besluit had heel anders uit kunnen vallen als die betrokkene de rechter (met hulp van een ethical hacker) een gespooft mailtje had gestuurd dat vanaf het domein van die makelaar lijkt te komen. Of als die makelaar in het onderzoek was genoemd als een van de bedrijven die haar e-mail beveiliging niet op orde heeft.
Hoe zit het met de rest van de beveiliging
De stelling dat 43 van de 100 door Zembla en de Internet Cleanup Foundation onderzochte bedrijven “hun e-mail onvoldoende (hebben) beschermd tegen cybercriminaliteit, zoals phishing, spoofing en ransomware” is wat kort door de bocht. Toch is dit onderzoek wel relevant. Enerzijds omdat de bevindingen de vraag oproept hoe het met de rest van de beveiliging zit bij die (en andere) bedrijven.
Bron: anoniem, bdo.nl, rechtspraak.nl, bnnvara.nl/zembla, binnenlandsbestuur.nl
Vitale infrastructuur gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Spoofing gerelateerde berichten
Telefoonspoofing: Hoe oplichters met bekende bedrijven je vertrouwen winnen
Reading in 🇬🇧 or another language
Internationale spoofingdienst 'iSpoof' offline en 142 arrestaties
First click here and then choose your language with the Google translate bar at the top of this page ↑
677 miljoen euro schade door online criminaliteit tegen burgers
English | Français | Deutsche | Español | Finland | Meer talen
Spoofcalls en robocalls vaak gebruikte ingrediënten bij cybercriminelen
Cybercrime komt steeds vaker voor. In plaats van ouderwets een bank te overvallen, hebben criminelen tegenwoordig allerlei manieren om online je geld af te troggelen. Je kent phishing en WhatsApp-fraude waarschijnlijk al. Maar je moet tegenwoordig ook goed opletten wie jou precies belt. Is het echt de Belastingdienst of jouw telecomprovider? Of probeert iemand je via de telefoon op te lichten? In dit artikel leggen we je uit wat 'spoofcalls' en 'robocalls' zijn, waarom ze veel schade kunnen opleveren en hoe je je er tegen kunt wapenen.
Spoofing: ‘Twee soorten slachtoffers, de mensen die gebeld worden, en de mensen die hun telefoonnummer misbruikt zien worden’
Hoe kunnen criminelen vanuit het echte nummer van jouw bank bellen? En, nog veel belangrijker, hoe zorg je ervoor dat je niet in hun val trapt? Dit moet je weten over spoofing, een veelvoorkomende vorm van telefonische oplichting.
Het onderzoek roept vragen op over de beveiliging van 100 vitale bedrijven en organisaties
'Zembla' en de 'Internet Cleanup Foundation' deden onderzoek naar e-mailbeveiliging bij 100 vitale bedrijven en organisaties. Hieruit zou blijken dat 43 van hen “hun e-mail onvoldoende (hebben) beschermd tegen cybercriminaliteit, zoals phishing, spoofing en ransomware”. Als je het onderzoek van Zembla nader inziet gaat het niet om bescherming tegen al deze vormen van cybercriminaliteit, maar om bescherming tegen spoofing.