Actueel

Actuele ontwikkelingen

We houden je graag op de hoogte van de laatste ontwikkelingen op het gebied van security awareness, informatiebeveiliging en privacy. Mis niets van onze blogs, diensten en events door je in te schrijven voor onze periodieke updates.

arrow-down

You got spoofed! Alle ins en outs over email spoofing

Afgelopen week werd het weer breed uitgemeten in het nieuws: "spoofing". Een man kreeg een telefoontje van, zo stond op zijn telefoonscherm, de ING helpdesk. Met een babbeltruc werd de man overtuigd om zijn geld, €27.500, op een andere rekening te storten. Dit is een voorbeeld van telefonische spoofing. Zakelijk zien we veel meer risico in e-mail spoofing. Ook bij onze klanten zien we dat niet altijd de juiste technische maatregelen zijn genomen om e-mail spoofing tegen te gaan. Op deze manier zijn ze kwetsbaar voor spear phishing-aanvallen, zoals CEO-fraude. Deze aanvallen zijn alleen af te weren door bewuste en alerte medewerkers.

02 jun photo

Wat is e-mail spoofing?

‘Spoofing’ kan vertaald worden als ‘nabootsing’. Bij e-mail spoofing wordt een e-mailadres nagebootst en daarmee wordt de afzender vervalst. Dit kan een organisatie zijn of een persoon uit de eigen organisatie. Het is een trucje dat eigenlijk door iedereen uitgevoerd kan worden. Je kunt het vergelijken met briefpost: daar kun je namelijk ook een andere ontvanger of afzender op de envelop schrijven.

Het grappige is dat niet de vervalser, maar de echte eigenaar van het e-mailadres een eventueel antwoord op het vervalste bericht ontvangt. Hier gaat het de crimineel echter niet om. Er wordt door criminelen gebruik gemaakt van spoofing om het vertrouwen van de ontvanger te winnen en hem of haar zodoende links of bijlagen te laten openen. Men is immers sneller geneigd om actie te ondernemen op een mail afkomstig van, zo lijkt, een betrouwbare organisatie of persoon uit de eigen organisatie dan op een mail van een onbekende afzender.

Hoe kan je je als organisatie wapenen tegen e-mail spoofing?

Goed ingestelde e-maildiensten controleren of de afzender ook daadwerkelijk de afzender is, maar vaak is dit niet het geval. De volgende technische oplossingen kunnen e-mail spoofing voorkomen.

SPF: bekijkt of de verzender namens het e-mailadres een mail mag verzenden. De ontvangende partij controleert dit en bepaalt of de mail wordt geblokkeerd of wordt doorgelaten.
DKIM: ondertekent je e-mails met een digitale handtekening waarmee de ontvanger weet dat de mail door de bijbehorende mailserver is verzonden.
DMARC: bepaalt wat er gebeurt met mails die niet voldoen aan de SPF- en DKIM-voorwaarden.

Train medewerkers

Train medewerkers in het herkennen en afwenden van risico's. Spoofing is alleen te herkennen door bewuste en alerte medewerkers. Twijfel je? Neem dan op een andere manier contact op met de afzender om te verifieren of het bericht legitiem is en laat je niet onder tijdsdruk zetten. Onder tijdsdruk worden vaak overhaaste beslissingen gemaakt. Moedig je medewerkers ook aan in het doen van meldingen bij twijfel.

Awaretrain en spoofing

Bij onze phishing simulaties voeren we standaard een e-mail spoof test uit om te controleren of de e-mailadressen van jouw organisatie vervalst kunnen worden. Daarnaast bieden we verschillende oplossingen om medewerkers te trainen en te testen op het gebied van informatiebeveiliging, cyber security en privacy. Activeer de human firewall! Bekijk al onze producten

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte via onze nieuwsbrief

Inschrijven

Actuele ontwikkelingen

Mis niets van onze blogs, diensten en events door je in te schrijven voor onze periodieke updates.

logo 18 aug
Telefonische social engineering: schrikbarend effectief Lees meer
logo 23 jul
BLOG | 2 jaar AVG: waar staan we nu? Lees meer
logo 14 jul
BLOG | Wat maakt een security awareness campagne succesvol? En waarom schieten ze toch vaak tekort? Lees meer
Nieuwsarchief