We kennen allemaal de security-risico’s van e-mail. Malware, spam, phishing, ransomware... vroeg of laat krijgt iedereen ermee te maken, helaas. Gelukkig zijn er verschillende tegenmaatregelen mogelijk: virusscanners, anti-spam en vooral de phishing filters zijn tegenwoordig behoorlijk effectief.
Desondanks kan er nog veel misgaan. Want de digitale criminelen zitten ook niet stil en misbruiken zonder dat je het weet jouw e-maildomein en goede reputatie.
De gehackte mailbox
Onlangs ontving een medewerker van één van onze klanten een e-mail die gestuurd was vanuit zijn eigen mailbox. Daarin werd door een crimineel gemeld dat niet alleen zijn mailbox was ‘overgenomen’ maar zijn hele PC en dat hij in het bezit was van belastend beeldmateriaal. De medewerker werd gesommeerd onmiddellijk 1000 USD over te maken naar een bitcoin wallet. De volgende dag ontving hij weer een dreigmail, waarbij hij wederom echt zélf de afzender was. Hoe kon dit gebeuren? Was zijn mailbox inderdaad gehackt?
Hoe veilig is je domeinnaam – en daarmee je merk?
Wat veel mensen niet weten, is dat hun domeinnaam dagelijks misbruikt wordt door zogenoemde “bad-actors”. Deze bad-actors zoeken op internet e-maildomeinen met goede reputatie (zoals die van jou) om deze te misbruiken voor het versturen van kwaadaardige e-mails. Dit doen ze met jouw domeinnaam zonder dat jij dit weet. Zo sturen ze bijvoorbeeld e-mails naar een collega om hem te vragen om een bepaalde opdracht uit te voeren zoals bijvoorbeeld een rekeningnummer aan te passen of een geldbedrag over te maken. Maar dit gebeurt ook buiten je organisatie om.
Hoe doen ze dat?
Dit doen ze door middel van spoofing, oftewel het misbruiken van jouw gegevens met in dit geval je e-mailadres, met als doel om tijdelijk een valse identiteit aan te nemen. Door de goede reputatie van de domeinnaam komt de mail door de meeste spamfilters heen en kunnen de bad-actors toch via deze weg kwaadaardige mails versturen met een hoge kans dat deze ontvangen worden.
Zo kunnen ze een legitiem uitziende e-mail versturen naar een leverancier van jouw bedrijf met bijvoorbeeld het verzoek om een product te leveren. Of ze misbruiken het e-maildomein van je leverancier om jouw administratie een valse factuur te sturen. Daarvoor hoeven ze dus je mailbox helemaal niet te hacken, zoals sommige mensen denken.
Hoe groot is dit probleem?
Doordat de meeste e-maildomeinen niet goed genoeg zijn beveiligd, zijn deze een gemakkelijk doelwit voor spoofing. Hoe bekender de (merk)naam, en hoe beter de reputatie, des te interessanter is het om zo’n domeinnaam te misbruiken om er grote aantallen e-mails mee te versturen. Of juist heel specifieke aanvallen uit te voeren, een zg. spear phishing attack. En omdat dit soort e-mails qua vorm en inhoud steeds geloofwaardiger worden, is het een kwestie van tijd dat iemand in jouw organisatie er een keer slachtoffer van wordt.
Volgens een onderzoek is 97% van de gebruikers niet in staat een geavanceerde phishing mail te herkennen. Wereldwijd is 75% van de organisaties in het afgelopen jaar in aanraking gekomen met een phishing aanval. Een gemiddelde spear phishing attack leidt tot een schadepost van 1.6 miljoen dollar. Dit zijn inderdaad schokkende cijfers. Maar wat kun jij eraan doen?
Hoe kan een domeinnaam/merk hiertegen beschermd worden?
Dit kan door het implementeren van een protocol genaamd DMARC (Domain-based Message Authentication, Reporting and Conformance). Dit is een authenticatieprotocol dat e-maildomeinen beschermt tegen niet-geautoriseerde zenders.
Hoe werkt dit dan?
Elke e-mail die verstuurd wordt, zou zich moeten authentiseren. Dit kan om te beginnen via SPF (Sender Policy Framework). Maar dit is lang niet in alle gevallen voldoende. Daarnaast is het implementeren van DKIM (Domain Keys Identified Mail) wenselijk voor een goede authenticatie.
Wanneer iemand een ongeauthentiseerde e-mail probeert te versturen, zal de Message Transfer Agent (MTA) van de provider hierop reageren en kan de e-mail worden tegengehouden. Dit doet de provider door een actie uit te voeren, die gedefinieerd staat in het gepubliceerde DMARC (Domain-based Message Authentication, Reporting and Conformance). De in DMARC gedefinieerde acties kunnen zijn:
- None (doe niets)
- Quarantine (stuur de mail naar quarantaine)
- Reject (weiger de mail)
Als DMARC niet is geconfigureerd – en dat is bij de meeste domeinen het geval – wordt ongeauthentiseerde e-mail gewoon afgeleverd. En dat is wat er normaliter gebeurt met e-mails, maar dus ook met phishing e-mails. Voordat je DMARC kunt implementeren en ongeauthentiseerde e-mail kunt blokkeren, dient er eerst een en ander te gebeuren om te voorkomen dat legitieme e-mails niet goed worden afgeleverd.
Hoe weet ik dat mijn domein misbruikt wordt?
Hiervoor moet je eerst een analyse doen en een DMARC DNS-record aanmaken met een zogeheten ‘reporting address’. Naar dit adres sturen de meeste providers die de gepubliceerde DMARC-records respecteren, een bericht, zodat je deze kunt analyseren en inzicht kunt krijgen in hoeveel misbruik er gemaakt wordt van jouw domein. Na het verzamelen van de data kun je een rapportage maken, zoals in onderstaande grafiek is weergegeven.
Uit de rapportage blijkt dat, zonder dat onze klant dit wist, in Ukraine, Rusland en China met zijn domeinnaam veelvuldig e-mails gestuurd worden, met alle potentiële schadelijke gevolgen van dien.
Honderden mensen ontvangen misschien wel valse berichten, phishing mails, virussen of spam uit jouw naam!
Ik wil misbruik en reputatieschade voorkomen. Hoe pak ik dat aan?
Alles begint met dingen zichtbaar maken. Wij laten je kosteloos zien of jouw domein ook misbruikt wordt door kwaadwillenden. We stellen dan een plan van aanpak op om dit probleem effectief te bestrijden middels een DMARC Stappenplan.
Meer weten? Stuur een mail naar bart.bossers@inisi.com of bel met 010-4368822.
