Nepmails zijn onderhand niet meer van echt te onderscheiden


Nepmails van criminelen worden steeds professioneler. Kun je nog verwachten dat de consument niet klikt?


Het is er bij consumenten inmiddels ingehamerd: klik niet zomaar op een link in een e-mail die je niet vertrouwt, en let goed op of het e-mailadres van de afzender wel legitiem is. Maar nu de zogenoemde phishingmails steeds professioneler worden, is het de vraag of je dat nog wel van de internetter kunt verwachten. Helemaal omdat het kinderlijk eenvoudig is om echt ogende e-mails uit naam van bedrijven te versturen.

Dat laatste heet spoofing: het e-mailadres lijkt te kloppen, maar in werkelijkheid is het bericht niet vanuit het account van het bedrijf verstuurd. Op internet zijn verschillende spoofingprogramma's beschikbaar die geen enkele technische kennis vereisen. Een nepbericht maak je er in een handomdraai.


Maatregelen

Een bedrijf kan technische maatregelen nemen om dat tegen te gaan. Daarvoor bestaan beveiligingsstandaarden, die al het e-mailverkeer monitoren en, als ze goed worden toegepast, de valse berichten tegenhouden. Bij de overheid is het gebruik van die technieken sinds 2017 verplicht. Vanaf volgend jaar wordt het bovendien verplicht om ze strikter af te stellen. Dat betekent dat alleen monitoren niet meer genoeg is. Het systeem moet ook e-mails kunnen stoppen.

Uit de laatst beschikbare meting blijkt dat beveiligingsstandaarden bij een deel van de gemeenten, provincies en andere overheden nog altijd ontbreken. Zo monitort een derde het e-mailverkeer nog steeds niet. Maar, zo stelt het Forum Standaardisatie die de metingen uitvoert, het gebruik ervan is wel groeiende.

Voor het bedrijfsleven bestaat zo'n verplichting niet. Wel raadt het Nationaal Cyber Security Centrum in Den Haag de standaarden aan. Hoewel internetcriminelen inmiddels manieren hebben gevonden de beveiliging te omzeilen, kunnen bedrijven zo de kans op nepmails wel verkleinen.


Vicieuze cirkel

Volgens beveiligingsexperts Huy Kha en Jelena Milosevic doen bedrijven dat veel te weinig. Kha helpt organisaties met het implementeren van de technieken. Hij hoort vaak de vrees dat ook echte e-mails door de beveiliging worden tegengehouden. Dat kan gebeuren als je de beveiliging niet goed inzet, maar dat is volgens hem geen reden om niets te doen. "Iedereen lijkt te accepteren dat het eenvoudig is om spoofingberichten te versturen. Maar het is een soort vicieuze cirkel: als niemand maatregelen neemt, wordt het ook nooit veiliger."

Milosevic klopt regelmatig aan bij organisaties om onveilige e-mailsystemen te melden. Zij vindt dat de verantwoordelijkheid nu te veel bij de consumenten ligt. "Waar moet je nog op letten als het e-mailadres en de inhoud lijken te kloppen? Bedrijven moeten ook de maatregelen nemen, niet alleen consumenten."

De Fraudehelpdesk, waar mensen phishing kunnen melden, erkent dat. De organisatie zag het afgelopen jaar meerdere grote spoofingcampagnes voorbij komen, maar heeft geen cijfers over exacte aantallen. "De consument moet blijven opletten, maar is zeker niet alleen verantwoordelijk", aldus een woordvoerder.

Ook bedrijven die gevoelig zijn voor nepmails noemen spoofing een probleem. Waarom de beveiligingsmaatregelen soms dan toch ontbreken? T-mobile is ermee bezig, maar het kost veel tijd het in te voeren bij alle bedrijfsonderdelen, aldus een woordvoerder. Vodafone/Ziggo (die sinds vorig jaar samenwerken) gebruikt de beveiligingstechnieken wel, maar niet heel strikt. Op dit moment wordt er gekeken of dat anders moet. Ondertussen richt het bedrijf zich vooral op voorlichting aan de klant over nepmails.

Ook Translink, dat verantwoordelijk is voor ov-chipkaart.nl, zegt te kijken of de beveiliging strenger moet. Dat kost tijd, omdat het bedrijf het risico wil vermijden dat ook authentieke e-mails worden tegengehouden. "Maar we nemen het heel serieus, want elk geval van fraude is schadelijk", aldus een woordvoerder.


Dit kan je als bedrijf doen om nepmails tegen te gaan

Met SPF kan een organisatie een lijst maken met servers die e-mails mogen versturen. DMARC is een techniek die al het inkomende en uitgaande berichtenverkeer rapporteert. Afhankelijk van hoe strikt de beveiliging wordt ingesteld, kunnen berichten die mogelijk nep zijn, worden tegenhouden of naar de spambox van de ontvanger worden gestuurd. Ook DKIM is één van de standaardtechnieken: het ondertekent e-mails van een bepaalde domeinnaam, al bewijs van echtheid voor de ontvangende server.

De provider die de berichten ontvangt, moet deze beveiligingsmaatregelen eveneens nemen om ze goed te laten werken.

Controleren of een bedrijf de technieken gebruikt? Dat kan via internet.nl.


Trouw, 24-09-2018 (Kristel van Teeffelen)