Cybercriminelen maken op grote schaal gebruik van bestaande e-maildomeinen om mensen op te lichten. Toch nemen veel Nederlandse bedrijven niet de juiste maatregelen tegen misbruik van hun e-maildomeinen. Zo blijkt uit onderzoek van Mimecast dat de adoptie van het DMARC-protocol in Nederland maar langzaam verloopt.
Het nabootsen van e-mailadressen – ook wel e-mailspoofing genoemd – is een populaire truc om een phishingmail zo overtuigend mogelijk te maken. De ontvanger ziet namelijk gewoon het vertrouwde e-mailadres in het veld van de afzender. Het vervalsen van een afzenderadres is bovendien vrij eenvoudig doordat het e-mailprotocol SMTP verouderd en slecht beveiligd is.
Met een gespooft e-mailadres kan een cybercrimineel zich voordoen als een werknemer of partner, en zo informatie of geld lospeuteren. Denk hierbij aan een verzoek aan de administratie om ‘even snel’ een betaling te voldoen. Maar e-mailspoofing is ook een groot probleem voor consumenten. Het wordt namelijk moeilijker om een phishingmail te herkennen als het e-mailadres van hun bank of energieleverancier ‘klopt’.
Hoe werkt DMARC?
De internetstandaarden DKIM en SPF helpen bij het tegengaan van e-mailspoofing. Via SPF (Sender Policy Framework) geeft een beheerder aan welke servers e-mails mogen verzenden namens een bepaald e-maildomein. DKIM (DomainKeys Identified Mail) is een soort digitale handtekening waarmee de ontvanger verifieert of de e-mail echt is verzonden door de eigenaar van het domein.
Het DMARC-protocol is gebaseerd op DKIM en SPF. Het controleert het authenticatieresultaat op SPF of DKIM en het adres van de afzender. Domeineigenaren kunnen ontvangers instructies geven voor wat er moet gebeuren als een bericht niet door de DMARC-test komt. Via dit DMARC-beleid kan een nepmail bijvoorbeeld automatisch worden geweigerd, zodat deze niet afgeleverd wordt. Samengevat geeft DMARC organisaties inzage in spoofing van hun e-maildomeinen én stelt het hen in staat deze berichten te blokkeren.
Nederland loopt achter
DMARC is dus een belangrijk wapen in de strijd tegen phishing en domeinmisbruik, maar dan moeten organisaties er natuurlijk wel gebruik van maken. Daarom riep de Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG) onlangs op tot een bredere adoptie van het DMARC-protocol. Directe aanleiding was de vloedgolf aan coronagerelateerde phishingaanvallen.
Vooral Nederland moet zich aangesproken voelen, vindt Mimecast. Slechts 13 procent van de Nederlandse deelnemers aan het onderzoek ‘State of Email Security’ geeft aan dat de eigen organisatie gebruikmaakt van DMARC. Dit is veruit het laagste percentage van alle onderzochte landen. Het wereldwijde gemiddelde is 23 procent, en in de VS gaat het zelfs om 36 procent.
