Veel websites verzuimen maatregelen te maatregelen om valse e-mail te voorkomen. Daardoor is het mogelijk om e-mail te versturen die vanaf die websites afkomstig lijkt, bijvoorbeeld vanaf AIVD.nl of Defensie.nl. Dat is handig voor oplichters en anderen met kwade bedoelingen, maar leidt ertoe dat internetters valse e-mail niet goed kunnen herkennen.
Gisteren maakte onderzoeksplatform Follow the Money bekend dat er iets schort aan de beveiliging van TweedeKamer.nl. De e-mails die daarvandaan worden verstuurd zijn te vervalsen . Maar ook veel andere adressen blijken te misbruiken: van de AIVD tot ministeries en zelfs energiebedrijven. Ook veel gemeenten hebben hun zaken niet op orde.
Dat betekent dat iedereen een e-mail kan sturen vanuit bijvoorbeeld de AIVD, de ministeries van Algemene Zaken en Defensie, vanuit de Rijksvoorlichtingsdienst, de Raad van State en vanuit zeker twee Nederlandse energiebedrijven.
De Tweede Kamer heeft maatregelen genomen naar aanleiding van het nieuws dat mensen vanaf ‘@tweedekamer.nl’-adressen konden mailen.
Al die instanties hebben geen maatregelen genomen tegen e-mailspoofing. “Dat kun je het beste omschrijven als laks”, zegt beveiligingsonderzoeker Rickey Gevers. “Ik kan geen reden bedenken waarom je die maatregelen niet zou nemen.”
Met spoofing kunnen e-mails worden verzonden die afkomstig lijken van een bepaalde domeinnaam, zoals AIVD.nl, maar die in feite door iemand anders worden verstuurd. Eigenaren van domeinnamen kunnen maatregelen nemen om te voorkomen dat die vervalste e-mails ongehinderd bij ontvangers worden afgeleverd.
Het Cyber Security Centrum van de overheid adviseert alle overheidsinstellingen om dit soort maatregelen te nemen, laat de organisatie weten in een schriftelijke reactie. “Het is van groot belang dat ook overheidsinstellingen hun digitale veiligheid op orde hebben.”
Nauwelijks te herkennen
Als die maatregelen niet worden genomen, is voor internetters nauwelijks te zien dat een mail vervalst is. In hun webmail wordt een geldig e-mailadres getoond, bijvoorbeeld ‘rob.bertholee@aivd.nl’ (Bertholee is de baas van de AIVD). Overigens betekent dat niet dat een aanvaller ook bij de e-mails kan die naar het vervalste adres worden gestuurd.
Een aanvaller zou een legitiem ogend e-mailadres kunnen misbruiken om mensen ertoe te verleiden op een linkje te klikken, met daarachter een virus of een formulier waarop persoonlijke gegevens moeten worden ingevuld. Doordat het om een geldig e-mailadres lijkt te gaan, is de kans groter dat mensen daarin trappen.
Ook zouden vervalste e-mails kunnen worden gebruikt om nepnieuws te verspreiden, bijvoorbeeld vanaf het domein van de Rijksvoorlichtingsdienst.
Antiek
Dat het misbruiken van e-mailadressen mogelijk is, komt doordat e-mail een antieke technologie is. “Het is nooit ontworpen voor de schaal waarop we het nu gebruiken”, zegt beveiligingsonderzoeker ‘Bastiaan’ van het beveiligingsbedrijf Sincerus, die niet met zijn echte naam in de media wil.
Bron: Iedereen kan mailen namens de AIVD dankzij ‘spoofing’ | NOS