Iedereen kan mailen namens de AIVD dankzij 'spoofing'
Veel websites verzuimen maatregelen te nemen om valse e-mail te voorkomen. Daardoor is het mogelijk om e-mail te versturen die vanaf die websites afkomstig lijkt, bijvoorbeeld vanaf AIVD.nl of Defensie.nl. Dat is handig voor oplichters en anderen met kwade bedoelingen: het leidt ertoe dat internetters valse e-mail niet goed kunnen herkennen.
Gisteren maakte onderzoeksplatform Follow the Money bekend dat er iets schort aan de beveiliging van TweedeKamer.nl. De e-mails die daarvandaan worden verstuurd zijn te vervalsen. Maar ook veel andere adressen blijken te misbruiken: van de AIVD tot ministeries en zelfs energiebedrijven. Ook veel gemeenten hebben hun zaken niet op orde.
Dat betekent dat iedereen een e-mail kan sturen vanuit bijvoorbeeld de AIVD, de ministeries van Algemene Zaken en Defensie, vanuit de Rijksvoorlichtingsdienst, de Raad van State en vanuit zeker twee Nederlandse energiebedrijven.
Al die instanties hebben geen maatregelen genomen tegen e-mailspoofing. "Dat kun je het beste omschrijven als laks", zegt beveiligingsonderzoeker Rickey Gevers. "Ik kan geen reden bedenken waarom je die maatregelen niet zou nemen."
Met spoofing kunnen e-mails worden verzonden die afkomstig lijken van een bepaalde domeinnaam, zoals AIVD.nl, maar die in feite door iemand anders worden verstuurd. Eigenaren van domeinnamen kunnen maatregelen nemen om te voorkomen dat die vervalste e-mails ongehinderd bij ontvangers worden afgeleverd.
Het Cyber Security Centrum van de overheid adviseert alle overheidsinstellingen om dit soort maatregelen te nemen, laat de organisatie weten in een schriftelijke reactie. "Het is van groot belang dat ook overheidsinstellingen hun digitale veiligheid op orde hebben."
Nauwelijks te herkennen
Als die maatregelen niet worden genomen, is voor internetters nauwelijks te zien dat een mail vervalst is. In hun webmail wordt een geldig e-mailadres getoond, bijvoorbeeld 'rob.bertholee@aivd.nl' (Bertholee is de baas van de AIVD). Overigens betekent dat niet dat een aanvaller ook bij de e-mails kan die naar het vervalste adres worden gestuurd.
Een aanvaller zou een legitiem ogend e-mailadres kunnen misbruiken om mensen ertoe te verleiden op een linkje te klikken, met daarachter een virus of een formulier waarop persoonlijke gegevens moeten worden ingevuld. Doordat het om een geldig e-mailadres lijkt te gaan, is de kans groter dat mensen daarin trappen.
Ook zouden vervalste e-mails kunnen worden gebruikt om nepnieuws te verspreiden, bijvoorbeeld vanaf het domein van de Rijksvoorlichtingsdienst.
Antiek
Dat het misbruiken van e-mailadressen mogelijk is, komt doordat e-mail een antieke technologie is. "Het is nooit ontworpen voor de schaal waarop we het nu gebruiken", zegt beveiligingsonderzoeker 'Bastiaan' van het beveiligingsbedrijf Sincerus, die niet met zijn echte naam in de media wil.
Van oudsher is in e-mail nooit een controle op de verzender ingebouwd. Iedereen kan vanaf elk adres e-mail verzenden, zonder echt toegang te hebben tot een account. Toen internet alleen nog werd gebruikt door universiteiten en het leger was dat niet zo'n probleem, maar nu vrijwel iedereen toegang heeft tot internet wordt er vaak misbruik van gemaakt.
"Dat leidde tot allerlei lapmiddelen die misbruik weer moeten voorkomen", zegt Bastiaan. Die lapmiddelen zorgen ervoor dat niet zomaar elke e-mailserver kan worden gebruikt om e-mail namens een bepaald domein te sturen.
Vervalste mails kunnen worden herkend en naar de spamfolder worden verplaatst, of zelfs worden verwijderd. "Het is een relatief simpele manier om veel gezeur te voorkomen", zegt Bastiaan.
Uiteindelijk hebben ook ontvangers van e-mails een verantwoordelijkheid, vindt het Cyber Security Centrum. "Als je een e-mail niet vertrouwt, doe dan altijd even navraag bij de afzender."
