E-mail spoofing: hoe een hacker jouw e-mailadres kan kapen

Een tijdje terug kwam een kennis van mij in lichte paniek naar me toe: “Dries, ik vrees dat mijn werkmail is gehackt, wat moet ik nu doen?” Enkele collega’s hadden op een ochtend een e-mail van hem ontvangen met de vraag om een betaling uit te voeren. Alleen, hij had die e-mail nooit naar hen gestuurd. Bij nader onderzoek werd snel duidelijk wat er aan de hand was: mijn kennis zijn e-mailadres was gespoofd.

E-mail spoofing is een veelgebruikte techniek waarbij het e-mailadres van de afzender vervalst wordt. Het wordt vaak gebruikt bij phishingpogingen of om spamberichten te verspreiden. De auteur van de spoofmail probeert zijn eigen identiteit te verbergen en doet zich voor als iemand anders om zo het vertrouwen van de ontvanger te winnen. Het spoofen van een e-mailaders blijkt niet eens zo moeilijk vanwege de manier waarop e-mail is opgebouwd. Techzine ging ten rade bij Alex Ongena, Managing Director bij AXS Guard.

“Spoofing is een probleem dat al jaren bestaat, sinds e-mail voor het eerst populair werd en de eerste kapers op de kust kwamen”, vertelt Ongena. “Het probleem ligt bij de basisspecificatie van e-mail. Die werd in de jaren ’80 opgemaakt, toen er van misbruik nog geen sprake was, en bevat geen controlemechanismen om de identiteit van de afzender te valideren.”

Om te begrijpen wat Ongena daar precies mee bedoelt, is wat technische achtergrond nodig over de manier waarop een e-mail is opgebouwd. Enerzijds heb je de body. Dat is de inhoud van een e-mail die je als ontvanger te zien krijgt. Daarnaast heb je ook de headers. Die zijn deels onzichtbaar en bevatten belangrijke informatie over de e-mail zoals het onderwerp, de afzender en de weg die het bericht heeft afgelegd om in je mailbox te raken. In Outlook kan je de headers bekijken door een mailbericht te openen en vervolgens naar ‘Bestand’ > ‘Eigenschappen’ > ‘Internetheaders’ te navigeren.

Envelope en briefhoofd

“In die headers staat heel veel informatie, maar een aantal belangrijke velden daarin gaan over de afzender”, legt Ongena uit. Ten eerste is er de zogenaamde ‘envelope’ die door de mailserver wordt gebruikt om de e-mail op de juiste plaats te krijgen. Die bevat de velden ‘MAIL FROM’ en ‘RCPT TO’ om de afzender en ontvanger van de e-mail aan te duiden, net zoals dat het geval zou zijn op een enveloppe bij papieren post. Deze informatie is niet zichtbaar voor de eindgebruiker.

“Een tweede afzenderheader is de from header die je als ontvanger in je client te zien krijgt. Deze kan bijna vrijelijk ingevuld worden”, aldus Ongena. In de analogie met papieren post kan je deze header vergelijken met een briefhoofd bovenaan een brief. Deze informatie dient om de gebruiker te informeren van de afzender.

Het probleem is dat zowel de envelope header als de from header standaard op geen enkel moment gecontroleerd worden. “Doordat er inhoudelijk geen checks op gebeuren, is het heel eenvoudig om mensen te misleiden”, waarschuwt Ongena.

Sender Policy Framework

Doorheen de jaren zijn er enkele technische oplossingen bedacht om die lacune in de e-mailspecificatie te adresseren. Eén daarvan is het Sender Policy Framewok (SPF). SPF vereist het gebruik van een TXT-record in de DNS-server waarin wordt aangegeven welke servers berichten mogen sturen namens een domeinnaam. “De ontvangende e-mailserver kan dan een check doen of de mailserver die mij een e-mail probeert te sturen wel gewettigd is om uit naam van dat domein e-mails te versturen”, verduidelijkt Ongena.

Als er een probleem is bij die controle, kan de ontvangende e-mailserver beslissen wat er met de mogelijk frauduleuze e-mail moet gebeuren. “De server kan beslissen om de e-mail toch gewoon door te laten, maar dat helpt natuurlijk niet veel. Een betere instelling zou zijn om in de e-mail aan te geven aan de gebruiker dat de afzender mogelijk niet is wie hij beweert te zijn. Nog beter is natuurlijk om de e-mail gewoon te blokkeren”, vertelt Ongena.

In een ideale wereld zou elke mailserver kiezen voor die laatste optie en verdachte mails onmiddellijk blokkeren. In praktijk is dat evenwel niet altijd het geval. Het gespoofde mailtje van mijn kennis werd gewoon bij zijn collega’s afgeleverd, al stond er wel een melding in de e-mail dat het de fraudechecks van Office 365 niet had doorstaan. “Die online diensten willen vaak zo weinig mogelijk support. Stel dat jij toch een mail verwacht en je krijgt hem niet omdat hij geblokkeerd is vanwege een configuratiefout bij de afzender, dan ga je wellicht klagen bij Office 365 dat je geen mails binnen krijgt”, legt Ongena uit.

Naast SPF zijn er de voorbije jaren nog andere technologieën ontwikkeld, zoals bijvoorbeeld DomainKeys Identified Mail (DKIM). “Dat is een meer geavanceerd mechanisme dat bepaalde zaken in dee-mail gaat encrypteren”, zegt Ongena. DKIM voegt een digitale handtekening toe aan een e-mail waarmee de authenticiteit van een e-mail kan worden gecontroleerd.

Populair

Een e-mailserver spoofen blijft ondanks alle maatregelen erg triviaal. “Spoofing is één van de meest eenvoudige systemen om te gebruiken. Er zijn programma’s beschikbaar waarmee je een e-mailserver kan nabootsen en gelijk welke data in de headervelden kan invullen. Dat verklaart waarschijnlijk ook de enorme hoeveelheden en het grote succes”, zegt Ongena.

Ongena’s bedrijf, AXS Guard, biedt klanten onder meer bescherming tegen frauduleuze e-mails en houdt daar statistieken van bij. “Spoofing is nog altijd de nummer één. Bijna 60 tot 65 procent van de e-mails kunnen sowieso al worden geblokkeerd omdat je vanuit de e-mailadressen kan afleiden dat ze gespoofd zijn.”

Als eindgebruiker is er weinig dat je tegen spoofing kan doen, behalve alert zijn. Mijn kennis hoeft zich dus niet schuldig te voelen, hij had gewoon pech om er als slachtoffer te worden uitgepikt. Zijn werkgever kan wel maatregelen treffen. “Die werkgever kan in Office 365 zijn policy herbekijken van wat er moet gebeuren met e-mails die de security checks falen. Als hij daar zegt om die gewoon te blokkeren, zou dat al een betere instelling zijn. Er kunnen altijd nog uitzonderingen worden toegelaten”, adviseert Ongena.