Spoofing, wat is het en hoe kan je het voorkomen? 

Je hebt het vast wel eens binnengekregen: een sms of e-mail waarin staat dat er problemen zijn met je bank of verzekering, je moet bijvoorbeeld een nieuwe bankpas aanvragen via een website. Om dit op te lossen moet je inloggen met je gebruikersnaam en wachtwoord. Spoofing is een groot probleem in Nederland. In 2022 ontving de Belastingdienst 42.352 meldingen van criminele pogingen om persoonlijke gegevens of geld te stelen van mensen. Deze pogingen vonden plaats via telefoon, e-mail of sms, waarbij fraudeurs zich onterecht voordeden als de Belastingdienst. Grote kans dat dit spoofing bericht is! Wat is spoofing precies, welke soorten zijn er, wat zijn de gevolgen en hoe kun je het herkennen? Je leest het in deze blog! 

Wat is spoofing? 

Bij spoofing imiteert iemand een betrouwbare afzender door gebruik te maken van vervalste informatie. Cybercriminelen kunnen zich bijvoorbeeld voordoen als vertegenwoordigers van een bedrijf om je te misleiden. Spoofing kan worden gebruikt om gegevens of wachtwoorden te stelen, malware te verspreiden of toegang te krijgen tot systemen. Er zijn verschillende soorten spoofing met verschillende doeleinden, het is daarom belangrijk om altijd alert te blijven bij de e-mails of telefoontjes die je binnen krijgt. Een bank zou bijvoorbeeld nooit via e-mail om je wachtwoord vragen of via SMS naar je bankrekening vragen.  

Verschillende vormen van spoofing

Er zijn verschillende vormen van spoofing. Dit zijn de meest voorkomende soorten: 

E-mail spoofing 

Bij e-mail spoofing doet iemand zich voor als een legitieme afzender, bijvoorbeeld als werknemer van een bank die je vraagt om snel in te loggen. Op het eerste gezicht lijkt de e-mail legitiem, maar als je goed kijkt zie je dat de domeinnaam waarschijnlijk niet klopt. E-mail spoofing wordt vaak gebruikt bij phishing-praktijken, gericht op het stelen van gegevens of wachtwoorden.  

Website spoofing 

Bij website spoofing wordt een website nagemaakt om je te misleiden. De link van de website lijkt legitiem, maar er zitten vaak kleine fouten in, bijvoorbeeld .com in plaats van .nl of er mist een letter in de domeinnaam. De link van de website wordt naar je doorgestuurd via een e-mail of sms. Er wordt bijvoorbeeld verteld dat jouw bankpas bijna vervalt en dat je via de link een nieuwe pas kan aanvragen. Als je op de link klikt ga je naar de nep inlogpagina van de bank met dezelfde kleuren, afbeeldingen en buttons. Hierbij lijkt het alsof je op de goede website zit, maar als je inlogt hebben cybercriminelen jouw gegevens. 

Telefoonnummer spoofing

Bij telefoonnummer spoofing bellen cybercriminelen je op en doen ze alsof ze van een groot bedrijf zijn. Vaak is er een probleem dat snel moet worden opgelost. Hierbij wordt geprobeerd om jou software te laten downloaden, geld over te maken of gegevens te delen. Een bank of de verzekering zou je nooit bellen en vragen naar je gegevens of wachtwoord.  

ID caller spoofing 

Bij ID caller spoofing lijkt het ten onrechte alsof de oproepen van een Nederlands nummer komen, terwijl ze uit het buitenland bellen. Dit komt omdat verschillende Telefoonfabrikanten telefoonnummers anders verwerken. Deze verschillen kunnen storingen veroorzaken bij internationale gesprekken. Hierdoor ziet de ontvanger wel een 06 nummer op het scherm, maar het gesprek verschijnt niet in de belgeschiedenis van het nummer dat is gespooft. Als iemand het nummer terugbelt, wordt het originele 06 gebeld. Hierdoor zijn de cybercriminelen niet te traceren. Deze methode wordt toegepast om een groter vertrouwen op te wekken. Ze hopen dat je eerder geneigd bent een binnenlands nummer te vertrouwen en sneller met ze in gesprek zult gaan. 

Wat zijn de gevolgen van spoofing? 

De gevolgen van spoofing kunnen voor individuen ernstig zijn. Je kunt bijvoorbeeld veel geld verliezen als je dit overmaakt naar een verkeerde ontvanger, maar als je je inloggevens van je bank deelt kan er ook veel geld worden gestolen. Identiteidsfraude of diefstal kan ook een gevolg zijn van spoofing, hierbij worden jouw gegevens misbruikt voor bijvoorbeeld andere oplichtingsvormen. In 2023 is een oudere dame opgelicht door iemand die zich voordeed als medewerker van de Rabobank. Mevrouw haar pincode afgegeven, met als gevolg dat er ruim duizend euro van haar rekening afgeschreven. 

Spoofing bij organisaties 

Voor organisaties kan spoofing de oorzaak zijn van financieel verlies. Wanneer een medewerker op een phishingmail klikt kan dit ernstige gevolgen hebben, zoals frauduleuze transacties of het betalen van vervalste facturen die voortkomen uit spoofing. CFO-fraude is hier een voorbeeld van. Doormiddel van OSINT wordt de naam van de CFO achterhaald. Deze naam wordt gebruikt in een mail die wordt gestuurd naar de werknemers over een factuur die snel moet worden betaald. Het is belangrijk dat de medewerkers verdachte e-mails kunnen herkennen en zich bewustzijn van de risico’s. Dit kan worden verbeterd doormiddel van een security awareness training. 

Ook reputatieschade kan een gevolg zijn, als de naam of dienst van een organisatie wordt gebruikt voor spoofing, hierbij kan de klant vertrouwen verliezen in de organisatie. Booking.com is bijvoorbeeld al maanden slachtoffer van een hardnekkig phishing probleem, waarbij klanten van het platform veel worden benaderd doormiddel van spoofing e-mails. 

Verschil tussen spoofing en phishing

Het onderscheid tussen phishing en spoofing ligt in het feit dat bij spoofing de identiteit van de afzender wordt gemaskeerd, waardoor het lijkt alsof de communicatie van een ander afkomstig is. Phishing daarentegen maakt gebruik van sociale manipulatietechnieken om mensen te verleiden tot het openen van berichten of het klikken op links, wat vaak resulteert in het onthullen van gevoelige informatie. 

Vaak worden spoofing en phishing gecombineerd door aanvallers om hun phishingcampagnes overtuigender te maken. Zo zijn deze nog moeilijker te herkennen. 

Terwijl cybercriminelen vaak spoofing samen met phishing inzetten om informatie te ontvreemden, zijn niet alle spoofingaanvallen phishing. Veel aanvallen zijn bedoeld om netwerken met malware te infecteren, een fundament te scheppen voor toekomstige aanvallen of voor het uitvoeren van DDoS-aanvallen. 

Hoe kan je de verschillende spoofing soorten herkennen?

Spoofing is aan verschillende manieren te herkennen. Hieronder wordt uitgelegd waaraan je de verschillende vormen kunt herkennen: 

e-mail spoofing 

• Check de afzender van de e-mail. Vaak het e-mailadres heel erg op de echte domeinnaam, maar staan er kleine foutjes is. Zo wordt bijvoorbeeld een Hoofdletter i gebruikt in plaats van een L. soms missen er ook letters of wordt een synoniem gebruikt. Als een nep domeinnaam heel erg op de echte lijkt, wordt dit typosquatting genoemd. Kijk ook naar de naam achter de @. Een bank zou bijvoorbeeld geen @gmail.com gebruiken. Je kan ook naar het SPF (Sender Policy Framenetwork) kijken. 
• Is het logisch dat je dit bericht ontvangt? Het is belangrijk om te kijken of het logisch is dat je dit bericht ontvangt. Krijg je een e-mail van een bank zonder jouw volledige naam als aanhef waarin staat dat je bankpas is verlopen en dat je nu moet inloggen? Denk goed na of het wel logisch is dat je dit bericht via de mail krijgt. 
• Let op spelfouten. Soms vertalen cybercriminelen e-mails naar het Nederlands, hier kunnen spelfouten of incorrecte zinnen in staan. 

Website spoofing 

• Website spoofing gaat vaak samen met een nep e-mail of sms. Hierbij kun je eerst kijken of deze e-mail of sms klopt. 
• Kijk goed naar de URL. Let op spelfouten en het laatste gedeelte van het domein (.org, .com, .nl)  

Telefoonnummer spoofing 

• Controleer het nummer. Dit kan eenvoudig door het nummer te Googlen of op de website van de beller te kijken.  
• Geef nooit persoonlijke informatie, zoals wachtwoorden of andere gegevens over de telefoon. Een bank of verzekering zou hier nooit om vragen.  
• Bedenk of het logisch is dat je wordt gebeld door de organisatie. Heb je geen afspraak en vragen ze je om snel gegevens te delen? Dan is het waarschijnlijk een nep telefoontje. 

Hoe kan je je organisatie beveiligen tegen spoofing? 

Als medewerkers van organisaties slachtoffer worden van spoofing, kan dit grote gevolgen hebben. Je kan je organisatie op verschillende manieren beschermen tegen spoofing.  

• Train medewerkers om verdachte e-mails en communicatie te herkennen. Dit kan met een security awareness training. 
• Gebruik firewalls en de outlook security coach. Zo kunnen spoofing pogingen worden geblokkeerd.  
• Gebruik tweestapsverificatie, dit maakt het moeilijker maakt voor aanvallers om toegang te krijgen tot accounts, zelfs als ze de inloggegevens hebben gespooft. 
• Gebruik lange en unieke wachtwoorden 
• Zorg er voor dat systemen en software up-to-date zijn om kwetsbaarheden aan te pakken die door aanvallers kunnen worden misbruikt. 

Conclusie 

Bij spoofing imiteert iemand een betrouwbare afzender. Vaak wordt het gebruikt om gegevens te stelen. Dit vindt plaats via verschillende kanalen, waaronder e-mails, telefoongesprekken en vervalste websites. De gevolgen voor induviduen of organisaties kunnen groot zijn, zo kan er financiele of reputatieschade ontstaan. Gelukkig is een spoofbericht aan verschillende punten te herkennen, zoals de URL of de afzender. Ook is het belangrijk om na te denken of het logisch is of je dit bericht ontvangt. Organisaties kunnen zich beschermen door maatregelingen te nemen, bijvoorbeeld security awareness trainingen, het gebruik van de Outlook Security Coach, het implementeren van firewalls, het hanteren van een sterk wachtwoordbeleid en het toepassen van tweestapsverificatie.