Loading

SPOOFING EEN VEILIG DIGITAAL SPECIAL

Inhoud:

Spoofing is het vervalsen van kenmerken met als doel om tijdelijk een valse identiteit aan te nemen.

Dit kan bijvoorbeeld gaan om e-mail, website, IP-adres, telefoonnummer en biometrische kenmerken

We spreken van spoofing als er een trucje gebruikt wordt om een andere identiteit aan te nemen. Een bekend voorbeeld van spoofing is bijvoorbeeld het krijgen van een (phishing)mail van jouw eigen e-mailadres of zogenaamd namens een bestaand e-mailadres van een bank.

E-mail spoofing

Bij e-mailspoofing wordt een e-mail verstuurd vanuit een e-mailadres dat niet echt van de afzender is. Iedereen kan het trucje voor e-mailspoofing toepassen als een e-mailadres niet beveiligd is door een Sender Policy Framework (SPF).

Er zijn diverse websites met e-mail spoofing tools

Kan ik verhinderen dat er ongeoorloofde mails in mijn naam verzonden worden?

Je kunt gebruik maken van SPF om je te wapenen tegen spoofing. Sender Policy Framework (SPF) is een e-mail validatiesysteem dat speciaal hiervoor bedacht werd.

Om e-mail nabootsing te voorkomen kan je een zogenaamd SPF record toevoegen aan je domeinnaam. Dit is een stukje tekst in je domeingegevens waarin staat welke servers e-mails kunnen versturen namens jouw bedrijf. Als een bericht wordt verzonden door iemand anders, wordt het bericht door de ontvanger automatisch in de ongewenste e-mail map geplaatst. Om dit in te stellen kan je contact opnemen met de partij waar je de domeinnaam van jouw bedrijf aangeschaft hebt.

Helaas dekt dit niet alle vormen van e-mailspoofing af. Indien een oplichter zelf een domeinnaam aanvraagt die erg op die van jou lijkt, dan heeft een SPF record geen effect.

Offline halen nagebootste domeinnaam

Indien iemand de domeinnaam van jouw onderneming heeft nagemaakt, kan je proberen deze offline te laten halen door de partij die de website levert. Maak van tevoren een documentje met bewijs van de nabootsing, bijvoorbeeld door screenshots van de nagebootste webpagina of e-mails te maken.

Om de nagebootste webpagina vervolgens offline te laten halen, vul je de domeinnaam van de nagemaakte website in op https://whois.icann.org. Als je op 'lookup' klikt zie je onder het kopje 'Registrar Information' contactgegevens die je kan gebruiken in het geval van misbruik. Met deze personen kan je afstemmen wat nodig is om de nagemaakte pagina offline te laten halen. In veel gevallen zal je moeten aantonen hoe jouw eigen website eruit ziet en aangeven waarom je vindt dat de nagemaakte website overeenkomsten vertoont met die van jouw onderneming. Daarnaast kan je melding doen bij de Fraudehelpdesk.

Website(URL) spoofing

Websitespoofing kom je vaak tegen in combinatie met een valse mail. Als je op een link van een valse mail klikt, kun je terecht komen op een neppe website die precies lijkt op de officiële website. Dit is websitespoofing.

Een kleine aanpassing in het webadres is al voldoende om je te misleiden

Bij websitespoofing lijkt de URL op die van de officiële website, maar staan er letters niet goed of eindigt het niet op .nl. Zo kunnen ze bijvoorbeeld een kleine letter l (dit is een L) typen als hoofdletter I (en dit is een i). Je ziet het verschil bijna niet. Dit fenomeen heet ‘typosquatting’.

Vergelijk de url met de website die je niet helemaal vertrouwt met de URL van de officiële website. Als dit niet overeenkomt, dan is de kans groot dat je te maken hebt met een namaaksite. Je kunt ervoor zorgen dat je hier niet intrapt door de url handmatig in te typen in jouw browser en deze vervolgens te vergelijken met de url van de nep website. Als dit niet overeenkomt, heb je hoogstwaarschijnlijk te maken met een nep website!

Telefoonnummer spoofing

Bij spoofing met telefoonnummers nemen de oplichters een ander telefoonnummer aan. Ze bellen bijvoorbeeld met een Nederlands nummer terwijl zij zich helemaal niet in Nederland bevinden. Deze truc wordt veel gebruikt bij helpdeskfraude, waarbij oplichters je bellen namens een helpdesk van grote bedrijven zoals Microsoft. Uiteindelijk hopen ze je ertoe aan te sporen om de beller de controle over jouw computer te geven, zogenaamd om een bepaalde bug te verhelpen.

Ook gebruiken cybercriminelen deze methode om zich voor te doen als medewerkers van jouw bank. Op deze wijze proberen ze informatie te krijgen of geld weg te sluizen naar hun rekeningen. Bekijk de video hoe de criminelen te werk gaan.

De truc is mogelijk dankzij het bellen via internet. Met nummers van vaste lijnen valt bijna niet te sjoemelen, maar apps die via internet bellen 'plakken' zelf een nummer op een uitgaand gesprek. Echter ook vaste nummers zijn niet uitgesloten van spoofing. Elk jaar komen er bij de Fraudehelpdesk duizenden meldingen binnen over deze vorm van oplichting. Elk willekeurig telefoonnummer in Nederland kan gebruikt worden. Je kunt apps downloaden waarmee je je eigen telefoonnummer kunt vervangen door een telefoonnummer van iemand anders.

Voorbeeld van een website met spoofing tools

Legaal, maar niet onschuldig

De techniek is volledig legaal. Veel bedrijven gebruiken het bijvoorbeeld om doorkiesnummers van werknemers af te schermen. Ze sturen alleen het algemene telefoonnummer mee.

Wat kun je doen?

Help banken om oplichters op te sporen en hun bankrekeningen te blokkeren door voorvallen van spoofing zo snel mogelijk te melden bij jr eigen bank, vooral als je schade hebt. Bij een valse SMS kun je de volledige tekst van het valse bericht kopiëren, inclusief een eventuele hyperlink in de SMS, en in een e-mail plakken die je doorstuurt naar jouw bank. Wanneer je een vals SMS-bericht doorstuurt naar jouw bank, zorg dan dat een eventuele hyperlink in het bericht volledig wordt meegestuurd. Met die hyperlink kan jouw bank proberen om de bijbehorende valse website te blokkeren.

Twijfelt je over een telefoontje of SMS van jouw bank? Hang op, klik weg en bel jouw bank. Bel nooit naar een telefoonnummer dat de beller aan jou heeft gegeven of dat in het bericht staat maar zoek het nummer van jouw bank zelf op, bijvoorbeeld op je bankpas, op een bankafschrift of op de officiële website van jouw bank.

IP-adres spoofing

Een andere vorm van spoofing is IP-adresspoofing. Bij deze truc nemen criminelen een IP-adres van anderen over. Deze truc is alleen in zeer uitzonderlijke situaties toe te passen en komt daardoor weinig voor.

De hacker gebruikt het adres van een geautoriseerd, vertrouwd systeem

Wat is IP-spoofing?

Het zogenaamde IP-spoofing is een procedure waarbij TCP/IP- of UDP/IP-datapakketten met een vals afzenderadres worden verzonden. Daarbij maakt de hacker gebruik van het adres van een geautoriseerd, vertrouwd systeem. Op die manier kan hij eigen pakketten in het externe computersysteem smokkelen, die anders door een filtersysteem geblokkeerd zouden worden. In de meeste gevallen dient IP-spoofing voor het uitvoeren van DoS- en DDoS-aanvallen. Onder bepaalde omstandigheden kan de hacker met het gestolen IP ook het dataverkeer tussen twee of meer computersystemen onderscheppen of manipuleren. Zulke man-in-the-middle-aanvallen met behulp van IP-spoofing vereisen tegenwoordig echter dat de aanvaller zich in hetzelfde subnet als het slachtoffer bevindt (met enkele uitzonderingen)

IP vervalsen: waarom spoofing werkt

De mogelijkheid om misbruik van het IP-adres te maken bestaat doordat bron- en doeladres, die in de header van elk IP-pakket staan, niet voldoende beschermd zijn tegen manipulatie. Er bestaan geen mechanismen om deze gegevens te versleutelen en ook geen om te controleren of ze correct zijn. De hacker verkrijgt met een eenvoudige IP-spoofing-aanval geen toegang tot het dataverkeer. Hij verandert namelijk alleen het adres in het desbetreffende pakket, terwijl het daadwerkelijke IP-adres onveranderd blijft. Zo komt het antwoord op de verzonden gegevens ook niet bij hem terecht, maar bij de computer waarvan hij het adres heeft aangegeven.

Dat er een onbekende, niet-geautoriseerde deelnemer achter het IP-pakket zit, blijft voor het antwoordende systeem verborgen. Daardoor is IP-spoofing bruikbaar voor de reeds genoemde DoS- en DDoS-aanvallen. Vooral de volgende twee scenario’s zijn denkbaar:

  • Op basis van het gestolen bronadres verstuurt de hacker een groot aantal datapakketten naar verschillende systemen binnen het desbetreffende netwerk. Deze beantwoorden de contactaanvraag doordat ze eveneens een datapakket verzenden – en wel aan de eigenlijk niet betrokken computer waarvan het IP-adres is gestolen.
  • De uitgekozen doelcomputer ontvangt tegelijkertijd datapakketten van diverse valse IP-adressen en raakt daardoor overbelast.

De computers waarvan IP-adressen door de hacker worden gestolen, kunnen dus het doel van de DDoS-aanval zijn of samen als gereedschap voor zo’n aanval fungeren. In beide gevallen blijft de hacker onbekend, omdat de verzonden pakketten officieel afkomstig lijken van de computer waarvan de IP’s zijn overgenomen.

Hoe hackers ook de drievoudige handshake te slim af zijn

Een hacker kan de bewust veroorzaakte overbelasting in principe vanaf elke willekeurige locatie tot stand brengen, mits de doelcomputer met het internet verbonden is. Een directe toegang tot het dataverkeer, daarentegen, is inmiddels veel lastiger als de computer van de indringer zich niet in hetzelfde subnet bevindt. Dit heeft te maken met het feit dat een datapakket alleen kan worden onderschept met behulp van het volgnummer van het pakket. Dit is tegenwoordig, in tegenstelling tot vroeger, vrijwel onmogelijk.

Vroeger genereerden besturingssystemen en netwerkapparaten deze volgnummers, die in de TCP-header zijn opgenomen, nog volgens een gelijkblijvend patroon. Hackers konden zo bij wijze van een test meerdere pakketten aan het doelsysteem sturen en dankzij de ontvangstbevestigingen het eerstvolgende volgnummer voorspellen. Het pakket achter het volgnummer konden ze nu lezen of manipuleren en vervolgens met een vervalst afzender-IP doorsturen, zonder dat het door de twee communicerende systemen werd opgemerkt. Omdat veel systemen gebruikmaakten van inlogprocedures op hostbasis, die logingegevens als gebruikersnamen en wachtwoorden onversleuteld overdroegen, konden hackers met een beetje geluk zelfs een verbinding tot stand brengen. Omdat huidige systemen de volgnummers toevallig genereren, zijn deze zogenaamde TCP sequence prediction attacks (ook blind spoofing genoemd) in principe onwerkzaam geworden. Oudere apparaten lopen wel nog steeds risico.

Als de IP-spoofer zich in hetzelfde subnet als het aangevallen systeem bevindt – dus bijvoorbeeld in een lokaal netwerk – komt hij veel gemakkelijker aan de volgnummers en de bijbehorende IP-pakketten. In plaats van deze pakketten met moeite te achterhalen, kan hij het volledige dataverkeer filteren, analyseren en de gewenste datapakketten eruit pikken. Daarom spreekt men in dat geval ook van non-blind spoofing.

Zo bescherm je jezelf tegen IP-spoofing

Al decennia lang houdt de problematiek van IP-spoofing de veiligheidsdiensten en de vakmensen van de computerbranche bezig. Vooral het feit dat DoS- en DDoS-aanvallen zo simpel kunnen worden uitgevoerd, maakt de IP-manipulatieprocedure voor criminelen ook vandaag de dag nog interessant. Daarom bestaat al lang de vraag naar een doelgerichte filtering van het uitgaande dataverkeer door internetaanbieders, waarbij pakketten met bronadressen buiten het ten grondslag liggende netwerk worden geregistreerd en afgewezen. Tijd en kosten zijn echter belangrijke redenen waarom tot nu toe niet aan deze vraag kon worden voldaan.

Een tweede reden voor de terughoudendheid van de aanbieders ligt in de beveiligingseigenschappen van de vernieuwde internetprotocolversie IPv6. De officiële opvolger van de nu nog zeer wijdverbreide versie IPv4 bevat onder andere optionele authenticatie- en versleutelingsmogelijkheden voor de header van datapakketten, die IP-spoofing in de toekomst zouden kunnen verhinderen. De overstap op het nieuwe adresseringsprotocol blijkt tot nu toe echter een taaie aangelegenheid, wat zich bijvoorbeeld uit in de ontbrekende IPv6-ondersteuning van diverse gangbare netwerkapparaten.

Om te voorkomen dat een hacker je IP-adres vervalst en voor criminele doeleinden gebruikt, heb je dus alleen de mogelijkheid zelf het initiatief te nemen en eigen beschermingsmaatregelen te treffen. Het zwaartepunt moet daarbij op de volgende twee maatregelen liggen:

  • Stel een omvangrijk pakketfilter in voor je router of veiligheidsgateway. Dit moet ingaande datapakketten analyseren en afwijzen als ze bronadressen van apparaten binnen het netwerk bevatten. Anderzijds moet je ook zelf de uitgaande pakketten filteren met afzenderadressen die buiten het eigen netwerk liggen. Ook al zijn veiligheidsexperts van mening dat internetaanbieders hiervoor verantwoordelijk zijn.
  • Maak geen gebruik van verificatieprocedures op hostbasis. Zorg ervoor dat alle inlogprocedures via versleutelde verbindingen worden uitgevoerd. Zo minimaliseer je het risico op een IP-spoofing-aanval binnen je netwerk en zet je bovendien belangrijke standaards voor de algemene veiligheid.

Verder moet je natuurlijk oudere besturingssystemen en netwerkapparaten die je nog gebruikt, vervangen. Op die manier verhoog je niet alleen de bescherming tegen IP-spoofing, maar dicht je ook talrijke andere veiligheidsleemten.

Biometrische spoofing

Biometrie wordt volgens velen de standaard voor fysieke toegangscontrole. Via gezichtsherkenning, vingerafdrukken en irisscans wordt straks bepaald wie er toegang tot een locatie, dienst of netwerk krijgt. De technologie wordt nu nog mondjesmaat gebruikt, maar zou binnen een aantal jaren gemeengoed moeten zijn.

Op dit moment zouden alleen onderzoekers zich met biometrische spoofing bezighouden

Als biometrie straks gebruikt wordt om bankrekeningen en belangrijke systemen te beschermen, zullen criminelen hier misbruik van maken, zo waarschuwt Deloitte & Touche. "Biometrische spoofing wordt een groeiend probleem. We laten overal onze vingerafdrukken achter, het is dus echt mogelijk dat iemand ze meeneemt en kopieert" zegt onderzoekster Bori Toth.

Op dit moment zouden alleen onderzoekers zich met spoofing en kopieren bezighouden, maar dit zal in de toekomst veranderen. "Als het kan gedaan worden, zal het gedaan worden. Zeker als mensen er beter van worden" gaat Toth verder.

Biometrie kan op verschillende manieren worden aangevallen. Zo hebben onderzoekers eerder bewezen dat vingerafdruksystemen met nepvingers van gelatine zijn te misleiden. Als reactie hierop laten aanbieders hun systemen ook naar andere kenmerken kijken, of er bijvoorbeeld wel een pols meetbaar is en of een getoonde iris wel echt en geen foto is.

Herkennen van spoofing

De inhoud van een bericht kan een een goede indicatie geven of de afzender wel echt is

De volgende tips kunnen je helpen om een nagebootste website of afzender van een bericht te herkennen en te voorkomen dat je slachtoffer wordt van phishing.

  • Let op de inhoud van berichten, e-mails en websites In sommige gevallen geeft de inhoud van een bericht een goede indicatie of de afzender wel echt is. Denk hierbij onder andere aan het doel van een bericht. Er kan bijvoorbeeld gevraagd worden een rekening te betalen, maar je hebt geen diensten bij de betreffende partij afgenomen. Of er wordt aangegeven dat je je betaalpas van bank x moet deblokkeren, terwijl je bij bank y zit. Let daarnaast bijvoorbeeld ook op het taalgebruik van de verzender. Komt de aanhef en het taalgebruik overeen met eerder contact dat je met deze partij gehad hebt? Ook bij websites kan je goed naar de inhoud kijken. Klopt het logo, taalgebruik en lettertype met de pagina die je verwacht bij het bedrijf?
  • Controleer de afzender van het bericht of URL van de webpagina Een nagebootste website of e-mail kunnen soms niet van echt te onderscheiden zijn. Kijk hierom goed naar het adres van de afzender van een bericht, of het adres van een website. Oplichters gebruiken namelijk vaak onopvallende methoden om een adres zo echt mogelijk na te maken. Enkele voorbeelden hiervan zijn:
  1. Een kleine onopvallende typefout, zoals: 'minsterie' in plaats van 'ministerie';
  2. Een leesteken vervangen door een vergelijkbaar leesteken, zoals: een 'l' door een hoofdletter 'i' (bijvoorbeeld: beIasting), of een 'o' door het getal nul ('0');
  3. Een url die officieel lijkt maar dat niet is, zoals 'mijn.bank.bankpagina123.nl' in plaats van 'mijn.bank.nl';
  4. Let daarnaast bijvoorbeeld ook op een groen slotje naast de adresbalk in je browser.
  • Vul zelf het adres van de ontvanger of website in Heb je een e-mail ontvangen, maar vertrouw je niet dat de afzender legitiem is? Stuur dan geen reply op de e-mail, maar maak een nieuwe e-mail en voer het juiste adres handmatig in. Ook als je een linkje of website niet vertrouwt, kies er voor om een nieuwe pagina in je webbrowser te openen en typ het adres van de website handmatig in.
  • Wees voorzichtig met linkjes en bijlagen en contacteer het bedrijf Wanneer je een e-mail niet vertrouwt, open dan geen links of bijlagen. Als je een link niet vertrouwt kan je hier vaak even met je muis op gaan staan (zonder te klikken) om te zien waar de link naartoe verwijst. Als je een webpagina niet vertrouwt, vul dan geen gegevens in en verlaat de pagina. Neem bij twijfel (telefonisch) contact op met het betreffende bedrijf.
bronnen: digitaltrustcenter/wikipedia/opgelicht/Kassa/security.nl

© 2020 Veilig Digitaal

Created By
Veilig Digitaal
Appreciate