Veilige e-mailstandaarden: niet omdat het kan, maar omdat het moet!
Ik schreef eerder over beveiligingsstandaarden die e-mail betrouwbaarder maken: SPF, DKIM en DMARC. Het merendeel van deze standaarden is inmiddels verplicht voor overheidsorganisaties. Ook private organisaties doen er verstandig aan om deze standaarden zo snel mogelijk te implementeren. Het ontbreken van deze standaarden kan zomaar voor veel problemen zorgen. Niet alleen voor de eigen organisatie, maar ook voor de rest van de wereld. En daarvan heb ik -helaas- een mooi voorbeeld.
Ruim een week geleden werd ik door een vriend in het buitenland gevraagd om een dame uit Zuidoost-Azië te helpen. Er was een sterk vermoeden dat deze dame voor enkele tonnen (!) was opgelicht door cybercriminelen die zich voordeden als twee hooggeplaatste personen van een grote Nederlandse organisatie. Vanuit ethische overwegingen noem ik de personen en hun organisatie niet bij naam, maar laten we voor het gemak spreken over de meneer Druif en meneer Fakkel van het bedrijf Grote Organisatie met de domeinnaam groteorganisatie.nl. Aan mij de vraag om vanuit een technisch oogpunt vast te stellen of de ontvangen e-mails authentiek waren.
Helaas voor de dame in kwestie kon ik vrij snel bevestigen dat er sprake was van oplichting. Technisch gezien was deze oplichting eigenlijk niet eens zo spannend. Geen meesterhacker met onontdekte zerodays of een nieuw soort malware. Nee, gewoon een kwestie van het slim combineren van een aantal basale zaken die resulteren in vertrouwen en gewenste acties. De ingrediënten van de oplichtingstaart betroffen onder andere:
- een aantal nepdomeinen waaronder groteorganisatei.nl (let op de omgedraaide “ie”);
- een aantal nep e-mailadressen (persoonlijke accounts) waaronder
- meneerdriuf@gmail.com (let op de omgedraaide “ui”);
- meneerfakkel@[een domein van een Nederlandse vereniging met gratis e-mailregistratie].nl
- een aantal ontbrekende beveiligingsstandaarden voor e-mail bij groteorganisatie.nl waaronder SPF;
- een aantal Russische servers;
- een fake mailer;
- een flinke scheut social engineering;
- een technisch naïef slachtoffer als gevolg van ontbrekende kennis.
In de praktijk verloopt de oplichting dan ongeveer als volgt (gedurende een periode van soms wel weken of maanden). Na een vorm van initieel contact sturen cybercriminelen e-mail vanuit de hierboven genoemde persoonlijke accounts. Wanneer het inhoudelijke oplichtingsverhaal wat meer gestalte begint te krijgen en het slachtoffer begint te geloven in het gefabriceerde kletsverhaal, wordt er e-mail vanuit het nepdomein groteorganisatei.nl naar het slachtoffer gestuurd. De afwijkende domeinnaam verdedigen de cybercriminelen met de boodschap dat ze op het echte domein veel last hebben van spam. Ze doen daarbij ook nog eens alsof het slachtoffer dit had moeten weten: “How can you not know this?”.
Om te voorkomen dat het kaartenhuis van leugens te snel instort, wekken de cybercriminelen meer vertrouwen door het sturen van een gespoofte (vervalste) e-mail vanuit het ogenschijnlijk echte domein groteorganisatie.nl. (Let op: het vervalsen van deze e-mail lukt alleen doordat Grote Organisatie de beveiligingsstandaard SPF niet gebruikt voor groteorganisatie.nl.) De gespoofte e-mail is bedoeld ’ter informatie’ en vraagt niet om een reactie. Doortrapt als de cybercriminelen zijn, wordt de gespoofte e-mail snel opgevolgd door een e-mail vanaf het nepdomein groteorganisatei.nl waarin wèl om een reactie wordt gevraagd. (Let op: de cybercriminelen proberen hiermee te voorkomen dat ze door de mand vallen, omdat uit een reactie van het slachtoffer aan het echte domein groteorganisatie.nl kan blijken dat er iets niet pluis is.) Mede als gevolg van het gekweekte nepvertrouwen bij het slachtoffer, bereikt het gefabriceerde kletsverhaal na verloop van tijd een hoogtepunt: het slachtoffer is bereid tot het doen van zaken, en maakt onder het mom van “een slimme investering” een behoorlijk bedrag van meerdere tonnen over. En dan ineens, als donderslag bij heldere hemel, komt er geen reactie meer, zijn alle nepdomeinen offline, en blijft het slachtoffer achter met een lege portemonnee en een heleboel vragen en onzekerheden.
Logischerwijs heeft de echte Grote Organisatie geen weet van dergelijke oplichtingspraktijken, maar dragen ze er wel aan bij door het ontbreken van belangrijke beveiligingsstandaarden op groteorganisatie.nl. Uiteraard heb ik de organisatie in kwestie hierover geïnformeerd middels een responsible disclosure, zodat ze de juiste acties kunnen ondernemen.
Wat ik persoonlijk opvallend vond, is dat het nog niet zo makkelijk was om de dame in kwestie ervan te overtuigen dat het geld was verdwenen en nooit meer terug zou komen. Ze kon maar niet geloven dat ze echt was opgelicht, en was wanhopig op zoek naar indicaties waaruit zou blijken dat haar vertrouwen terecht was geweest. Toevallig kwam dit laatst nog ter sprake in een reactie van oud collega René van den Assem op een van mijn Facebook berichten: de eerste fase van een verwerkingsproces is ‘ontkenning’ en dat geldt dus ook voor slachtoffers van cybercriminaliteit. Op een gegeven moment probeerde ik mijn uitleg kracht bij te zetten door haar (net zoals de cybercriminelen) een gespoofte e-mail te sturen afkomstig van michaeljackson@groteorganisatie.nl, maar zelfs dat was niet voldoende om haar te overtuigen. Ze reageerde met een vraag over hoe het dan kon, dat de cybercriminelen haar een e-mail hadden doorgestuurd van iemand die echt bij Grote Organisatie werkte en er toch wel heel echt uitzag. Voor mij werd toen duidelijk: deze dame begrijpt echt niet hoe het werkt. Met onze eigen e-mailwisseling als voorbeeld rondde ik het gesprek af met de volgende woorden.
If I want to, I can make changes in the entire conversation and forward it to someone and have them believe it is real. What I’m basically doing in such a situation, is appealing to the fact that deep down inside people have the natural tendency to believe what they see. People want to trust other people, we are programmed to do so. Cybercriminals abuse this principle. This is called social engineering; they do everything in their power, just to earn your trust, so that you do exactly what they want you to do. And in the digital world, this is quite easy.
E-mail is not that different from a real letter; regular e-mail (without explicitly added security features) gives absolutely no certainty about the authenticity of the sender. And in the digital world it’s even easier to fake things.
Believe me when I say, that I’m sure you are not going to find anything authentic in all the e-mails that were sent between you and the imposters. These are professional cybercriminals and they know what they are doing.
Ergens snap ik het best, want als je voor een bedrag met 6 cijfers het bootje in bent gegaan, geeft dat makkelijk een aantal slapeloze nachten vol ongeloof. En als er in je eigen beleving nog een kleine kans bestaat om dat geld terug te krijgen, dan ga je ervoor. Maar dan loop je achter de feiten aan, en is het vaak te laat. Zorg er daarom voor dat jouw domein veilig is en controleer op internet.nl of jouw domein gebruikt maakt van belangrijke beveiligingsstandaarden. Deze beschermen niet alleen jezelf maar ook anderen tegen cybercriminelen met kwade bedoelingen. Want het blijkt maar weer: ze zijn er gewoon en je kan ze ieder moment tegenkomen. Oh ja, en mocht iemand nog een beheerder tegenkomen die het gebruik van deze standaarden niet nodig vindt of ernstige fouten in de configuratie probeert recht te praten: knevelen en verschepen naar het adres op www.baaten.com/contact/.
Plaats een Reactie
Meepraten?Draag gerust bij!