Waar ben je naar op zoek?

Waar ben je naar op zoek?

Samen aanjagen van vernieuwing

Als de afzender niet is wie je denkt dat hij is...

Bruno Vuillemin, security officer aan de Universiteit van Fribourg, laat je in dit artikel zien hoe oplichters zich via mail met eenvoudige social-engineering-technieken voordoen als iemand anders. Ook geeft hij de tip hoe je kunt checken of de afzender is wie hij zegt dat hij is. Het is heel simpel, maar je moet het wel weten (en doen!).

Cybersave Yourself - CEO-fraude

Het persoonsnaam-veld: makkelijk te manipuleren

Soms kan een zeer eenvoudige vorm van oplichting veel problemen veroorzaken. Als je een e-mail ontvangt en leest, is de afzender namelijk niet noodzakelijkerwijs de persoon die het bericht verstuurt! De meeste smartphones laten niet het echte e-mailadres van de afzender weer, maar het zogenaamde persoonsnaam-veld.

Afhankelijk van de gebruikte software kan de afzender van de mail dit veld zelf aanpassen, zonder enige controle. Een kwaadwillend persoon kan hier misbruik van maken met social-engineering-achtige aanvallen. Die zijn niet alleen zeer eenvoudig uit te voeren, maar ook nog eens verrassend effectief.

Een voorbeeld

Volgens de RFC-5322-standaard, die de standaard-inrichting voor een e-mail specificeert, wordt een mailbox gespecificeerd door de displaynaam <addr-spec> of door de naam van de persoon <person-s-real@address.com> (bijv.: Brian Smith <Brian@mycompany.com>).

Laten we zeggen dat je werkt voor het bedrijf MyCompany, waar Brian Smith directeur is. Als je een bericht als het onderstaande zou ontvangen, hoe zou je dat dan interpreteren?

Een voorbeeld van een e-mail

Wat dacht je van een iets ander bericht, zoals het bericht hieronder? Hoe zou je dat interpreteren?

Een voorbeeld van een e-mail met phish

Als je naar de From-regel kijkt, zou zeker het tweede bericht direct alle alarmbellen moeten doen rinkelen.

Desastreuze gevolgen

Je kunt je ook andere berichten van hetzelfde type voorstellen die social engineering uitvoeren, met desastreuze gevolgen voor een instelling/bedrijf en met administratieve, financiële of zelfs strafrechtelijke gevolgen voor het slachtoffer.

Tip: klik op de naam van de afzender zodat het e-mailadres zichtbaar wordt

Veel e-mailapps op smartphones geven standaard alleen het persoonsnaam-veld weer, evenals steeds meer e-mailprogramma's op andere platforms, zoals PC's, tablets, webmail. Het echte adres (dat minder makkelijk te vervalsen is) krijg je te zien door te klikken (of met je vinger te tikken op mobiele apparaten) op het veld van de afzender. Je krijgt zo een duidelijker beeld van de afzender van het bericht. Maar niet veel gebruikers denken eraan om dit te controleren... en laten zich misleiden!

Basisregel: contact ter controle via een ander communicatiemiddel

Tot slot hanteren we bij de Universiteit van Fribourg de volgende basisregel: als iemand ons per e-mail iets afwijkends vraagt, moeten we met hem of haar contact opnemen via een ander communicatiemiddel en vragen naar de identiteit en de bevestiging van het bericht. Bijvoorbeeld telefonisch via het officiële telefoonboek van de instelling of het bedrijf.

Over de auteur

Bruno Vuillemin werkt sinds 1991 aan de Universiteit van Fribourg waar hij verschillende functies bekleedde (op het vlak van netwerk, SMTP-messaging, Unix) voordat hij in 2001 security officer van de instelling werd.

 Dit is een bewerking van een artikel van GÉANT dat zij hebben gepubliceerd in het kader van de CyberSecurityMonth 2020.