Artikel bewaren

U heeft een account nodig om artikelen in uw profiel op te slaan

Login of Maak een account aan
Reacties0

DMARC houdt valse e-mails buiten de deur

Daan de Winter
Phishing vormt een serieuze bedreiging. Vaak doen de aanvallers zich met een vals e-mailadres voor als een vertrouwde partij. DMARC helpt dit misbruik van e-maildomeinen te voorkomen. Hoe werkt DMARC precies? En wat zijn de voordelen?
Phishing
Illustratie: Alexandr Makarov/Getty Images/iStock

Z-CERT, het expertisecentrum voor cybersecurity in de zorg, presenteerde begin dit jaar het allereerste Cyberdreigingsbeeld voor de Zorg. Daarin waarschuwt Z-CERT zorginstellingen voor onder meer phishing en CEO-fraude. Zorgorganisaties kunnen niet alleen direct slachtoffer worden, ze lopen ook het risico dat cybercriminelen hun goede naam misbruiken om patiënten op te lichten.

De Britse NHS kan erover meepraten. In januari mailden cybercriminelen uit naam van de NHS zogenaamde uitnodigingen voor coronavaccinaties met een link naar een nagemaakte website. Hier werd onder meer naar bankgegevens, pincodes en kopieën van identiteitsbewijzen gehengeld. Volgens BBC News hebben duizenden mensen op de link geklikt. ‘E-mail is nog steeds veruit de belangrijkste aanvalsvector voor cybercriminelen’, vertelt Sander Hofman, securityexpert bij cyberbeveiliger Mimecast. ‘DMARC helpt malafide e-mails te blokkeren en is daarmee een cruciaal wapen in de strijd tegen phishing en online fraude’.

Uitbreiding

DMARC staat voor Domain-based Messaging Authentication, Reporting and Conformance. Dit is een systeem voor het detecteren en tegengaan van misbruik van e-maildomeinen. Het biedt bescherming tegen phishing-aanvallen en andere vormen van oplichting. DMARC is ontwikkeld door verschillende grote bedrijven zoals PayPal, Google en Microsoft.

Het DMARC-protocol is een uitbreiding op de internetstandaarden DKIM (Domain Keys Identified Mail) en SPF (Sender Policy Framework). Hofman: ‘Via SPF geeft een beheerder aan welke servers e-mail mogen verzenden namens een e-maildomein. Met DKIM verifieert de ontvanger of een e-mail echt is verzonden door de eigenaar van het domein. DMARC voegt hier een blokkeermechanisme en een rapportagefunctie aan toe.’

Cybercriminelen kunnen een e-mailadres eenvoudig vervalsen (spoofen) en zich zo voordoen als een vertrouwde partij. E-mailspoofing is een veelgebruikte truc om overtuigende frauduleuze e-mails te verzenden. Denk aan een verzoek van de directeur om even snel een bedrag over te maken (CEO-fraude). Of een e-mail met een factuur, zogenaamd afkomstig van een vaste leverancier.

Spoofen van e-mailadressen gebeurt al jaren, maar blijft bijzonder effectief. ‘De ontvanger denkt het juiste e-mailadres in het veld van de afzender te zien staan en krijgt niet direct argwaan’, licht Hofman toe. ‘Het e-mailprotocol SMTP biedt hier geen bescherming tegen. Via het DMARC- beleid kan zo’n nepmail automatisch worden geweigerd. Niet voor niets adviseert Z-CERT zorgorganisaties SPF, DKIM én DMARC in te voeren.’

Met DMARC houden zorginstellingen de regie over hun e-maildomeinen, vat de securityexpert samen. ‘Ze zien precies welke e-mails uit hun naam worden verzonden. De IT-afdeling heeft het snel door als een domein wordt misbruikt en kan ongeautoriseerde e-mails vanuit dat domein blokkeren. Zo beschermt een zorgorganisatie zijn cliënten en medewerkers tegen potentiële cyberaanvallen.’

Bezorger

Hofman legt de werking van DMARC uit aan de hand van een vergelijking: ‘Een bezorgdienst moet een pakket afleveren bij een ziekenhuis. Bij aankomst controleren twee bewakers tegelijkertijd of de pakketbezorger met zijn busje door de poort mag rijden. De eerste bewaker checkt het ID-bewijs van de bezorger, de tweede bewaker controleert het kenteken van het busje. Vervolgens kijken ze wat het beleid is. Mag het busje doorrijden of niet? Deze checks zijn te vergelijken met wat SPF en DKIM doen bij binnenkomend e-mailverkeer.’

Op hetzelfde moment laten de bewakers aan het bezorgbedrijf weten dat het pakket is aangekomen, vervolgt Hofman. ‘Ze maken de resultaten van de controles bekend. Kwam de bezorger niet volledig door de controle? Dan weet het bezorgbedrijf dat zijn merk mogelijk is misbruikt voor malafide activiteiten.’

Het bezorgbedrijf, oftewel de eigenaar van het e-maildomein, kan via DMARC instructies geven aan de ontvanger. Mag het pakket (de e-mail) worden bezorgd? Moet het in quarantaine? Of moet het geweigerd? ‘DMARC automatiseert dit proces en maakt een rapport aan zodat de domeineigenaar weet wat er is gebeurd, bijvoorbeeld dat de e-mail in lijn is met SPF, maar niet met DKIM.’

Cruciaal

‘Elke zorgorganisatie heeft de morele plicht om cliënten en patiënten te beschermen tegen cybercriminaliteit’, vindt Hofman. ‘Zij verwachten dat de communicatie met de zorgverlener veilig verloopt. Als deze soms kwetsbare mensen vanuit het e-maildomein van de zorgverlener worden bestookt met phishingmails, loopt dit vertrouwen een deuk op. Zelfs als de aanval niet succesvol is.’

Er is nog een reden waarom DMARC juist voor zorgorganisaties cruciaal is. In een onderzoek van Mimecast geeft bijna 70 procent van de respondenten aan een rotsvast vertrouwen in zorgmerken te hebben. Daarmee scoort de zorg het beste van alle sectoren. Hofman: ‘Het is voor cybercriminelen dus aantrekkelijk om zich voor te doen als een zorgorganisatie. Dat is immers een partij die geen argwaan wekt.’

Het jaarlijkse State of Email Security onderzoek toont echter aan dat slechts 19 procent van de Nederlandse organisaties DMARC heeft geïmplementeerd. Daarmee loopt Nederland achter bij andere ontwikkelde economieën. Het verschil met het Verenigd Koninkrijk (21 procent) is gering, maar Duitsland (30 procent) en de Verenigde Staten (33 procent) scoren beduidend beter. Hofman: ‘Er zijn geen cijfers bekend over de zorgsector, maar het beeld zal daar niet veel anders zijn.’

Toch ziet hij positieve ontwikkelingen. ’31 procent van de Nederlandse organisaties is inmiddels bezig met DMARC-implementatie. Nog eens 27 procent wil komend jaar ermee starten. Bovendien is de adoptie flink gegroeid: een jaar geleden maakte slechts 13 procent van de organisaties gebruik van DMARC. Steeds meer IT-professionals zien de toegevoegde waarde van dit protocol.’

Implementatie DMARC
DMARC is een relatief eenvoudige maatregel. Toch kan een DMARC-implementatie uitdagend zijn. Securityexpert Sander Hofman: ‘IT-professionals weten vaak niet goed waar ze moeten beginnen en hoe ze de sending sources kunnen identificeren. Dit zijn alle bronnen die uit naam van de zorgorganisatie e-mail versturen. Daar zitten legitieme bronnen tussen zoals bedrijfssoftware en online diensten, maar waarschijnlijk ook illegale bronnen.’ Speciale DMARC-tooling maakt het eenvoudiger, bijvoorbeeld door een overzicht te geven van alle sending sources. Sommige tools bieden ook handvatten voor de configuratie. ‘In de praktijk combineren veel zorgorganisaties de aanschaf van zo’n tool met aanvullende dienstverlening van een DMARC-specialist.’

Geef uw reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.