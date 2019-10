Een e-mail uit naam van de zorgverzekeraar over een nog openstaande rekening van 390 euro. Een sms’je dat direct van de Belastingdienst lijkt te komen over een niet voldane schuld. De berichten lijken niet alleen echt, ook de afzender klopt. Spoofing is het phishing voor gevorderden.

Spoofing is een technische truc, waardoor kwaadwillenden een valse identiteit aannemen en daarvanuit e-mails of sms’jes versturen. Dat kan gaan om oplichting met een financieel doel, maar ook om het verspreiden van desinformatie.

Niet van echt te onderscheiden

„Spoofing an sich is niet zo goed te herkennen”, vertelt Babs van der Staak, woordvoerder van de Consumentenbond. „Voor een ontvanger ziet het bericht er domweg uit alsof het van de echte afzender komt. De tip bij twijfelachtige berichten is dan ook niet zozeer te letten op de afzender, maar op de link, de bijlage of het websiteadres waar je terechtkomt.” Dat onderschrijft Rik van Duijn security researcher bij KPN Security. „De berichten doen zich net even beter voor als andere organisatie. Veelal word je gevraagd een handeling te voeren en er zit tijdsdruk achter met een bepaalde consequentie. ‘Het moet nu gebeuren, anders kan je straks niet meer bij je gegevens.’ Stel dus dat je een bericht krijgt van je bank, ga dan via je browser naar hun website en klik niet op de link in het bericht. Dan ontloop je sowieso de kans om gespooft te worden. Het voordeel is: spoofen kan in email, maar bij website, in https, lukt dat niet.”

Hoe moeilijk het is om spoofmails van echte te onderscheiden, bleek afgelopen week wel, na een spoofactie van een ‘grappenmaker’. Ineens ging het bericht rond dat 3FM-dj Herman Hofman had bevestigd een relatie te hebben met voetbalster Jackie Groenen. De bewuste e-mail was verzonden vanaf zijn 3FM-mailadres, maar toen het nieuws in de media kwam, trok de dj aan de bel en stelde hij de mail helemaal niet te hebben verstuurd. Een relatief onschuldige, makkelijk uit de wereld te helpen, maar wel kortstondig effectieve spoof.

SPF en DKIM

Instanties kunnen zelf acties ondernemen die ertoe leiden dat er met hun emailaccounts niet meer gespooft kunnen worden. Bedrijven en overheden met eigen email/websitedomeinnamen kunnen zich wapenen tegen spoofing door technieken als SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail) toe te passen. Toch is dit niet waterdicht. „De ontvangende partij moet dit namelijk wel controleren”, benadrukt Van Duijn. „Wat bij een SPF in feite gezegd wordt, is dat er alleen van deze IP-adressen in de wereld mailtjes vanuit dit domein verstuurd kunnen worden. Alleen is het vervolgens aan jouw emailprovider om te bepalen wat het daarmee doet. Sommige laten toch alles door.”

Waar de problemen via e-mail dus in toom te houden zijn, is dat op de telefoon lastiger, zegt Van der Staak. „Tegen spoofing via sms is niet veel te doen. Sms is nu eenmaal zo ontworpen dat de afzender makkelijk gemanipuleerd kan worden en technische maatregelen om dat te voorkomen zoals bij e-mail zijn er niet.”

Wetten zouden daarbij moeten helpen en spoofing is dan ook al drie jaar verboden. Het handhaven van dit verbod door toezichthouder Autoriteit Consument & Markt (ACM) blijkt in de praktijk alleen ontzettend lastig. ACM mag namelijk alleen handhaven op telefoonnummers, maar niet op de namen van afzenders, het cruciale element bij spoofing. ACM pleitte om die reden onlangs voor het wijzigen van de telecommunicatiewet, iets dat het kabinet nu onderzoekt. „We denken dat dit noodzakelijk is om dit probleem aan te pakken.”