Phishing blijft steevast hoog in de ranglijsten staan als het gaat om aanvalsvectoren van cybercriminelen. Dit ondanks een tomeloze inzet van organisaties, securityleveranciers en overheden om het bewustzijn te vergroten. E-mail wordt nog altijd veel en breed ingezet door organisaties als communicatiemiddel, maar is nog altijd niet veilig. Daarom trekken grote e-mailplatforms als Google en Yahoo de teugels nu aan en verscherpen de eisen waar je als (bulk) mailer aan moet voldoen. Verstuur je op grote schaal e-mail naar consumenten, dan is DMARC (Domain-based Message Authentication, Reporting, and Conformance) het beleidskader waar je als organisatie vanaf 1 februari 2024 rekening mee moet houden. Niet alleen voor nieuwsbrieven, maar voor alle e-mail: dus ook facturen, berichten met wijzigingen over de verzendstatus en wachtwoordresets. In deze blog gaan wij dieper op de materie in.
De top-3 van aanvalsmethoden van cyberaanvallers is al jaren onveranderd*:
- Het gebruik van gestolen credentials, zoals wachtwoorden en pincodes.
- Phishing
- Het benutten van kwetsbaarheden, zoals het ontbreken van patches.
Wij focussen ons in dit geval op phishing, een van de meest toegepaste vormen van social engineering. E-mail blijkt in dit opzicht een gewillige prooi, of eigenlijk de gebruiker van e-mail. Het e-mail protocol SMTP (simple mail transfer protocol) is in de jaren 80 van de vorige eeuw ontwikkeld en met de S in deze afkorting had men het destijds bij het rechte eind. Want toen wij e-mail en SMTP massaal gingen gebruiken voor zakelijke communicatie, bleek het voor kwaadwillenden vrij eenvoudig om misbruik te maken van dit protocol. Wij hebben het bijvoorbeeld over e-mail domain spoofing waarbij aanvallers zich kunnen voordoen als organisatie of persoon door e-mailadressen te misbruiken of maskeren. Gevolg is dat ontvangers nooit echt zeker weten of de e-mail afkomstig is van de juiste afzender.
Autorisatie en authenticatie
De problemen met de beveiliging van e-mail spitsen zich toe op twee aspecten: autorisatie en authenticatie. Google en Yahoo begrijpen dit en willen met verdergaande e-mailauthenticatiemaatregelen spam en phishing terugdringen en voorkomen. Zij verscherpen vanaf februari 2024 de voorwaarden voor het (in bulk) verzenden van mails. Bulkverzenders (meer dan 5000 berichten per dag) moeten aan de volgende eisen voldoen:
- E-mailauthenticatieprotocollen actief gebruiken (SPF & DKIM, zie onder).
- Een DMARC policy is actief.
Andere vereisten, die dus ook gelden voor organisaties die minder dan 5000 berichten versturen:
- De ontvanger moet zich met één klik kunnen uitschrijven, bijvoorbeeld als het gaat om een terugkerende mailing, zoals een nieuwsbrief.
- Een spamratio die onder de 0,3% ligt. Ligt dit percentage hoger, dan loop je het risico dat je mail als spam wordt gekenmerkt. En dus niet in de inbox van de ontvanger belandt. Zorg er dus voor dat de mail is voorzien van de juiste onderwerpregel en goede content. Daarmee vergroot je de kans dat een mail niet als ongewenste reclame wordt gezien.
In het aangescherpte beleid van de twee e-mail platforms is een belangrijke rol weggelegd voor het verificatieprotocol DMARC. Volgens dit protocol wordt de afzender geauthentiseerd en wordt vastgelegd wat er moet gebeuren met een bericht als dit niet het geval is.
Beleid en rapportage
DMARC bouwt verder op twee andere protocollen: Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM). Met SPF controleer je of de server van de verzender is geautoriseerd door het betreffende domein. Met DKIM wordt een digitale handtekening toegevoegd aan een bericht. Dat werkt als volgt. De verzender markeert onderdelen van een e-mail (onderwerp, body, afzender, etc.) die tussen verzending en opening door de ontvanger niet mogen worden veranderd. Gebeurt dat wel, dan komt het bericht niet door de authenticatie. DMARC gebruikt deze beide protocollen en voegt daaraan toe dat er beleidsregels toegepast kunnen worden. Dan kan je denken aan: mag de mail door, moet deze in quarantaine voor een nadere inspectie of wordt deze geweigerd? Daarnaast is het belangrijk dat er een krachtige rapportagefunctie zit in DMARC, zodat domeineigenaren inzicht krijgen in de pogingen die ondernomen worden om hun domein te misbruiken. Zo zie je of je maatregelen werken.
Reputatie te grabbel
Wanneer je als verzender niet aan de eisen voldoet, zijn de risico’s aanzienlijk. Je loopt het gevaar dat ontvangers bedrijfskritische mails niet ontvangen. Wanneer je bijvoorbeeld geen goed onderscheid maakt tussen commerciële en transactiemail, dan loop je het risico dat alle mail mogelijk geblokkeerd wordt als je boven die drempelwaarde terechtkomt. Ten slotte is ook de reputatie van de organisatie in het geding. Niemand wil te boek staan als die organisatie die slachtoffer is geworden van spoofing of die in het nieuws komt doordat zij niet compliant is.
De stappen van Google en Yahoo zijn alleen maar te prijzen. Als samenleving moeten wij het risico dat mensen slachtoffer worden van phishing terugdringen. Kijk dan ook aan de hand van de nieuwe eisen waar je als organisatie zelf staat. Hoeveel mails verzend je? Hoe heb ik mijn domeinen beschermd? Is er al sprake van verificatieprotocollen en wat moet ik doen om deze te implementeren? Kortom, zie deze stap als een kans om het net rond phishing verder te sluiten en je cybersecurity naar een hoger plan te tillen.
*Bron: Verizon DBIR 2023