Henk Kamp gespooft: wat is dat en hoe voorkomt u het?

cybercrime

Minister Henk Kamp van Economische Zaken heeft in de zomer van 2014 aangifte gedaan wegens het hacken van zijn privé-mailadres. Daarnaar werd regelmatig tegen de richtlijnen in werkmail doorgestuurd.

Het Openbaar Ministerie vermoedt uiteindelijk echter niet dat Kamp het slachtoffer is geworden van een hack, maar vindt het aannemelijker dat er sprake is geweest van e-mail spoofing.

Wat is het en hoe zorgt u ervoor dat het u niet overkomt?

Wat is spoofing?

Kort gezegd is spoofing de vervalsing van een bestaand mailadres, waarna e-mails met onbekende inhoud naar groepen contactpersonen kunnen worden gestuurd. De meeste mensen hebben hier wel eens mee te maken gehad, bijvoorbeeld doordat ze mails ontvingen van contactpersonen met vreemde spaminhoud.

Een e-mailadres is vrij gemakkelijk te spoofen. Het enige wat men daarvoor nodig heeft, is een Simple Mail Transfer Protocol (SMTP)-server en e-mailsoftware. De SMTP-server zit bij de meeste internetproviders zelfs standaard in het pakket. Bij de SMPT-servers is het voor de gebruiker te zien dat hij een ander e-mailadres gebruikt, maar voor degene die de mail ontvangt niet. Die ziet het adres dat door de gebruiker is ‘ingesteld’.

Waarom wordt er gespooft?

Veelal is de reden erachter simpelweg om spam te verspreiden. Met spoofing kunnen grote hoeveelheden informatie worden verspreid, en omdat de ontvangers het e-mailadres vaak al kennen, zullen ze sneller geneigd zijn dergelijke mails te openen. De spoofers in kwestie zijn meestal onbekenden van de gespoofde.

Hoe komen spoofers aan uw emailadres?

Mensen die zelf in een phishing-mail op een link klikken, stellen zich kwetsbaar op voor spoofing. Phishing is een type cybercrime dat erop is gericht om internetgebruikers gevoelige informatie, zoals gebruikersnamen, wachtwoorden en creditcard-informatie afhandig te maken. Een e-mailadres kan daar dus ook onder vallen. Phishing-mails zijn er in allerlei vormen: het kan heel duidelijk zijn dat de mail of links niet geopend moet worden, maar er zijn ook subtielere vormen. Zo zijn er ook phishing-mails die heel legitiem overkomen, doordat het lijkt alsof ze bijvoorbeeld door een bank of internetprovider zijn verstuurd.

Massa-mails of digitale kettingbrieven die worden doorgestuurd door contactpersonen met ‘grappige’ of ‘opmerkelijke’ inhoud maken vaak ook extra vatbaar voor spoofing. De gehele lijst met contactpersonen heeft daarmee namelijk indirect toegang tot elkaars e-mailadres, waarmee misbruik ook op de loer ligt.

Hoe zorgt u ervoor dat u niet gespooft wordt?

Omdat u uw e-mailadres doorgeeft aan anderen, is spoofing niet geheel te voorkomen. Wel zijn er dingen die u kunt doen om uzelf er minder kwetsbaar voor te maken.

Lees ook Wat u kunt doen om cybercrime te voorkomencybercrimeschermen

Zorg ervoor dat u een e-mailservice gebruikt die een spamfilter heeft. Daarmee wordt content die als gevaarlijk of onnodig wordt beschouwd, naar de junk- of spamfolder gestuurd. Check af en toe de inhoud van de junkfolder om ervoor te zorgen dat belangrijke inhoud hier niet per ongeluk in belandt. De meeste grote e-mailproviders, zoals Gmail en Hotmail, hebben een spamfilter.

Daarnaast kunt u de afzender checken door met uw muis over het adres te ‘hoveren’: dat houdt in dat u met uw muis over het adres beweegt maar niets aanklikt. De tekst die dan verschijnt zou identiek moeten zijn aan het adres dat er al staat. Als er een ander adres staat, is het vrijwel zeker dat het om een spam- of phishing-mail gaat.

Wees daarnaast kritisch op de inhoud van e-mails, ook van mensen die u kent. Krijgt u een link doorgestuurd? Klik hem niet achteloos aan, maar inspecteer de url eerst en wees er zeker van dat u de zender vertrouwt. Hetzelfde geldt voor bestanden die u worden toegestuurd, of e-mails waarin om login-informatie wordt gevraagd.

Een e-mail van de bank waarin bijvoorbeeld staat ‘uw bankrekening is geblokkeerd, klik hier om het ongedaan te maken’ of een tekst met een dergelijke strekking, is per definitie niet te vertrouwen. De bank zou bij een probleem namelijk altijd telefonisch contact met u zoeken en zou niet om inloggegevens vragen via de mail.