Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Email spoofing herkenen

30-12-2020, 12:04 door Anoniem, 10 reacties
Hoe kan een gewone gebruiker herkennen dat er tijdens een phising mail "emails gespoofed worden"?
Reacties (10)
30-12-2020, 12:42 door Anoniem
Door Anoniem: Hoe kan een gewone gebruiker herkennen dat er tijdens een phising mail "emails gespoofed worden"?

Lastig....
Wil je van interne mail adressen spoofing tegen gaan, of ook van externe domainen?

Een goede kan zijn om DKIM en SPF goed ingeregeld te hebben. DMARC kan een extra toevoeging zijn.

Eventueel kan je op je mail server bij alle inkomende email waarbij je eigen domain (FROM: CEO@mijndomain.nl RCTP TO: gebruiker@mijndomain.nl) binnen komt, dit te via een rewrite aan te passen of een disclaimer er aan toe te voegen.
30-12-2020, 12:54 door Anoniem
Hover over de link. Die is anders dan wat het bericht claimt.
30-12-2020, 13:09 door Bitje-scheef
Dat hangt af van het niveau van de gebruiker.
30-12-2020, 13:15 door [Account Verwijderd]
Door Anoniem: Hoe kan een gewone gebruiker herkennen dat er tijdens een phising mail "emails gespoofed worden"?
Die gewone gebruiker zal moeten leren hoe hij dat moet herkennen.
Er is genoeg informatie op het internet te vinden hoe je dat moet doen.
30-12-2020, 14:35 door Anoniem
Door Anoniem: Hoe kan een gewone gebruiker herkennen dat er tijdens een phising mail "emails gespoofed worden"?

Taalfouten
Veel voordeel beloven (geld/gratis iets etc.)
URL's om aan te klikken die vaak naar iets anders wijzen.
E-mail niet te relateren aan een eerder contactmoment (Een postpakket wat klaar ligt (tracking code) maar je hebt niks besteld)
30-12-2020, 15:18 door Briolet
Door Anoniem: Hoe kan een gewone gebruiker herkennen dat er tijdens een phising mail "emails gespoofed worden"?

Dat kan eigenlijk alleen goed als je de header bekijkt. De ontvangende mailserver schrijft daar analyses in weg. Of hij gooit die mail direct weg op grond van de analyse, maar dan zie je het noot.

Hoe je dat in de header kunt zien heb ik eens 'laagdrempelig' uitgelegd voor mail zie bij Ziggo binnenkomt. Bij andere servers werkt het vergelijkbaar.

https://ziggoforum.nl/topics/mail-controle-met-spf-dkim-en-dmarc-uitgelegd.92195/
30-12-2020, 16:14 door Erik van Straten
Door Anoniem: Hoe kan een gewone gebruiker herkennen dat er tijdens een phising mail "emails gespoofed worden"?
Een gewone gebruiker kan dat niet.

En zelfs een ervaren gebruiker kan dat niet met de standaard iOS mail app, want daar kun je geen headers mee bekijken (en moet je zelfs veel moeite doen om de SMTP afzender te zien te krijgen).

Bij het toenemende aantal gecompromitteerde (vooral zakelijke) e-mail accounts heb je sowieso niks aan headers, SPF, DKIM, DomainKeys, DMARC, ARC, ... want de mail is daadwerkelijk vanuit het kennelijke account verzonden.

Daarbij, als je zeker weet dat de afzender al haar/zijn mails digitaal ondertekent (en unsigned mails meteen moet wissen), en zelfs als je ervan uit kunt gaan dat diens private key niet in handen van de aanvallers gevallen is, kun je niet uitsluiten dat het de aanvallers lukt de kennelijke afzender andere mails te laten ondertekenen dan zij/hij ziet, en ook niet dat de aanvallers (met toegang tot het e-mail account) zelf een sleutelpaar genereren en simpelweg een nieuw certificaat -op naam van de kennelijke afzender- verkrijgen, en daarmee uitgaande (phishing-) mails digitaal signeren.

Maar wellicht zie ik te veel beren 8-)
30-12-2020, 20:45 door Anoniem
Dat ligt nogal aan de manier van spoofing.

Spoofing gaat alleen over het stukje dat iemand zich voordoet als iemand anders, niet over de inhoud.

Voorbeelden:
1) als er een ander mailadres wordt gebruikt. Bijvoorbeeld: jan.invalid@hotmail[.]com mailt normaal en nu ineens jan.invalid@gmail[.]com of jan.janssen@hotmail[.]com
2) als iemand normaal "Jan Invalid <jan.invalid@hotmail[.]com>" mailt, er nu ineens "jan.invalid@hotmail[.]com<randomadres@provider[.]com>" staat.
3) als het afzend adres anders is dan het reply-to adres (dus als je op reply klikt staat er ineens wat anders)
4) als je provider de mail in de spambox plaatst (in de headers van de mail zie je dan meestal terug dat SPF of DKIM aangeven dat het spoofing was), waarbij dmarc het oordeel mag vellen wat er gebeurd met de mail - van belang is dus de techniek goed op orde te hebben aan ontvangende en verzendende kant.
5) en bij onbekenden met wie jij geen contact hebt gezocht: als iemand bv. mailt vanaf "Jan Invalid <jan.invalid@gmail[.]com>" en claimt van Jan's meubelconcurrent te zijn, terwijl die gewoon netjes jansmeubelconcurrent[.]com hebben.

Maar spoofing heeft pas zin als de inhoud iets gaat bevatten waardoor jij een actie gaat ondernemen. bv. geld overboeken, iets ergens aanpassen, etc.
30-12-2020, 22:53 door Anoniem
Deze week kwam hier een ultieme phishingmail binnen. Correct taalgebruik, correct geadresseerd (1 fout meneer x in plaats van mevrouw x), het is dat mijn vrouw zeker weet dat ze nooit ingeschreven is bij Woningnet Utrecht (waarom zou ze ook) dat ze het direct als phishing herkende. Alleen met hovering over de link (en zien waar een en ander werd gehost, maar dat is niet voor de huis-, tuin- en keukengebruiker) zoals ik al eerder suggereerde was te zien dat het phishing was.

Phishing wordt met de dag beter, dit zat al op het niveau van perfectie.
31-12-2020, 10:40 door Anoniem
Gewone gebruikers hebben helaas niet de kennis in huis om dit te onderscheiden laat staan vaak de tijd om het zorgvuldig uit te zoeken. In plaats van hun e-mail phising te leren te herkennen met weinig kans van slagen kun je ze beter leren hoe om te gaan met e-mail in het algemeen ongeacht of het phising is of legitiem.

De basis regels die wij hanteren zijn:
Beschouw alle e-mail als niet vertrouwd ongeacht de zender.
Klik nooit op enige links tenzij je zeker weet dat je deze zelf net hebt aangevraagd.
Als er gevraagd wordt om in te loggen in een site typ dan zelf het adres in de browser of gebruik je favorieten, bookmarks.

En deze regels gelden ook voor mensen die wel de kennis in huis hebben want spf, dkim, dmarc, dane etc zijn ver van betrouwbaar te beschouwen als we kijken naar hoe slordig het gros van alle bedrijven ze implementeert.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.