Nederland loopt voorop met DMARC, maar gebruik blijft beperkt

E-mailfraude is tegenwoordig één van de grootste cyberdreigingen voor organisaties. Dergelijke cyberaanvallen maken gebruik van social engineering, waarbij aanvallers mensen proberen te overtuigen onbewust malafide handelingen voor hen uit te voeren of hen toegang te geven tot systemen. Vaak wordt bij e-mailfraude gebruik gemaakt van spoofing, waarmee aanvallers het e-mailadres van een medewerker van een organisatie nabootsen. Het goede nieuws is dat Nederland voorop loopt als het gaat om de adoptie van DMARC. Desondanks blijken veel grote bedrijven en bekende Nederlandse merken zich niet te hebben gewapend tegen dergeiljke aanvallen.

Dit blijkt uit onderzoek van Proofpoint. Het beveiligingsbedrijf 168 online-domeinen van enkele van de grootste Nederlandse bedrijven en controleerde in hoeverre zij DMARC (Domain-based Message Authentication, Reporting & Conformance) geïmplementeerd hebben. DMARC is een erkend e-mailauthenticatieprotocol dat al in een vroeg stadium door de Nederlandse overheid werd aanbevolen. De techniek maakt het mogelijk om ‘spoofing’ van het domein te blokkeren voordat frauduleuze e-mails de inbox van de geadresseerden bereiken.

Slechts 25% gebruikt DMARC

Uit het onderzoek blijkt dat Nederland voorop loopt als het gaat om de adoptie van DMARC. Desondanks wordt DMARC relatief weinig gebruikt. Zo had 75% van de Nederlandse topbedrijven ten tijde van het onderzoek nog geen DMARC record gepubliceerd. Deze organisaties hebben hierdoor geen zicht op aanvallen waarbij e-mailadressen worden gespooft. Van de 25% die wel de eerste stap richting DMARC gezet heeft, had slechts 6% het project al volledig gerealiseerd. Deze bedrijven zijn in staat om frauduleuze e-mails die misbruik maken van hun domein proactief te blokkeren voordat ze de inbox bereiken.

Van de 21 Nederlandse bedrijven in de Forbes 2000 hebben 13 een DMARC record gepubliceerd (60%). Dit is logisch omdat grote bedrijven over het algemeen koploper zijn op het gebied van technologie-adoptie. Dit betekent echter nog steeds dat 40% (twee op de vijf bedrijven) geen zicht heeft op e-mailbedreigingen die gericht zijn op hun onderneming. Voor de top 20 uit de Elsevier 500 geldt een soortgelijke bevinding. Bij deze bedrijven is de DMARC adoptiegraad 50%. Gezien de omvang van deze organisaties is dit absoluut prijzenswaardig. Toch is de helft van hen nog niet eens begonnen om zich te beschermen tegen e-mailfraude.

9 op de 10 bedrijven getroffen door spoofing

Het is opvallend dat DMARC relatief weinig wordt toegepast, aangezien spoofing veel voorkomt. Zo blijkt uit het meest recente Proofpoint onderzoek naar cyberdreigingen dat 93% van de bedrijven in het vierde kwartaal van 2017 werd getroffen door spoofingaanvallen. Hoe groter de organisaties, des te serieuzer ze e-mailfraudebescherming lijken te nemen. Onderzoeken wijzen echter uit dat cybercriminelen zich richten op bedrijven van elke omvang.

Proofpoint wijst erop dat cybercriminelen gebruik maken van verschillende spoofingtechnieken om hun slachtoffers te verleiden namens hen te handelen. Het gaat hierbij 'domain spoofing' zoals hierboven is beschreven, maar ook om andere varianten zoals ‘display name spoofing’ en ‘lookalike domain spoofing’. Bij de eerste variant laten aanvallers een vertrouwde naam, zoals die van een manager, weergeven als naam van de afzender. Bij de tweede variant wordt een e-mail verstuurd vanaf een e-mailadres gekoppeld aan een domeinnaam die veel lijkt op de legitieme domeinnaam van een organisatie.

Meerdere verdedigingslinies

Ook waarschuwt Proofpoint dat organisaties meerdere verdedigingslinies nodig hebben om alle vormen van e-mailfraude tegen te gaan. Denk bijvoorbeeld aan dynamische classificatie, e-mailauthenticatie, detectie van lookalike-domeinnamen en het voorkomen van gegevensverlies.

Meer informatie is beschikbaar in het 2017 Email Fraud Threat Report.