Tech

Lek bij RIVM en overheid maakte gevaarlijke nepmails criminelen mogelijk

Daniël Verlaan • 03 april 2020 14:36 @danielverlaan

Beeld © ANP

Door een lek bij het RIVM en de Rijksoverheid was het voor cybercriminelen mogelijk om uit naam van deze organisaties gevaarlijke e-mails te versturen. Deze e-mails waren niet van echt te onderscheiden.

RTL Nieuws ontdekte de kwetsbaarheid in de e-mail van het RIVM en de Rijksoverheid en meldde dit bij de twee organisaties. Binnen een paar uur was het lek verholpen. We hebben gewacht met publicatie totdat criminelen het lek niet meer konden misbruiken.

Mailen uit naam van RIVM

Door de kwetsbaarheid was het mogelijk om uit naam van het RIVM of de Rijksoverheid e-mails te sturen die niet van echt te onderscheiden zijn. De afzender van een e-mail was bijvoorbeeld noreply@rijksoverheid.nl of informatie@rivm.nl. Ook de spamfilters van grote e-maildiensten hielden de e-mail niet tegen: hij kwam gewoon in je inbox terecht.

Juist in tijden van de coronacrisis, waarin iedereen op zoek is naar informatie over het virus, is het belangrijk dat deze communicatiekanalen worden beveiligd, stellen experts. 

Een voorbeeld van de nepmail. Beeld © RTL Nieuws

Dit fenomeen staat bekend als 'e-mail spoofing'. Als de e-mailinstellingen van het RIVM en de Rijksoverheid goed waren ingesteld, dan werden nepmails automatisch als spam herkend of weggegooid.

In plaats daarvan communiceerden de twee organisaties dat deze nepmails gewoon doorgelaten mochten worden. Daardoor belandden deze nepmails gewoon in je inbox.

Hackers en malware

"Ik ben hier echt over verbaasd", zegt onderzoeker Marco Davids van SIDN, de organisatie die de Nederlandse domeinnamen beheert. "Dit zijn zeer belangrijke domeinen en hackers kunnen daar misbruik van maken."

Een voorbeeld is dat criminelen een document over corona bij een e-mail afkomstig van het RIVM voegen. In dat document zit ransomware dat je computer versleutelt of spyware dat je wachtwoorden steelt. "Juist in deze tijd is het belangrijk om deze domeinen goed op slot te zetten", legt Davids uit. 

Coronaphishing

"We zien in deze tijd dat Nederlandse criminelen actief inspelen op de coronacrisis", vertelt ethisch hacker Rik van Duijn. "Ze verzinnen phishingaanvallen die misbruik maken van de angst die nu heerst. Het misbruik van een domein van de RIVM of Rijksoverheid helpt om zo'n phishingmail geloofwaardig te maken."

Voor zover bekend is er geen misbruik gemaakt van het lek bij het RIVM en de Rijksoverheid. Daarnaast is het verstandig om voor informatie direct naar de website van het RIVM of de app MijnOverheid te gaan. 

Mailen uit naam van Mark Rutte

In 2017 ontdekten journalisten van Follow The Money dat het mogelijk was om te e-mailen uit naam van Tweede Kamerleden. De Tweede Kamer dichtte het lek, maar later bleek dat de kwetsbaarheid al meer dan een jaar bekend was.

Dit kun je doen tegen 'spoofing'

E-mail is ontwikkeld zodat je vanaf elk e-mailadres een mail kunt sturen. Daarvoor hoef je geen toegang te hebben tot de mailserver. Je kunt het vergelijken met briefpost: daar kun je ook, als je wilt, een andere ontvanger of afzender op de envelop schrijven. 

Inmiddels zijn we tientallen jaren verder en zijn er technische oplossingen bedacht om dit zo goed mogelijk te voorkomen: SPF, DKIM en DMARC. Als je een eigen webdomein of -server beheert, kun je deze drie instellingen toevoegen om spoofing te voorkomen:

SPF vertelt of de verzender namens het e-mailadres een mail mag sturen. De ontvangende partij controleert dit en bepaalt of de mail wordt doorgelaten, als spam wordt gemarkeerd of wordt geblokkeerd.

DKIM ondertekent je e-mails met een digitale handtekening waarmee de ontvanger weet dat de mail door de bijbehorende mailserver is verzonden.

DMARC bepaalt wat er zou moeten gebeuren met e-mails die niet voldoen aan de SPF- en/of DKIM-voorwaarden.

Op internet.nl zijn deze instellingen te controleren.