Nederlandse organisaties kwetsbaar voor phishing aanvallen

21 juni 2016

Cybercriminelen en –spionnen hebben vrij spel, omdat goede beveiliging uitblijft bij veel Nederlandse organisaties. Ruim 59% van die organisaties neemt onvoldoende maatregelen om phishing en spoofing, het vervalsen van e-mails, tegen te gaan. Dit blijkt uit onderzoek door Hoffmann, naar de kwetsbaarheid van Nederlandse organisaties. Een team cyber security specialisten benaderde 26.734 domeinnamen en de conclusies zijn ontluisterend.

Phishing en spoofing komen steeds vaker voor

Misbruik van e-mail komt steeds vaker voor, bijvoorbeeld in de vorm van phishing. Hiervan is sprake als cybercriminelen e-mails versturen waarmee ze ‘hengelen’ naar gevoelige gegevens, zoals wachtwoorden of pincodes. Soms nemen cybercriminelen daarbij zelfs de identiteit over van een betrouwbare organisatie, wat in vaktermen betiteld wordt als spoofing. Deze techniek werd bijvoorbeeld onlangs toegepast binnen een onderzoek door Binnenlands Bestuur, waarbij valse e-mail werd verzonden uit naam van de Rotterdamse burgemeester Ahmed Aboutaleb.

Onderzoek Hoffmann naar kwetsbaarheid van domeinnamen

Hoffmann heeft onderzoek gedaan naar de kwetsbaarheid van domeinnamen van Nederlandse organisaties als het gaat om (spear)phishing en spoofing. Hierbij is met behulp van een beperkte kwetsbaarheidsscan gekeken of een aantal basis anti-spoofing instellingen, Sender Policy Framework (SPF) en Domain-based Message Authentication, Reporting and Conformance (DMARC), zijn ingesteld. ‘We hebben op de virtuele deur geklopt en zijn daarna weer weggegaan, met als enig doel om kwetsbaarheden inzichtelijk te maken’, aldus Petra Oldengarm die als Unitmanager Cyber Security betrokken was bij het onderzoek van Hoffmann.

Conclusies zijn ontluisterend

In totaal zijn 26.734 domeinnamen in dit onderzoek benaderd. De resultaten van het onderzoek zijn ontluisterend. Van de onderzochte domeinnamen heeft 59,4% het SPF record niet of onjuist ingesteld. In totaal 98,4% van de onderzochte domeinnamen heeft geen DMARC record ingesteld. De drie meest opvallende sectoren zijn:

  • Gezondheids- en welzorg. Het betreft ziekenhuizen, verzorgingstehuizen, praktijken van zorgverleners en andere organisaties die actief zijn in het zorgdomein. Van de 15.431 onderzochte domeinnamen heeft 66,8% geen of geen juist SPF-record ingesteld.
  • Openbaar bestuur. Hieronder vallen de nationale overheid, gemeenten en provincies. Alle gemeenten met een geregistreerde domeinnaam, alle provincies en alle ministeries zijn in het onderzoek meegenomen. Van de 1.591 onderzochte domeinnamen heeft eveneens 66,8% geen of geen juist SPF-record ingesteld.
  • Overige zakelijke dienstverlening. Het gaat hier om zakelijke dienstverleners, zoals bijvoorbeeld advocatenkantoren en accountants. Van de 1.822 onderzochte domeinnamen heeft 52,4% geen of geen juist SPF-record ingesteld. ?

Impact van recente berichtgeving media

Het onderzoek van Hoffmann is gestart in mei. Na het hiervoor benoemde onderzoek door Binnenlands Bestuur, en berichtgeving daarover begin juni, heeft Hoffmann een tweede scan uitgevoerd. In totaal hebben 133 organisaties alsnog een SPF record ingesteld, een toename van slechts 0,5% ten opzichte van de eerste scan. De grootste toename was zichtbaar bij gemeenten, zorg- en welzijnsinstellingen.

Gezamenlijk phishing en spoofing tegengaan

Uit het onderzoek van Hoffmann blijkt dat standaard beveiligingsinstellingen, zoals SPF, DKIM en DMARC, nog onvoldoende geadopteerd zijn door Nederlandse organisaties. De organisatie wijst op het belang van een juiste configuratie van een domeinnaam, controle door (e-mail) ontvangende servers en actie als er twijfel bestaat over de betrouwbaarheid van e-mails. ‘Hiermee is bescherming tegen spoofing een gezamenlijke inspanning van zowel verzendende als ontvangende partij. Als organisaties breed maatregelen treffen om spoofing tegen te gaan, wordt Nederland als geheel weerbaarder op het gebied van e-mail phishing’, aldus Oldengarm.

Vergroten weerbaarheid door integrale aanpak rond mens, techniek en organisatie Niet alleen technische maatregelen helpen een organisatie zich beter te beschermen tegen phishing. ‘Het gaat om een integrale aanpak, die ook is gericht op het inrichten van de juiste processen en het creëren van awareness en cyberveilig gedrag onder medewerkers’.

Het Hoffmann Cyber Security Onderzoek ‘Nederlandse organisaties kwetsbaar voor phishing aanvallen’ vind je op deze website.