Mailen als Charles Michel of Jan Jambon? Iedereen kan het
Het is erg makkelijk om mails te sturen die afkomstig lijken van premier Charles Michel of de ministers van de regering. Dat heeft computerwetenschapper Jeroen Baert van de KU Leuven ontdekt. Het Centrum voor Cybersecurity werkt aan een oplossing.
In Nederland was er de afgelopen dagen heel wat commotie over "spoofing", een oude techniek waarbij je een vals e-mailadres als afzender aan een e-mailbericht kan geven. Zo kon de onderzoekssite Follow The Money onder meer mails versturen die van premier Mark Rutte leken te komen.
"Vergelijk het met het verzenden van een brief. Ook daar kan je op de achterkant schrijven dat de brief komt van iemand anders. Bij deze mails is het eigenlijk hetzelfde", zegt computerwetenschapper Jeroen Baert. Met correcte instellingen controleert de "echte" e-mailserver of iemand gemachtigd is om een bepaald e-mailadres als afzender te gebruiken, maar die beveiliging kan dus slecht of niet zijn ingesteld.
Michel, Jambon en Francken
Na de commotie in Nederland testte Baert uit of ook in ons land hetzelfde probleem opduikt. De resultaten zijn opvallend. Zo bezorgde de wetenschapper aan persagentschap Belga e-mails die effectief een adres hadden dat identiek was aan dat van premier Charles Michel, minister van Binnenlandse Zaken en Veiligheid Jan Jambon of (het kabinet van) staatssecretaris Theo Francken.
Dit probleem doet zich breder voor dan ik had verwacht.
"Dit probleem doet zich breder voor dan ik had verwacht", zegt Baert. "Het werkt naast de @fed.be-adressen ook voor de adressen met @fgov.be, @dekamer.be, @vlaamsparlement.be, enzovoort. Op zich is dat vreemd, het probleem bestaat vermoedelijk al lang, maar is in principe heel snel op te lossen."
Gevaar
Het gevaar bestaat dat kwaadwilligen zich voordoen als mandatarissen of ambtenaren om zo nietsvermoedende burgers om de tuin te leiden met valse e-mails. Wie de techniek gebruikt, kan alleszins niet aan de inbox en toekomende mails van de "echte" gebruiker. Ook zullen antwoorden op een valse e-mail terechtkomen bij de echte gebruiker en niet bij de "spoofer".
Volgens Baert moeten de operatoren hun "spf-record" in orde brengen, waarmee wordt bepaald wie het e-mailadres mag gebruiken. Mails die toestemming niet hebben, zouden zo worden geweigerd. "Ik zeg niet dat dat maar tien minuten werk is, maar het is zeker geen dag werk."
Probleem wordt aangepakt
Bij het Centrum voor Cybersecurity is men intussen op de hoogte. "De collega's van het Computer Emergency Response Team (CERT) krijgen meldingen binnen, zo ook voor dit probleem. Ze hebben de verantwoordelijke beheerder van de servers gecontacteerd. Men is bezig het probleem op te lossen."