Wat er fout gaat met e-mail: onderzoek van de Cyberonderzoeksraad

Vandaag presenteert de Cyberonderzoeksraad het onderzoeksrapport “de schade van e-mail”. Het gaat daarbij om de bevindingen van een project dat een jaar gelopen heeft. Wat is geconstateerd en onderzocht zal de lezers van ISP Today bekend voorkomen. Toch is het goed dat dit onderzoek, waarbij het niet draait om naming & shaming, is gedaan. De markt heeft namelijk baat bij het inzichtelijk maken van fouten omdat het noodzakelijk is tot betere awareness- en preventiemaatregelen te komen.

Meldplicht

De Cyberonderzoeksraad doet, zoals de naam aangeeft, onderzoek en is een initiatief van Brenno de Winter.

Het onderzoek waarvan de resultaten bekende worden gemaakt is gestart terwijl in Nederland de wet meldplicht datalekken van kracht was. Die wet hield in dat datalekken gemeld moesten worden bij de AP. Sinds 25 mei 2018 horen we niets meer over die wet. Dat komt omdat de AVG/ GDPR nu van kracht is. De naam van het wettelijke kader mag zijn veranderd, de mogelijkheid en zelfs plicht lekken te melden is dat niet. Ook nu staat iedereen die een datalek veroorzaakt voor de keuze dit incident te melden en bij wie. Wat daarbij de afwegingen zijn valt grotendeels buiten de scope van het onderzoek.

Typosquatting

Tot de scope van het onderzoek hoort het in kaart brengen welke fouten er met e-mail worden gemaakt, wat daarvan de risico’s zijn en hoe de situatie verbeterd kan worden. Fouten maken met e-mail is een brede term. Hosters zullen daarbij ongetwijfeld ook denken aan het onjuist configureren van de mailsservers, te simpele wachtwoorden of onzinnige forwards. Dat is niet wat de Cyberonderzoeksraad heeft onderzocht. Wat men wel heeft gedaan is een groot aantal domeinnamen geregistreerd die sterk lijken op bestaande namen. Daarbij lijkt de voorkeur te zijn uitgegaan naar het typosquatting van namen zoals overheidsdiensten en multinationals te hanteren. Het imiteren van de webshop van de fietsenwinkel op de hoek stond niet op de agenda.

De negatieve impact van typosquatting kent iedere hoster en registrar. Klanten die merken dat business weglekt omdat een concurrent of ex-werknemer met een sterk gelijkende naam aan de haal is gegaan en dan hij de regsitrar aankloppen komt regelmatig vaak. Via de rechter of een geschillenregeling kan de gedupeerde proberen de overlast tegen te gaan. Hoe dat werkt is weer een heel ander verhaal.

E-mail als datalek

Wat de Cyberonderzoeksraad heeft gedaan met de ge-typosquatte domeinnamen is de catch all voor mail aanzetten. Binnen een jaar zijn zo 15.000 mails ontvangen. 3.100 daarvan waren serieus en goed voor kromme tenen. In het rapport staat te lezen wat voor gevoelige informatie naar fake ministeries, banken en dergelijke is verstuurd zonder dat de verzender dat in de gaten heeft gehad.

De verzenders van de mail hebben zelf de typos in het deel achter de @ gemaakt. Het is niet zo dat de Cyberonderzoeksraad de domeinen inzette voor social engineering of op een andere manier mailverkeer uitlokt. In elk (?) van de gevallen is er sprake van een datalek en de medewerker zou daarvan melding moeten maken. Dat kan echter alleen al hij/zij in de gaten heeft naar een fake adres te hebben gemaild.

Voorkomen is beter dan genezen

Uiteraard stelt de Cyberonderzoeksraad dat voorkomen beter is dan genezen. De vraag of alles wel via e-mail moet is daarbij even relevant als het wijzen op de mogelijkheid mail te encrypten (iets dat schijnbaar nog niet verplicht is voor elke overheidsdienst). Voor e-mail gebruikers is dat soort adviezen correct.

Maar er is ook een andere kant van het verhaal. De Cyberonderzoeksraad wijst op de SIDN dienst DBS. Dat die bijdraagt aan het voorkomen van kwaadaardig misbruik hoeft hier niet verder te worden uitgelegd. We weten echter ook via recente phishing en malware tsunamis dat die dienst door ten minste een Nederlandse bank niet (serieus) wordt benut.

En de registrar?

ISP Today heeft het rapport van de Cyberonderzoeksraad onder embargo toegezonden gekregen. Dat gaf de mogelijkheid na te denken over de boodschap voor registrars. Het is namelijk primair geschreven om e-mailgebruikers op fouten te wijzen en de houders van domeinnamen aan de bovenkant van de markt nog eens te wijzen op de risico’s van typosquatting.

Registrars bieden de klanten al jarenlang de mogelijkheid bij het registreren van een domeinnaam ook de gelijkende namen te tonen. Vaak gebeurt dat door te laten zien of de naam bij andere TLDs nog te registreren is. Als er al tekst bij die optie staat dan zijn dat onschuldige teksten.

Wat ISP Today uit het rapport van de Cyberonderzoeksraad haalt voor de sector is dat je hier van de nood een deugd kunt maken. Laat zien in je communicatie rond het registratieproces is dat er nog een andere redenen is dan “internationale uitstraling” en “betere vindbaarheid” om gelijkende domeinnamen te registeren. Het helpt voorkomen dat je klanten, afnemers, leveranciers onbedoeld data lekken.

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.