Beheer

Security

Phishing beter in het vizier

1 februari 2012
Yahoo, Microsoft, Google, AOL en twaalf andere grote bedrijven werken samen aan een authenticatie­systeem dat phishing tegen moet gaan. De vijftien bedrijven werken al anderhalf jaar aan het systeem, dat de naam DMARC heeft gekregen, voor Domain-based Message Authentication Reporting and Conformance.

Het probleem dat DMARC adresseert is inherent aan de werking van het mailsysteem, en dan met name aan het onderliggende Simple Mail Transfer Protocol. Dat is ontworpen in een tijd dat phishing nog niet eens een boze droom was. Daardoor ontbreken in het protocol technische maatregelen om zeker te stellen dat een afzender van een mail echt is wie hij zegt te zijn. Phishers maken daar dankbaar gebruik van om e-mails te sturen die van vertrouwde afzenders lijken te komen, om daarmee de ontvangers zo ver te krijgen dat ze vertrouwelijke gegevens delen met mensen die de bedoeling hebben daar misbruik van te maken. Een doorsnee gebruiker ziet immers niet dat de e-mail niet van het domein afkomstig is waarvandaan het verstuurd lijkt te zijn.

Aanpassing van SMTP zou een te ingewikkelde operatie zijn: zo’n aanpassing zou op alle mailservers doorgevoerd moeten worden om de communicatielijnen open te houden. Bestrijding van dit probleem is om die reden alleen mogelijk door aanvullende maatregelen te nemen.

Op dit moment zijn twee technologieën in gebruik om phishing tegen te gaan DomainKeys Identified Mail (DKIM) en Sender Policy Framework (SPF). Beide gebruiken het Domain Name System om extra informatie over de afzender mee te sturen. DKIM is ontwikkeld door Yahoo en Cisco. Het zorgt ervoor dat ontvangende mailservers de authenticiteit van e-mail kunnen controleren aan de hand van een versleutelde handtekening en een verwijzing naar een locatie in het DNS waar gegevens staan om die handtekening te verifiëren. Klopt er iets niet, dan wordt het bericht gemarkeerd als ongeldig. Van blokkeren is echter geen sprake. Dat moet een spamfilter alsnog doen.

SPF controleert of de verzender van een e-mail daartoe gerechtigd is. Dat gebeurt door aan het DNS-record een extra informatieveld van een domein toe te voegen. Daarin staat welke mailservices mail mogen versturen namens dit domein. Mailservers die niet in de lijst staan maar toch mail versturen met dit domein als afzender, worden aangeduid als ongeldig. Een nadeel hierbij is dat het niet helpt als spammers mailservers gebruiken die wel in het domeinrecord zijn vermeld, en dat komt steeds vaker voor.

Beide maatregelen worden veel gebruikt, maar niet door iedereen. Dat mail op basis van DKIM of SPF verdacht lijkt, betekent om die reden niet per definitie dat de mail verdacht is. DKIM heeft bovendien de neiging om aan te slaan bij mail die via mailinglijstprogramma’s wordt verstuurd, en SPF vindt doorgestuurde mail per definitie verdacht. Ontvangers van e-mail kunnen, kortom, heel moeilijk het onderscheid maken tussen legitieme en phishingberichten. Ook is het niet mogelijk vast te leggen wat de ontvangende mailservers doen met door hen als onbetrouwbaar gemarkeerde e-mails.

DMARC adresseert die problemen door een feedbackloop tussen legitieme verstuurders van e-mails en de ontvangers daarvan. DMARC is dus geen alternatief voor DKIM en SPF, maar een aanvulling op die technologieën. Ook hier is weer gekozen voor uitwisseling van extra informatie tussen legitieme zenders en ontvangers via het DNS. Met DMARC kan een verzender aangeven of hij al of niet gebruik maakt van DKIM en SPF, en kan hij de ontvanger aangeven wat te doen met mail die door die mechanismes als onbetrouwbaar wordt gevlagd. Aan de kant van de ontvanger neemt dat veel onzekerheid weg, waardoor een strikter acceptatiebeleid kan worden doorgevoerd.

DMARC biedt bovendien een mechanisme waarmee de zender rapportages kan krijgen over mail die geweigerd wordt bij de ontvanger. Dat helpt de zender om gaten in het authenticatiesysteem te vinden en te dichten. Verzendende organisaties kunnen desgewenst ook alleen met deze monitoringfunctie starten, als ze bang zijn dat mail anders verloren gaat.

Aangeboden als standaard

De specificaties worden nu nog getest maar zullen op termijn aangeboden worden aan de Internet Engineering Task Force. Dat moet ertoe leiden dat DMARC een standaard wordt. Maar net als bij DKIM en SPF geldt, dat het succes ervan uiteindelijk afhangt van de acceptatie en implementatie ervan in de markt. DMARC.org heeft daarbij al wel een aantal grote namen gecharterd. Behalve de genoemde e-mailpartijen participeren onder andere Bank of America, Facebook, LinkedIn en PayPal.

Paul Wood, analist bij Symantec, geeft DMARC een goede kans van slagen. Het kan volgens hem een eind maken aan spoofing, als het maar breed geaccepteerd wordt. Die acceptatie maakt volgens Wood een grote kans doordat er vijftien zeer grote organisaties achter staan.

ING juicht het initiatief toe. “Wij zien phishing als een maatschappelijk probleem. Het is daarom essentieel dat er wordt samengewerkt om phishing tegen te gaan”, aldus een woordvoerder. ING zegt open te staan voor DMARC. “We moeten het intern nog wel verder verkennen. Maar phishing voorkomen is voor ons van groot belang. Wij steken ook veel tijd in het voorlichten van klanten zodat zij phishingmails herkennen.”

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.