(Blog) Cybercriminelen gebruiken al jarenlang e-mail voor phishing aanvallen, Business E-mail Compromise (BEC) en andere oplichtingspraktijken. En dit neemt alleen maar toe. Om hier een einde aan te maken, voeren Google en Yahoo nieuwe authenticatievereisten in. E-mail authenticatie is al jaren een best practice. Het Domain-based Message Authentication Reporting Conformance (DMARC), is bijvoorbeeld al tien jaar beschikbaar en vormt de gouden standaard voor bescherming tegen emailvervalsing.
E-mail is een veelgebruikte communicatievorm voor organisaties en het favoriete middel van consumenten. De populariteit maakt deze communicatievorm extra aantrekkelijk voor kwaadwillende actoren. Zij misbruiken dit universele platform voor het uitvoeren van phishing, Business E-mail Compromise (BEC), spam en andere zwendelpraktijken. Google en Yahoo hebben hier genoeg van en voeren nieuwe authenticatievereisten in. Deze zijn ontworpen om te voorkomen dat dreigingsactoren misbruik maken van e-mail. Een grote verandering, wat goed nieuws is voor consumenten. Daarentegen hebben organisaties niet veel tijd om zich op deze veranderingen voor te bereiden. Zowel Google als Yahoo beginnen in het eerste kwartaal van 2024 met het afdwingen van hun nieuwe vereisten.
E-mail authenticatie is al jaren een best practice. Het Domain-based Message Authentication Reporting Conformance (DMARC), is bijvoorbeeld al tien jaar beschikbaar en vormt de gouden standaard voor bescherming tegen emailvervalsing. Ook is het een belangrijke techniek tegen BEC en phishingaanvallen. Toch zijn er veel bedrijven die nog geen DMARC hebben geïmplementeerd. Uit een analyse van september 2023 blijkt dat 63 van de grooste bedrijven in Nederland (NL25) beschikken over DMARC. En hoewel bijna de helft (49%) van deze bedrijven op het hoogste beschermingsniveau ‘Reject’, zit, is er nog veel werk aan de winkel. Van het aantal bedrijven dat over DMARC beschikt, bevindt bijna 13% zich op het laagste niveau, ‘Monitor’. Bijna 27% van de bedrijven zit op het middelste niveau, ‘Quarantine’. De overige 11% van deze bedrijven heeft nog helemaal geen DMARC. En de bedrijven die achterlopen met de implementatie, moeten nu snel een inhaalslag maken als ze mails willen blijven versturen naar Gmail- en Yahoo-adressen. Het implementeren van DMARC kan uitdagend zijn, vanwege de verschillende technische stappen en het voortdurende onderhoud dat nodig is. Niet alle organisaties hebben intern de middelen of kennis om op tijd aan alle eisen te voldoen.
Wat betekenen de nieuwe eisen voor jouw organisatie?
Phishing en BEC vormen een enorme bedreiging voor bedrijven in iedere branche. Onderzoek toont aan dat 84% van de organisaties vorig jaar te maken had met ten minste één succesvolle phishingaanval. De FBI noemt BEC ‘de zwendel van 26 miljard dollar’, vanwege de enorme financiële verliezen bij de slachtoffers. Emailverificatie biedt bescherming tegen deze dreigingen, want het doorbreekt de aanvalsketen van een mail.
DMARC en de bijbehorende verificatiemechanismen, Sender Policy Framework (SPF) en Domain Key Identified Mail (DKIM) protocollen, werken samen om e-mails te beveiligen en ter voorkoming van technieken zoals e-mailspoofing – een veelvoorkomende tactiek bij phishingaanvallen. Zo stelt SPF de ontvangende e-mailserver in staat om te verifiëren of de inkomende mail afkomstig is van een geautoriseerd IP-adres van de organisatie. Deze verificatie voorkomt dat een dreigende actor zich voordoet als jouw merk en biedt bescherming voor zowel de medewerkers als de klanten.
Wanneer klantcommunicatie plaatsvindt via Gmail en Yahoo, en er nog geen emailverificatieprotocollen zoals SPF, DKIM en DMARC zijn geïmplementeerd, dan is de grootste uitdaging tijd. Voor ieder protocol moeten meerdere stappen worden doorlopen en dat kan lastig zijn. Vooral als er meerdere domeinen zijn. Wanneer de protocollen eenmaal zijn ingevoerd, zijn er nog meer uitdagingen. SPF-, DKIM- en DMARC-gegevens vragen om onderhoud van gegevens, wat nog meer uitdagingen meebrengt. Zoek naar tools die heel dit proces versimpelen, stroomlijn de implementatie bijvoorbeeld met methoden die integreren met bestaande workflows.
Nieuwe vereisten
Google en Yahoo tonen kleine verschillen in de nieuwe vereisten. Daarnaast heeft Google ook aanvullende voorwaarden voor organisaties die bulk-mails versturen (5.000 of meer per dag). Toch is het implementeren van best practices voor emailverificatie, die verder gaan dan wat deze emailproviders specificeren, verstandig. Het toepassen van de best practices ondersteunt bij het verder verbeteren van de security en beperkt de emailrisico’s.
Hoewel emailverificatie nu misschien voelt als een ‘moetje’, draagt de implementatie uiteindelijk bij aan het ondersteunen van de medewerkers, teams en stakeholders in heel de organisatie. Wat bijdraagt aan de bescherming van heel het bedrijf. Hoewel Google en Yahoo hun gebruikers willen beschermen, doet emailverificatie veel meer dan dat. De impact van schadelijke mails gaat namelijk verder dan klanten. Zie deze nieuwe vereisten daarom als een katalysator voor het versterken van de algehele verdediging tegen emaildreigingen.
Zwakste schakel
Mensen blijven de zwakste schakel in de aanvalsketen en menselijke fouten zijn de belangrijkste oorzaak van cyberincidenten. Hoewel gebruikersbewustzijn en –educatie een belangrijke rol spelen bij het versterken van de menselijke laag, zijn technische controles zoals DMARC ontzettend belangrijk bij het beschermen van organisaties tegen aanvallen en emailfraude.
DMARC is, zoals ieder securityhulpmiddel, geen wondermiddel. Het voegt een extra laag aan bescherming toe ter versterking van de algemene verdediging. De emailvereisten van Google en Yahoo bieden een geweldige kans voor organisaties om gaten in de emailsecurity te dichten. Schakel hulp in van beschikbare experts en bronnen en pak emaildreigingen op een holistische manier aan.
Mark-Peter Mansveld, Vice President Northern Europe, Middle East & Israel bij Proofpoint