Ruim de helft van de Nederlandse energieleveranciers heeft DMARC, een cruciale tool tegen domeinspoofing, niet geïmplementeerd. Hierdoor lopen hun klanten een verhoogd risico op e-mailfraude. Dat blijkt uit onderzoek van cyberbeveiliger Mimecast. Ook hebben veel energieleveranciers DMARC wel geïmplementeerd, maar het niet op de juiste manier geconfigureerd. Daardoor blijven hun klanten kwetsbaar.
DMARC (Domain-Based Message Authentication Reporting and Conformance) is een belangrijk wapen in de strijd tegen e-mailfraude. Cybercriminelen kunnen een e-mailadres van een bedrijf eenvoudig nabootsen (‘spoofen’) omdat het e-mailprotocol SMTP hier standaard geen bescherming tegen biedt. E-mailspoofing is dan ook een populaire truc om phishingmails zo overtuigend mogelijk te maken. Het DMARC-protocol helpt bedrijven om spoofing van hun e-maildomeinen te blokkeren.
DMARC is gebaseerd op de internetstandaarden DKIM en SPF. Simpel gezegd controleert DMARC of het domein van de afzender niet is vervalst. Domeineigenaren kunnen instructies geven voor wat er moet gebeuren als een e-mail niet door de DMARC-test komt. Via een afgedwongen DMARC-beleid kan een domeineigenaar de ontvanger bijvoorbeeld instrueren om een e-mail van een ongeautoriseerde afzender in quarantaine te plaatsen of te weigeren. Dit beschermt consumenten en bedrijven tegen phishing en andere frauduleuze e-mails.
DMARC niet of verkeerd ingesteld
Mimecast bracht met eigen tooling in kaart hoe de DMARC-adoptie in de Nederlandse energiesector verloopt. Van de 35 onderzochte energieleveranciers maken er slechts 7 gebruik van DMARC om ongeautoriseerde e-mails te blokkeren. Nog eens 10 hebben wel DMARC geïmplementeerd, maar het niet geconfigureerd om e-mails te blokkeren.
18 energieleveranciers, ruim de helft van de onderzochte bedrijven, hebben zelfs helemaal geen DMARC geïmplementeerd. Daarbij gaat het vooral om middelgrote en kleine energieleveranciers. “Dit levert onacceptabele risico’s op voor hun klanten”, zegt Dirk Jan Koekkoek, VP Product Management bij Mimecast. “Zonder DMARC wordt het voor cybercriminelen makkelijker om zich via e-mail voor te doen als de energieleverancier. Dat maakt allerlei vormen van oplichting mogelijk, zeker in de huidige energiecrisis.”
Mogelijke trucs van oplichters
Koekkoek noemt een aantal voorbeelden. “De hoge energieprijzen brengen veel huishoudens en bedrijven in het nauw. Een cybercrimineel kan bijvoorbeeld dreigen met afsluiting als de klant niet snel een openstaande factuur betaalt. Of juist een aantrekkelijke korting in het vooruitzicht stellen als de klant voor een paar maanden vooruitbetaalt. Het is ook niet ondenkbaar dat criminelen inspelen op het energieplafond. Bijvoorbeeld door het verlaagde tarief zogenaamd eerder in te laten gaan tegen een kleine betaling.”
De omstandigheden voor deze praktijken zijn nu perfect. “Mensen maken zich zorgen om de stijgende energiekosten en vertrouwen erop dat hun energieleverancier hen goed voorlicht. Eén moment van onoplettendheid is genoeg. Energiebedrijven hebben een morele plicht om hun klanten hiertegen te beschermen.”
Geen beveiligingscamera
Volgens de VP van Mimecast doen veel energieleveranciers nu feitelijk het tegenovergestelde. “Ook cybercriminelen kunnen zien wat de DMARC-status van een domein is. Dit helpt ze om een doelwit te selecteren. Vergelijk DMARC met een zichtbare beveiligingscamera. Voor inbrekers wordt een huis interessanter als er geen camera hangt. En wat zegt het over de rest van de beveiliging als deze cruciale maatregel niet is genomen? Niet voor niets is DMARC-compliance in de publieke sector verplicht.”
Koekkoek adviseert Nederlandse consumenten en bedrijven om de komende tijd extra kritisch te kijken naar e-mails van hun energieleverancier. “Ook als het e-mailadres lijkt te kloppen, kan het een poging tot oplichting zijn. Gebruik altijd je gezonde verstand en maak niet zomaar geld over, zeker als dit volgens de afzender heel urgent of voordelig is. Dat kan juist een truc zijn om je te misleiden. Neem bij twijfel zelf contact op met de energieleverancier, via het telefoonnummer of e-mailadres op de website.”
Over het onderzoek
Voor dit onderzoek heeft Mimecast op 19 september de domeinnamen van 35 Nederlandse energieleveranciers geanalyseerd met de gratis tool DMARC Record Check. De resultaten zijn geanonimiseerd met het oog op de veiligheid van Nederlandse consumenten en bedrijven.