Wat is Domain Spoofing?
Domein spoofing is een cyberaanval techniek waar aanvallers zich voordoen als een legitieme domein om gebruikers te misleiden, omzeilen beveiligingssystemen, of krijgen onbevoegde toegang. Dit kan bestaan uit het smeden van e-mail headers, het registreren van lookalike domeinen, of het exploiteren van DNS kwetsbaarheden om verkeer om te leiden.
Soorten domeinspoofing
E-mail Spoofing
Het "Van" adres in e-mails vervalsen om te verschijnen vanuit een vertrouwd domein:
Legitimate:
From: support@paypal.com
Actual sender: PayPal's mail servers
Spoofed:
From: support@paypal.com
Actual sender: attacker's server
Without SPF/DKIM/DMARC, appears legitimate
Naam weergeven
Manipuleren van de schermnaam van de afzender tijdens het gebruik van een andere e-mail:
Display: CEO John Smith <john.smith@company.com>
Actual email: attackercontrol@malicious.com
Many email clients show only display name prominently
Lookalike Domain Spoofing
Het registreren van domeinen die lijken op legitieme:
Legitimate: paypal.com
Lookalikes:
paypa1.com (1 instead of l)
paypal-secure.com (added word)
paypai.com (typo)
paypаl.com (Cyrillic 'а' instead of Latin 'a')
DNS Spoofing (Cache Poisoning)
Corrupte DNS-caches om het verkeer om te leiden:
User types: bank.com
DNS poisoned: Returns attacker's IP instead of real bank
User arrives at: Fake bank.com (phishing site)
User thinks: They're on real site (URL shows bank.com)
Beller ID Spoofing (VoIP)
Het weergeven van valse telefoonnummers (minder relevant voor domeinen maar gerelateerd concept).
Hoe E-mail Spoofing werkt
De SMTP Protocol Gap
SMTP (email protocol) heeft geen ingebouwde verificatie van de afzender:
SMTP Conversation:
Client: HELO attacker.com
Server: 250 Hello
Client: MAIL FROM: <ceo@victimcompany.com>
Server: 250 OK (accepts without verification)
Client: RCPT TO: <employee@victimcompany.com>
Server: 250 OK
Client: DATA
From: ceo@victimcompany.com
Subject: Urgent wire transfer needed
→ Server delivers it
Niets in SMTP controleert de afzender daadwerkelijk de victimcompany.com.
Kop Manipulatie
Aanvallers ambachtelijke headers die basisfilters omzeilen:
From: "CEO John Smith" <ceo@legitimate.com>
Reply-To: attacker@malicious.com
User sees trusted sender
Replies go to attacker
Real-World Spoofing Attack Scenario's
Bedrijf E-mail Compromis (BEC)
1. Attacker researches company structure
2. Spoofs CEO's email to CFO
3. "Urgent wire transfer needed for acquisition"
4. CFO transfers funds thinking it's legitimate
5. Company loses millions
Phishing Campagnes
1. Spoof bank or tech company domain
2. Send emails about "suspicious activity"
3. Link goes to lookalike domain
4. User enters credentials on fake site
5. Attacker steals credentials
Factuurfraude
1. Attacker spoofs supplier's domain
2. Sends updated invoice with attacker's bank details
3. Victim pays attacker instead of real supplier
4. Legitimate supplier never receives payment
Malware distributie
1. Spoof trusted software company
2. Email with "critical security update"
3. Attachment contains malware
4. User trusts "legitimate" sender and opens it
Domein Spoofing opsporen
E-mail header-analyse
Onderzoek volledige headers op inconsistenties:
From: support@paypal.com
Return-Path: <random@suspicious.com> ← Red flag
Received: from unknown.net [1.2.3.4] ← Not PayPal's servers
Real email would have:
Received: from mx.paypal.com [verified PayPal IP]
Return-Path: <support@paypal.com>
SPF/DKIM/DMARC Controleren
Authentication-Results: recipient.com;
spf=fail smtp.mailfrom=paypal.com ← Spoofed
dkim=none ← Not signed
dmarc=fail ← Failed policy
Legitieme PayPal e-mails zouden alle cheques passeren.
Visuele inspectie
Zoek naar subtiele verschillen:
Real: paypal.com
Fake: paypal-secure.com (extra word)
Fake: paypαl.com (Cyrillic character)
Fake: paypal.co (missing 'm')
Gedrag Anomalies
- Dringende taal ("Act now!", "Wire transfer onmiddelijk")
- Ongebruikelijke verzoeken (CEO vraagt om cadeaubonnen)
- Grammatica/spelfouten
- Verzoeken om betalingsgegevens te wijzigen
- Links naar onbekende domeinen
Domein Spoofing voorkomen
E-mailauthenticatie implementeren (kritiek)
SPF (Sender Policy Framework):example.com. IN TXT "v=spf1 include:_spf.google.com -all"
Authorizes which servers can send for your domain
Cryptographically signs outgoing emails
Receivers verify signature using DNS public key
Tampered emails fail verification
_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"
Tells receivers to reject emails that fail SPF/DKIM
Provides reports on spoofing attempts
p=none Monitor only (start here)
p=quarantine Send failures to spam
p=reject Block failures completely (goal)
Registreer Defensive Domains
Proactief registreren lookalike domeinen:
Primary: company.com
Register:
- Common typos: conpany.com, compamy.com
- Different TLDs: company.net, company.org, company.co
- Hyphenated: com-pany.com, company-inc.com
- Plurals: companies.com
Dan:
- Redirect naar het primaire domein
- Parkeren met informatieve pagina
- Gebruik voor legitieme doeleinden
Merkvermeldingen monitoren
Gebruik diensten om onbevoegde domeinregistraties te detecteren:
- Google Alerts voor domeinregistraties met merknaam
- Certificaat Transparantie logs (monitor voor SSL certs afgegeven)
- WHOIS monitoring voor nieuwe registraties
- DomainTools
- Sift by Cloudflare
- BrandShield
- Bolster
Opleiding van werknemers
Regelmatige bewustmakingstraining:
- Hoe te identificeren spoofed e-mails
- Controleer verdachte verzoeken via alternatieve kanalen
- Klik nooit op links in onverwachte e-mails
- Controleer afzender domein zorgvuldig
- Rapporteer verdachte e-mails naar IT
Technische controles
DMARC Enforcement:p=reject (block spoofed email entirely)- Scannen op lookalike domeinen
- Vlag externe e-mails die er intern uitzien
- Blokkeer bekende-slechte afzender IP's
[EXTERNAL EMAIL] This email originated outside the organizationControleer en sanitize URL's in e-mails voor levering.
Beleidskader voor afzender:Alleen goedgekeurde verzendingsmethoden toestaan (geen eenmalige SMTP).
Geavanceerde Spoofing Technieken
Homoglyph valt aan
Visueel vergelijkbare tekens uit verschillende alfabeten gebruiken:
Latin 'a' vs Cyrillic 'а' (U+0430)
Latin 'o' vs Cyrillic 'о' (U+043E)
googlе.com (Latin 'e' replaced with Cyrillic 'е')
Looks identical to: google.com
googlе.com → xn--googl-6nd.com (encoded)
Browsers show: ⚠️ xn--googl-6nd.com
Subdomein Spoofing
Subdomeinen maken die op verschillende domeinen lijken:
legitimate-bank.attacker.com
Appears as: legitimate-bank (subdomain of attacker.com)
Users see: "legitimate-bank" and assume it's safe
Man-in-the-middle met DNS kaping
1. Attacker compromises DNS server or router
2. Changes bank.com resolution to attacker's IP
3. Serves fake bank site
4. Uses valid SSL cert (from Let's Encrypt, free)
5. User sees https://bank.com with padlock
6. User thinks it's safe, enters credentials
Juridische en regelgevende aspecten
Anti-Cybersquatting Consumer Protection Act (ACS)
Amerikaanse wet verbiedt registratie van domeinen verwarrend vergelijkbaar met handelsmerken.
Uniform Domain-Name Dispute-Resolution Policy (UDRP)
Beleid van ICANN voor het oplossen van merkgeschillen:
- Merkhouders kunnen lookalike registraties uitdagen
- Arbitrageprocedure (sneller/goedkoper dan het gerecht)
Strafrechtelijke sancties
Domeinonderzoek voor fraude wordt vervolgd onder:
- Wire Fraud Act (US)
- Wet op computerfraude en misbruik (US)
- Soortgelijke wetten in andere rechtsgebieden
Sancties omvatten boetes en gevangenisstraffen.
Reageren op domeinspoofing
Als je domein wordt opgeruimd
1. Implementatie DMARC met p=reject
_dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:abuse@example.com"2. Alert klanten/partners
- Bericht over spoofing campagne
- Geef indicatoren (wat te zoeken)
- Rapportagekanaal geven
3. Aan de autoriteiten rapporteren
- FBI IC3 (US)
- Lokale cybercriminaliteitseenheden
- Werkgroep Anti-Phishing (apwg.org)
4. Toenameverzoeken
- Rapporteer phishing sites aan hosting providers
- Rapporteer aan domeinregistrars
- Google Safe Browse-rapport gebruiken
5. Monitor DMARC rapporteert
- Spoofingbronnen identificeren
- Track aanval volume en patronen
Als u een Lookalike Domain ontdekt
1. Bewijsstukken
- Schermafbeeldingen
- WHOIS-gegevens
- E-mailkoppen
2. UDRP klacht (als u eigen handelsmerk)
3. Verslag over misbruik van de Registrar
4. Rechtsactie** (indien significante schade)
Uw verdediging testen
Test E-mail Spoofing Protection
# Send test spoofed email to yourself
swaks --to employee@yourcompany.com \
--from ceo@yourcompany.com \
--server test-smtp-server.com \
--header "Subject: Test Spoofed Email"
# Check if it's delivered or blocked
# Check authentication results in headers
Controleer DMARC configuratie
dig _dmarc.example.com TXT
# Should return policy (p=reject ideally)
_dmarc.example.com. 300 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"
Controleer SPF en DKIM
# SPF
dig example.com TXT | grep spf
# DKIM (check common selectors)
dig google._domainkey.example.com TXT
dig default._domainkey.example.com TXT
Gebruik Online Hulpmiddelen
- MXToolbox Domain Health Check
- Dmarcian DMARC Inspector
- Google Admin Toolbox Berichtkop
- PhishTank (controleer of uw domein is gemeld)
Domein spoofing is een ernstige bedreiging, maar kan effectief worden beperkt door de juiste e-mail authenticatie, monitoring en gebruikerseducatie.