Display Name Spoofing is een veelgebruikte phishing methode, waarbij de displaynaam van een e-mail wordt gewijzigd om een bericht te doen lijken alsof het van een betrouwbare bron afkomstig is.
Wat is Display Name Spoofing?
Dit is een eenvoudige maar doeltreffende manier van e-mail-spoofing, waarbij de naam van de afzender wordt vervalst, maar het e-mailadres niet. Hoewel een getrainde gebruiker het verschil tussen de displaynaam en het e-mailadres zou kunnen opmerken, rekenen hackers op ongetrainde gebruikers die zich zullen concentreren op de naam die wordt weergegeven en niet op het e-mailadres. Vaak is dit een collega in een leidinggevende positie.
Mobiele apparaten
Aangezien meer dan 70% van e-mail op mobiele apparaten wordt gelezen en de meeste e-mailapps het werkelijke afzenderadres niet tonen, komt Display Name Spoofing zeer vaak voor. De sleutel tot het succes van deze aanval is te wijten aan het feit dat mobiele telefoons veel kleinere schermen hebben dan laptops of desktops. Als gevolg hiervan geven e-mail clients op mobiele apparaten doorgaans veel minder informatie weer op hun scherm.
Wanneer de e-mail op een laptop wordt bekeken, is het afzenderadres zichtbaar (en duidelijk vals), maar wanneer exact dezelfde e-mail op een mobiel apparaat wordt bekeken, wordt alleen de afzendernaam weergegeven (welke kan worden bewerkt). Deze aanvallen worden vaak ’s ochtends voor werktijd, ’s avonds na werktijd of in het weekend verzonden, wanneer de ontvanger de e-mail hoogstwaarschijnlijk op zijn mobiele apparaat bekijkt.
Bij gratis e-mailproviders als Gmail en Yahoo kunnen displaynamen worden bewerkt, waardoor oplichters gebruikers gemakkelijk kunnen laten geloven dat een e-mail van een betrouwbare bron afkomstig is.
Een schema met de tactieken en technieken die worden gebruikt bij Executive Impersonation Scams en Display Name Spoofing:
Hoe is Display Name Spoofing te detecteren?
Voor een gebruiker is een Display Name Spoofing mail te herkennen aan het taalgebruik dat wordt gehanteerd en daarnaast door het e-mailadres van de afzender te vergelijken met de naam. De tekst in dergelijke mails is doorgaans dwingend, zeer algemeen en vaak met het verzoek om jouw 06-nummer te sturen. De persoon van waaruit de Spoofing mail wordt verstuurd, zal vaak niet op een dergelijke manier intern communiceren naar collega’s.
Ter illustratie een voorbeeld van een Display Name Spoofing e-mail bericht:
Is deze vorm van Spoofing te voorkomen?
Display Name Spoofing is nooit helemaal te voorkomen. Wel kunnen we maatregelen treffen om dit tegen te gaan. Dit zijn zowel technische maatregelen, als het vergroten van de bewustwording bij de gebruikers over deze vorm van Spoofing. Als we kijken naar de technische maatregel, dan biedt Microsoft ons Office 365 hiervoor een mogelijkheid. Het gaat dan om de optie ‘Impersonated user protection’ welke hiervoor dient te worden geconfigureerd binnen de anti-phising policy van Microsoft Defender for Office 365.
Als het gaat om de bewustwording naar de eindgebruikers, dan dient hiervoor op reguliere basis aandacht voor te zijn vanuit organisatorische security awareness campagnes. Naast deze bewustwording dient het ook de aanbeveling om gebruikers proactief te waarschuwen als zij mail van externen ontvangen. Dit laatste is te realiseren door aan elk inkomend mailbericht een banner toe te voegen aan het begin van het mailbericht, waarvan onderstaand een voorbeeld.
Wil je meer weten over dit onderwerp, dan wel wat voor je organisatie hierin mogelijk is om deze vorm van Spoofing tegen te gaan? Neem dan contact met ons op.
Ruud Rombout
Security Manager Managed Services