Vrijwel iedere internetgebruiker is er mee bekend: je ontvangt een mailtje van een bekende, waarin zij of hij Viagra-pillen aan je probeert te slijten. Of je wordt in brak Engels uitgenodigd om op een link te klikken. Dit fenomeen staat bekend als e-mail spoofing. De techniek, die het doet lijken alsof een mail is verzonden door een ander adres, wordt gretig toegepast door cybercriminelen om spamfilters te omzeilen.

Doordat de beveiliging van e-mailservers steeds beter wordt, kan dit trucje gelukkig eenvoudig worden tegengegaan. Een goed ingestelde server kan controleren of de afzender in de kop ook wel de daadwerkelijke afzender is, en of deze afzender ook echt de bevoegdheid heeft om bijvoorbeeld een mailtje afkomstig van het e-maildomein ‘@tweedekamer.nl’ te versturen.

Niet alleen bij de Nederlandse gemeenten staat de beveiliging er slecht voor

Dit gaat echter niet vanzelf: het betreffende e-maildomein moet wel goed ingesteld zijn. Er hoeft maar één onderdeeltje te ontbreken, en de controle op inkomende mail zal niet werken.

Uit een steekproef die Binnenlands Bestuur vorig jaar ondernam, bleek dit laatste bij veel Nederlandse gemeenten niet het geval: van de 50 geteste gemeenten waren er slechts drie — Den Haag, Den Bosch en Woerden — die alles goed hadden ingesteld. Bij de andere 47 konden oplichters zich dus relatief eenvoudig voordoen als gemeenteambtenaren.

Ook bij de Tweede Kamer

Maar niet alleen bij de Nederlandse gemeenten staat de beveiliging er slecht voor. Ook de mailservers van de Tweede Kamer zijn onvoldoende beveiligd. Follow the Money nam de proef op de som en stelde diverse mails op uit naam van bekende politici. Deze werden vervolgens in samenwerking met hacker Maarten Boone, die ons wees op dit veiligheidslek, rondgestuurd.

‘Het grootste probleem bij de Tweede Kamer is het ontbreken van Sender Policy Framework,’ vertelt Boone. ‘Dit is een beveiligingsextensie voor e-maildomeinen. Het werkt door middel van een lijst met e-mailservers die gemachtigd zijn om namens dat domein, in dit geval @tweedekamer.nl, mails te versturen. Omdat deze lijst er niet is, kunnen wij nu vanaf elke e-mailserver, waar ook ter wereld, mails versturen die afkomstig lijken te zijn van @tweedekamer.nl.’

Is dit een probleem waar wij wakker van moeten liggen? Zeker weten, zegt Boone: ‘Als jij een kamerlid bent en Mark Rutte stuurt jou een mailtje met een linkje erin, waarom zou je er dan niet op klikken? Het komt van de minister-president.’

Los van criminelen die hier gebruik van kunnen maken, wijst Boone ook op het politieke aspect: ‘Dit zou ook door buitenlandse inlichtingendiensten misbruikt kunnen worden om kamerleden, in goed vertrouwen over de afkomst van het mailtje, op malafide linkjes te laten klikken. Zo kan de dienst zich toegang te verschaffen tot politiek interessante personen om te bespioneren.’

Kamervragen

Voormalig PvdA-kamerlid en hacktivist Astrid Oosenbrug is niet verbaasd. Zij stelde tijdens haar periode als kamerlid meermaals Kamervragen over dit onderwerp. Oosenbrug maakt zich zorgen over de laconieke houding in Den Haag: ‘Telefoonnummers kun je ook spoofen, dit werkt hetzelfde als bij e-mail. Je verstuurt een bericht alsof het van bijvoorbeeld Halbe Zijlstra zijn nummer afkomt, en stuurt dat naar bijvoorbeeld minister Plasterk. Daar zijn zowel schriftelijke als mondelinge vragen over gesteld, maar volgens het kabinet was het niet echt een probleem.’

‘Toch heeft Plasterk aan de levende lijve ondervonden hoe lastig het kan zijn als iemand anders dan de minister zelf zijn telefoonnummer weet te blokkeren. Dit is bijvoorbeeld RTL- journaliste Hella Hueck zonder al teveel problemen gelukt. Stel je dus voor: bij een minister werkt de telefoon in een keer niet meer. Toen er vanuit de Kamer vragen over gesteld werden over het gebruik van bijvoorbeeld een cryptofoon, was het antwoord van de minister dat dat onhandig was met bijvoorbeeld WhatsApp. Terwijl ik juist denk: een minister is er toch bij gebaat dat zijn account niet zomaar gekaapt kan worden,’ aldus Oosenbrug.

Oosenbrug denkt dat er onder politici een gebrek aan besef heerst: ‘Hetzelfde zag je bij Henk Kamp die zijn privémail, een Gmail-account, gebruikte voor zijn politieke zaken. Toen hier vragen over kwamen, had hij een houding van: “dat maak ik zelf wel uit”. Dat vind ik vrij arrogant: je bent minister, je gaat om met gevoelige informatie. Je hebt dus een verantwoordelijkheid om daar zo goed mogelijk mee om te gaan. Maar die laksheid, niet te geloven.’

Ook Boone ergert zich aan de gemakzucht: ‘Het is simpel: fiets je in het donker? Doe dan je licht aan. Op een bouwplaats draag je een helm, en als je onderdeel uitmaakt van de regering, dan zorg je dat je communicatie vertrouwelijk verloopt. En nee, dit is niet altijd gebruiksvriendelijk. Maar wen er maar aan, je bent een land aan het besturen.’

‘Politici gebruiken gewoon hun iPhone, openbare gratis wifi, makkelijk te raden wachtwoorden, en ga zo maar door,’ vervolgt Boone. ‘Dan kun je wel 75 miljoen extra geld vrijmaken voor cybersecurity, maar zonder het besef dat je ook de basis op orde moet hebben is de vraag in hoeverre extra geld helpt. Zolang de politiek niet beseft dat je hier hele linke dingen mee kunt doen, hebben ze zoiets van “het zal wel”. De standaardreactie is óf de schouders ophalen, óf kwaad worden op degene die het lek aantoont’, constateert Oosenbrug.

Oosenbrug verwacht dan ook wel gemopper richting Follow the Money: ‘Journalist Teun van der Keuken kreeg ook de wind van voren toen hij het adres van minister Plasterk had achterhaald en zichzelf hierop had ingeschreven. Je moet boos worden op het systeem dat niet werkt, niet op degene die laten zien waar het misgaat.’ Boone wijst er wel op dat er sinds vorig jaar een overheidsbrede standaard is voor het beveiligen van verbindingen. ‘Maar ja, dan moet je er wel wat mee doen.’

Tweede Kamerlid Maarten Hijink van de SP laat Follow the Money weten de situatie onwenselijk te vinden: ‘Dit mag in een professionele organisatie niet gebeuren. Spoofen is vrij eenvoudig te voorkomen. Het systeem moet altijd controleren of een @tweedekamer-mail ook daadwerkelijk vanuit de server van de Tweede Kamer is verstuurd. Anders is het namelijk spam en mag het niet afgeleverd worden.’

‘Dat dit wel gebeurt, laat zien dat het systeem van de Tweede Kamer niet op orde is. In dit geval had deze fake mail tot vervelende toestanden kunnen leiden: “Mark Rutte” die een beoogd minister mailt dat de baan naar een ander gaat of een phishing-mail van “Geert Wilders” met een linkje om geld te doneren voor een niet-bestaand asiel voor poezen. Dat is vervelend, maar als kwaadwillende mensen de mailadressen van Tweede Kamerleden kunnen inzetten voor criminele handelingen, wordt het ook gevaarlijk.’

Lees hier alle emails die we hebben verstuurd: