UITLEG OVER HET BEGRIP 'SPOOFING'
sluit dit venster - Naar de website van Inside Parts
   

Wat is spoofing?

Spoofing is een techniek waarbij het adres van de afzender van een mail vervangen wordt door een ander afzenderadres. Deze techniek wordt door veel recente virussen gebruikt om verwarring te zaaien en de eigenlijke afzender van een virus-mail verborgen te houden, zodat de oorsprong van het virus niet kan gevonden worden.

We maken dit duidelijk met een voorbeeld:

Veronderstel dat de PC van Jan besmet is met een virus. Dat virus verstuurt automatisch zichzelf door per mail naar alle e-mailadressen dat het vindt op de PC van Jan, vb. naar Piet, maar het zet niet het e-mailadres van Jan als afzender, maar een ander e-mailadres dat het vindt op de PC van Jan, vb. dat van Pol. Het gevolg is dat bij het binnenkomen van de virusmail bij Piet zijn anti-virusprogramma het virus detecteert, maar daarbij denkt dat Pol de afzender is. Indien dat anti-virusprogramma dan ingesteld staat om automatisch verwittigingen te sturen naar de afzender van een virusmail, zal Pol die verwittiging krijgen en niet Jan.

Zo komt het dus dat u regelmatig mails binnenkrijgt die u melden dat uw PC virussen aan het versturen is, terwijl dat helemaal niet het geval is. Het is dan iemand anders (in de meeste gevallen iemand extern) die een virus heeft dat mails verstuurt met toevallig uw e-mailadres als afzender.

Jammer genoeg kan daar niets aan gedaan worden: u kunt immers niet verhinderen dat iemand anders mails verstuurt in uw naam. Het enige wat u kunt doen is ervoor zorgen dat uw eigen PC geen virussen verstuurt door uw anti-virusprogramma goed up-to-date te houden en minstens 1 keer per week op te volgen of het wel nog update. Meer info omtrend virussen vindt u hier.

Als iedereen zorgt dat zijn eigen PC geen virussen verstuurt, dan is er geen virusprobleem meer ! Het is enkel door de laksheid van miljoenen PC-gebruikers dat virussen zich zo massaal kunnen verspreiden.

een gedetailleerde uitleg vindt u hieronder:

Voor de eenvoud vergelijken we dit met een briefwisseling per post:

- Ik verstuur een brief met de post naar Jan, maar ik zet aan de achterkant niet mijn eigen tegenadres, maar dat van iemand die ik ken, vb. van Piet.
- De post bezorgt die brief bij Jan.
- Jan kijkt bij ontvangst achteraan op de envelop naar het tegenadres en denkt dus dat die brief van Piet komt en opent hem. In principe kan Jan niet achterhalen dat die brief helemaal niet van Piet komt en ook niet van wie die brief dan in werkelijkheid komt. Het kan zijn dat Jan Piet kent, maar het kan ook dat hij hem helemaal niet kent.

Dezelfde techniek wordt door programmeurs van virussen gehanteerd om de eigenlijke afzender van een virusmail onbekend te houden.

- Veronderstel dat mijn PC besmet is met een virus. Dat virus verstuurt automatisch besmette mails naar e-mailadressen dat het vindt op mijn PC, vb. in mijn adresboek. Zo kan dat virus vb. een virusmail sturen naar Jan. Mocht dat virus dan niets veranderen aan het afzenderadres van de mail, dan zou Jan bij het binnenkomen van de mail onmiddellijk weten dat die mail van mij komt. Als zijn anti-virusprogramma daar dan een virus in vindt, dan kan Jan mij verwittigen en zeggen dat ik mijn PC moet nazien op virussen.

Uiteraard is het de bedoeling van een virus om zoveel mogelijk PCs te besmetten, dus als men direct al kan achterhalen wie de virusmail verzonden heeft, is de kans op massale verspreiding kleiner omdat de afzender van het virus dan kan verwittigd worden en zijn PC ontsmetten.

Daarom maken recente virussen ook gebruik van “spoofing”, ttz. ze veranderen het e-mailadres van de eigenlijke afzender van een virusmail door een e-mailadres dat ze ergens op zijn PC vinden (vb. dat van Piet).

Zo kan het dus dat mijn PC een virusmail verstuurt naar Jan, maar met Piet als afzender.

- Die besmette mail komt via Internet bij Jan terecht.
- Het anti-virusprogramma op de PC van Jan detecteert bij het binnenkomen van de mail het virus en maakt het onschadelijk. Als Jan nu naar het afzenderadres van de virusmail kijkt, dan ziet hij het e-mailadres van Piet en denkt hij dat het virus dus van Piet afkomstig is. Jan verwittigt Piet om te zeggen dat hij hem een virus gestuurd heeft, maar Piet weet uiteraard van niets omdat het virus effectief niet van hem afkomstig is. Noch Piet, noch Jan kunnen achterhalen dat dit virus eigenlijk van mijn PC afkomstig is en ze kunnen mij dus ook niet verwittigen dat mijn PC virussen aan het versturen is. De kans dat dit virus dan nog een tijdje op mijn PC blijft staan en virusmails blijft versturen, is dan ook redelijk groot en dat is precies wat de programmeurs van virussen willen.

Het wordt nog straffer als we daar even op verder doorwerken. We gaan terug naar het voorbeeld van de briefwisseling per post.

- Veronderstel dat ik een brief stuur naar Jan, maar het verkeerde huisnummer in zijn adres zet, vb. een onbestaand huisnummer. Ik zet weer op de achterkant van de brief niet mijn adres als tegenadres, maar dat van Piet.

- De postbode probeert die brief te bezorgen, maar ziet dat dit huisnummer niet bestaat en stuurt de brief dan uiteindelijk terug naar de afzender. Hij kijkt daarvoor naar het tegenadres op de brief en stuurt hem daarom terug naar Piet.

- Piet ontvangt een “onbestelbare brief” die hij echter zelf nooit verstuurd heeft en weet dus eigenlijk niet goed wat hij daarvan moet denken.

Hetzelfde kan met virussen gebeuren:

- Veronderstel dat mijn PC besmet is met een virus. Dat virus stuurt automatisch besmette mails rond naar e-mailadressen dat het vindt op mijn PC, vb. naar Jan. Daarbij verandert het echter het e-mailadres van Jan : ipv. jan@firma_x.be maakt het daar james@firma_x.be van. Het afzenderadres wordt ook veranderd naar dat van Piet (piet@firma_y.be).

- Die virusmail komt via Internet toe op de mailserver van firma_x (firma_x.be). Die mailserver zoekt dan het e-mailadres van de bestemmeling op, nl. james@firma_x.be, maar er werkt daar helemaal geen “James” en dus stuurt die mailserver een bericht terug naar de afzender om aan te geven dat die mail onbestelbaar is. Het afzenderadres is echter piet@firma_y.be, dus Piet ontvangt een mail dat zijn mail naar James niet besteld kon worden, hoewel hij die mail helemaal niet verstuurd had.

De virusschrijvers camoufleren dus enerzijds het echte afzenderadres van de virusmails én zorgen tegelijk voor verwarring door onbestaande e-mailadressen te gebruiken voor de bestemmeling.

Het kan echter nóg straffer : we gaan daarvoor terug naar onze postbode.

- Ik stuur een brief naar Jan, maar zet daarbij een onbestaand huisnummer in zijn adres. Als tegenadres zet ik dat van Piet erop, maar ook daarin gebruik ik een onbestaand huisnummer.

- De postbode probeert de brief te bezorgen, maar ziet dat het huisnummer niet bestaat en stuurt de brief terug naar afzender. Het tegenadres (van Piet) bestaat echter ook niet, zodat de postbode die de brief terug moet bezorgen, dat ook niet kan en hem in principe opnieuw zou kunnen terugsturen (naar Jan). Enzoverder. Zo kan de brief blijven over en weer gaan tussen de onbestaande adressen van Jan en Piet. Een beetje verstandige postbode zal dat al rap door hebben en die brief gewoon wegsmijten, maar men kan zich voorstellen dat er zo toch heel wat verwarring en onnodig over en weer sturen kan ontstaan.

Hetzelfde kan met virussen gebeuren:

- een besmette PC verstuurt een virus naar james@firma_x.be en zet als afzenderadres kevin@firma_y.be. Geen van beide e-mailadressen bestaat.

- De mail komt binnen op de mailserver van “firma x” die hem niet kan bezorgen omdat james@firma_x.be niet bestaat en stuurt hem dus terug naar kevin@firma_y.be. Die mail komt dus toe op de mailserver van “firma y”, maar die kan hem ook niet bezorgen omdat kevin@firma_y.be niet gestaat, dus stuurt hij hem terug naar afzender (james@firma_x.be). Enzoverder, en zo zou die mail in principe permanent kunnen blijven over en weer gaan tussen beide mailservers.

Gelukkig hebben ook mailservers een mechanisme ingebouwd om te voorkomen dat dergelijke mails zouden blijven over en weer gaan (in vaktermen heet dat “bouncing”).
In de praktijk komt het erop neer dat schrijvers van virussen zoveel mogelijk moeite doen om verwarring te zaaien.

Het is dus best mogelijk dat u:

- mails krijgt die beweren dat u een virus aan het rondsturen bent terwijl dat helemaal niet het geval is
- antwoorden krijgt op mails die u helemaal niet verstuurd hebt

Dat zijn zaken die niet tegen te houden zijn.
Het enige wat u kunt doen is zorgen dat u zoveel mogelijk van dergelijke fenomen op de hoogte bent (vandaar deze nota) en zelf verstandig mailt :
- reageer niet op alle rommel die u binnenkrijgt
- open geen verdachte attachments puur uit nieuwsgierigheid
- zorg ervoor dat uw anti-virus altijd up-to-date staat en scan bij de minste twijfel uw PC eens volledig op virussen.