{"id":27768,"date":"2021-10-28T16:00:02","date_gmt":"2021-10-28T14:00:02","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=27768"},"modified":"2021-10-28T12:48:10","modified_gmt":"2021-10-28T10:48:10","slug":"analyzing-mail-header","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/analyzing-mail-header\/27768\/","title":{"rendered":"Hoe u een verdachte e-mail analyseert"},"content":{"rendered":"<p>De tekenen van phishing kunnen duidelijk zijn \u2013 <a href=\"https:\/\/www.kaspersky.nl\/blog\/google-script-phishing\/27325\/\" target=\"_blank\" rel=\"noopener\">een discrepantie tussen het adres van de afzender en dat van hun vermeende bedrijf<\/a>, <a href=\"https:\/\/www.kaspersky.nl\/blog\/office-phishing-html-attachment\/26945\/\" target=\"_blank\" rel=\"noopener\">logische inconsistenties<\/a>, <a href=\"https:\/\/www.kaspersky.nl\/blog\/adobe-online-imitation\/27260\/\" target=\"_blank\" rel=\"noopener\">notificaties die van online diensten afkomstig lijken te zijn<\/a> \u2013 maar het herkennen van een nepmail is niet altijd zo eenvoudig. Een manier om een nepmail overtuigender te laten lijken is door te knoeien met het zichtbare veld met het e-mailadres.<\/p>\n<p>Deze techniek is vrij ongewoon in gevallen van massa-phishing, maar we zien het veel vaker bij gerichte berichten. Als een bericht er echt uitziet, maar u twijfelt aan de echtheid van de afzender, probeer dan wat dieper te graven en controleer de header <em>Ontvangen<\/em>. In deze post leest u hoe dat kan.<\/p>\n<h2>Redenen voor twijfel<\/h2>\n<p>Elk vreemd verzoek is een duidelijke rode vlag. Een e-mail waarin u bijvoorbeeld wordt gevraagd om iets te doen dat buiten uw werk valt of om een niet-standaardactie uit te voeren, verdient nader onderzoek, vooral als wordt beweerd dat het belangrijk (<em>persoonlijk verzoek van de CEO!<\/em>) of dringend (<em>moet binnen twee uur worden betaald!<\/em>) is. <a href=\"https:\/\/www.kaspersky.nl\/blog\/phishing-psychology\/23750\/\" target=\"_blank\" rel=\"noopener\">Dat zijn standaard phishing-trucs<\/a>. U moet ook op uw hoede zijn als u wordt gevraagd om:<\/p>\n<ul>\n<li>Een link in de e-mail te volgen naar een externe website waar vervolgens om uw inlog- of betaalgegevens wordt verzocht;<\/li>\n<li>Het downloaden en openen van een bestand (zeker als het om een uitvoerbaar bestand gaat);<\/li>\n<li>Acties uit te voeren die te maken hebben met geldovermakingen of toegang tot systemen of diensten.<\/li>\n<\/ul>\n<h2>Hoe u e-mailheaders vindt<\/h2>\n<p>Helaas is het zichtbare veld <em>Van<\/em> gemakkelijk te vervalsen. De header <em>Ontvangen<\/em> moet echter het echte domein van de afzender tonen. U kunt deze header in elke mailclient vinden. We gebruiken hier Microsoft Outlook als voorbeeld, omdat deze client veel gebruikt wordt in de moderne zakenwereld. Het proces zou echter niet radicaal anders moeten zijn in een andere client; als u er zo een gebruikt kunt u de hulpdocumentatie raadplegen of proberen zelf de headers te vinden.<\/p>\n<p>In Microsoft Outlook:<\/p>\n<ol>\n<li>Open het bericht dat u wilt controleren;<\/li>\n<li>Op het tabblad Bestand, selecteer <em>Eigenschappen<\/em>;<\/li>\n<li>In het venster Eigenschappen dat opent, zoekt u het veld Ontvangen in de sectie internetheaders.<\/li>\n<\/ol>\n<p>Alvorens de ontvanger te bereiken, kan een e-mail meer dan \u00e9\u00e9n tussenliggend knooppunt passeren, zodat u verschillende Ontvangen-velden kunt zien. U kijkt dan naar de laagste, die informatie bevat over de oorspronkelijke afzender. Dat zou er ongeveer zo uit moeten zien:<\/p>\n<div id=\"attachment_27772\" style=\"width: 385px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-27772\" class=\"wp-image-27772 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/99\/2021\/10\/28124244\/analyzing-mail-header-received.png\" alt=\"\" width=\"375\" height=\"106\"><p id=\"caption-attachment-27772\" class=\"wp-caption-text\">Ontvangen-header<\/p><\/div>\n<h2>Hoe u het domein van de <em>Ontvangen<\/em>-header controleert<\/h2>\n<p>De makkelijkste manier om de <em>Ontvangen<\/em>-header te controleren is met ons <a href=\"https:\/\/opentip.kaspersky.com\/?icid=nl_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______&amp;utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=nl_wpplaceholder_nv0092&amp;utm_content=link&amp;utm_term=nl_kdaily_organic_undefined\" target=\"_blank\" rel=\"noopener nofollow\">Threat Intelligence Portal<\/a>. Sommige van de functies zijn gratis, waardoor u ze dus kunt gebruiken zonder u te hoeven registreren.<\/p>\n<p>Om het adres te controleren, kopieert u het, gaat u naar <a href=\"https:\/\/opentip.kaspersky.com\/?icid=nl_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______&amp;utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=nl_wpplaceholder_nv0092&amp;utm_content=link&amp;utm_term=nl_kdaily_organic_undefined\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky's Threat Intelligence Portal<\/a>, plakt u het in het zoekveld in het tabblad <em>Lookup<\/em> en klikt u op<em> Look up<\/em>. Het portaal zal alle beschikbare informatie over het domein, zijn reputatie en WHOIS-gegevens terugsturen. De output zou er ongeveer zo uit moeten zien:<\/p>\n<div id=\"attachment_27773\" style=\"width: 1492px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-27773\" class=\"wp-image-27773 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/99\/2021\/10\/28124319\/analyzing-mail-header-openTIP.png\" alt=\"\" width=\"1482\" height=\"735\"><p id=\"caption-attachment-27773\" class=\"wp-caption-text\">Informatie van Kaspersky\u2019s Threat Intelligence Portal<\/p><\/div>\n<p>Op de allereerste regel staat waarschijnlijk een oordeel \u201c<em>Good<\/em>\u201d of een teken voor \u201cUncategorized\u201d. Dat betekent alleen dat onze systemen nog niet eerder hebben gezien dat dit domein voor criminele doeleinden is gebruikt. Bij het voorbereiden van een gerichte aanval kunnen aanvallers een nieuw domein registreren of een gecompromitteerd domein met een goede reputatie gebruiken. Controleer zorgvuldig de organisatie waarvoor het domein is geregistreerd om te zien of deze overeenkomt met de organisatie die de afzender zogenaamd vertegenwoordigt. Een werknemer van bijvoorbeeld een partnerbedrijf in Zwitserland zal waarschijnlijk geen e-mail versturen via een onbekend domein dat in Maleisi\u00eb is geregistreerd.<\/p>\n<p>Het is overigens een goed idee om ons portaal te gebruiken om ook links in de e-mail te controleren, als die dubieus lijken, en om het tabblad <em>File Analysis<\/em> te gebruiken om eventuele bijlagen bij het bericht te controleren.<\/p>\n<p>Kaspersky\u2019s Threat Intelligence Portal heeft nog veel meer handige functies, maar de meeste zijn alleen beschikbaar voor geregistreerde gebruikers. Voor meer informatie over deze dienst, kunt u terecht op het <a href=\"https:\/\/opentip.kaspersky.com\/?icid=nl_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______&amp;utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=nl_wpplaceholder_nv0092&amp;utm_content=link&amp;utm_term=nl_kdaily_organic_undefined\" target=\"_blank\" rel=\"noopener nofollow\">tabblad About the Portal<\/a>.<\/p>\n<h2>Bescherming tegen phishing en schadelijke e-mails<\/h2>\n<p>Hoewel het controleren van verdachte e-mails een goed idee is, is het beter te voorkomen dat phishing-e-mails de eindgebruikers \u00fcberhaupt bereiken. Daarom raden we altijd aan om anti-phishing-oplossingen te selecteren op de <a href=\"https:\/\/www.kaspersky.nl\/small-to-medium-business-security\/mail-server?icid=nl_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">zakelijke mailserver<\/a> level.<\/p>\n<p>Bovendien zal een <a href=\"https:\/\/www.kaspersky.nl\/small-to-medium-business-security?icid=nl_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">oplossing met anti-phishing-bescherming<\/a> die op werkstations draait doorverwijzingen via phishing-links blokkeren, voor het geval de makers van de e-mail erin slagen de ontvanger voor de gek te houden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Als u een e-mail van twijfelachtige echtheid ontvangt, analyseer die dan zelf. Hier leest u hoe. <\/p>\n","protected":false},"author":2685,"featured_media":27769,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[108,252,253],"tags":[1130,742,297],"class_list":{"0":"post-27768","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-analyse","11":"tag-mail","12":"tag-phishing"},"hreflang":[{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/analyzing-mail-header\/27768\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/analyzing-mail-header\/23519\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/analyzing-mail-header\/19003\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/analyzing-mail-header\/9527\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/analyzing-mail-header\/25608\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/analyzing-mail-header\/23672\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/analyzing-mail-header\/23171\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/analyzing-mail-header\/26307\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/analyzing-mail-header\/25840\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/analyzing-mail-header\/31779\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/analyzing-mail-header\/10196\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/analyzing-mail-header\/42665\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/analyzing-mail-header\/17973\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/analyzing-mail-header\/18341\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/analyzing-mail-header\/15447\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/analyzing-mail-header\/27635\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/analyzing-mail-header\/31892\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/analyzing-mail-header\/24509\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/analyzing-mail-header\/29871\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/analyzing-mail-header\/29673\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.nl\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/27768","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/users\/2685"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/comments?post=27768"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/27768\/revisions"}],"predecessor-version":[{"id":27771,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/27768\/revisions\/27771"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media\/27769"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media?parent=27768"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/categories?post=27768"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/tags?post=27768"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}