Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Spoofing

Aanvallen

Iemand misleiden door te doen alsof je iemand anders bent. Er zijn veel soorten spoofing. Een aanvaller kan zich in een email voordoen als een ander door het afzendadres te vervalsen.

Spoofing is een verzamelnaam voor cyberaanvallen waarbij een aanvaller een valse identiteit aanneemt om zich voor te doen als een betrouwbare bron. Dit kan variëren van het vervalsen van een e-mailadres tot het manipuleren van DNS-records of het nabootsen van een IP-adres. Het doel is altijd hetzelfde: het slachtoffer misleiden om vertrouwelijke informatie prijs te geven, malware te installeren of toegang te verlenen tot beschermde systemen. Spoofing vormt de basis van veel geavanceerde aanvallen en wordt vaak gecombineerd met social engineering om de effectiviteit te vergroten. Volgens onderzoek was spoofing in 2025 betrokken bij een significant deel van alle succesvolle phishing-campagnes, waardoor het een van de meest wijdverspreide aanvalstechnieken blijft.

Hoe werkt spoofing?

Spoofing maakt misbruik van het feit dat veel internetprotocollen oorspronkelijk niet zijn ontworpen met authenticatie in gedachten. Bij e-mail-spoofing vervalst een aanvaller het "From"-veld van een e-mail om het bericht afkomstig te laten lijken van een vertrouwde afzender. Het SMTP-protocol controleert standaard niet of de afzender daadwerkelijk is wie deze claimt te zijn. Een aanvaller kan hierdoor e-mails versturen die lijken te komen van je CEO, je bank of een overheidsinstantie. Volgens Microsoft is het aantal spoofing-aanvallen dat misbruik maakt van misconfiguraties in e-mailauthenticatie sinds 2025 significant toegenomen, met name bij organisaties met complexe e-mailroutering.

Bij DNS-spoofing, ook wel DNS cache poisoning genoemd, injecteert een aanvaller valse informatie in de cache van een DNS-resolver. Wanneer een gebruiker vervolgens een legitieme website probeert te bezoeken, wordt het verzoek omgeleid naar een nagemaakte website die identiek oogt aan het origineel. Daar worden inloggegevens, creditcardnummers of andere gevoelige data onderschept. Dit type aanval is bijzonder gevaarlijk omdat de URL in de adresbalk er correct uitziet voor het slachtoffer en er geen zichtbare indicatie is dat er iets mis is.

IP-spoofing houdt in dat een aanvaller het bron-IP-adres in netwerkpaketten vervalst. Dit wordt veelal gebruikt bij DDoS-aanvallen om de werkelijke herkomst van het verkeer te verhullen en om reflectie-aanvallen mogelijk te maken. Bij een reflectie-aanval stuurt de aanvaller verzoeken met het IP-adres van het slachtoffer als afzender naar legitieme servers, die vervolgens hun antwoorden naar het slachtoffer sturen. In september 2025 blokkeerde Cloudflare een recordbrekende DDoS-aanval van 22,2 Tbps die gebruikmaakte van IP-spoofing en amplificatietechnieken.

Andere vormen van spoofing zijn ARP-spoofing, waarbij de koppeling tussen MAC- en IP-adressen in een lokaal netwerk wordt gemanipuleerd voor man-in-the-middle-aanvallen, caller ID-spoofing bij telefonische fraude, GPS-spoofing voor het manipuleren van locatiegegevens, en website-spoofing waarbij complete websites worden nagebouwd om bezoekers te misleiden. Elke variant exploiteert het gebrek aan authenticatie in het betreffende protocol of systeem en vereist specifieke beschermingsmaatregelen.

Hoe herken je spoofing?

E-mail-spoofing herken je aan subtiele afwijkingen in het afzenderadres, onverwachte verzoeken om gevoelige informatie en druk om snel te handelen. Controleer altijd de volledige e-mailheaders: het "Return-Path" en "Received"-veld onthullen vaak de werkelijke afzender en het pad dat het bericht heeft afgelegd. Moderne e-mailclients markeren berichten die niet slagen voor SPF-, DKIM- of DMARC-verificatie, maar dit vereist wel dat deze protocollen correct zijn geconfigureerd aan zowel de verzendende als ontvangende kant.

DNS-spoofing is moeilijker te detecteren voor eindgebruikers. Tekenen zijn onverwachte omleidingen naar inlogpagina's, SSL-certificaatwaarschuwingen bij bekende websites en vreemd gedrag van applicaties die afhankelijk zijn van DNS-resolutie. Op netwerkniveau detecteer je DNS-spoofing door DNS-verkeer te monitoren op ongebruikelijke patronen, zoals antwoorden van onverwachte servers, antwoorden die sneller binnenkomen dan normaal, of wijzigingen in DNS-records die niet door je team zijn aangebracht.

IP-spoofing is op het niveau van de individuele gebruiker vrijwel onzichtbaar. Het wordt gedetecteerd door netwerkapparatuur die ingress filtering toepast, intrusion detection systems die afwijkende paketten signaleren en door het monitoren van verkeerspatronen op anomalieën die wijzen op reflectie- of amplificatie-aanvallen. Een plotselinge toename van verkeer van ogenschijnlijk diverse bronnen kan duiden op een gespoofde DDoS-aanval.

Hoe bescherm je je tegen spoofing?

Tegen e-mail-spoofing bescherm je je door SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) en DMARC (Domain-based Message Authentication) correct te configureren voor al je domeinen, inclusief subdomeinen en parked domains. SPF specificeert welke mailservers namens je domein mogen versturen. DKIM voegt een cryptografische handtekening toe aan uitgaande e-mails. DMARC combineert beide en bepaalt wat er moet gebeuren met berichten die niet slagen voor de verificatie. Stel DMARC in op "reject" om te voorkomen dat gespoofde e-mails je domein misbruiken richting derden.

Tegen DNS-spoofing implementeer je DNSSEC (DNS Security Extensions), dat cryptografische handtekeningen toevoegt aan DNS-antwoorden zodat hun authenticiteit kan worden geverifieerd. Gebruik betrouwbare DNS-resolvers en overweeg DNS-over-HTTPS (DoH) of DNS-over-TLS (DoT) om DNS-verkeer te versleutelen en te beschermen tegen onderschepping. Voor organisaties is het daarnaast raadzaam om DNS-verkeer actief te monitoren via je SIEM en verdachte query's en antwoorden te detecteren en te onderzoeken.

Tegen IP-spoofing pas je ingress filtering toe op je netwerkrand: blokkeer inkomend verkeer met bron-IP-adressen die niet horen bij de verwachte netwerksegmenten. Implementeer BCP38/BCP84 op je routers om te voorkomen dat je netwerk wordt misbruikt als bron van gespoofde paketten. Combineer dit met rate limiting en firewall-regels die verdacht verkeer blokkeren voordat het je interne systemen bereikt.

Train je medewerkers in het herkennen van spoofing-pogingen via regelmatige awareness training. Zelfs een geschikte technische maatregelen falen als medewerkers niet alert zijn op verdachte berichten, onverwachte verzoeken en druk om snel te handelen. Simuleer realistische spoofing-scenario's om de weerbaarheid te testen en te vergroten. Stel daarnaast een verificatieprotocol in voor gevoelige verzoeken: bel de vermeende afzender terug via een bekend telefoonnummer voordat je geld overmaakt of vertrouwelijke gegevens deelt.

Veelgestelde vragen over spoofing

Wat is het verschil tussen spoofing en phishing?

Spoofing is de techniek van identiteitsvervalsting, phishing is de aanval die deze techniek inzet om slachtoffers te misleiden. Spoofing is het middel, phishing het doel. Niet alle spoofing is phishing: IP-spoofing bij DDoS-aanvallen heeft bijvoorbeeld niets met phishing te maken.

Kan ik zien of mijn domein wordt gespooft?

Ja, door DMARC-rapportages in te schakelen ontvang je periodiek overzichten van alle e-mails die namens je domein worden verstuurd, inclusief pogingen tot spoofing. Analyseer deze rapporten regelmatig om misbruik te detecteren en je beleid aan te scherpen.

Is spoofing illegaal in Nederland?

Spoofing met als doel fraude, identiteitsdiefstal of ongeautoriseerde toegang is strafbaar onder de Nederlandse Wet Computercriminaliteit en het Wetboek van Strafrecht. De maximale straf hangt af van de specifieke overtreding en de veroorzaakte schade aan slachtoffers.

Beschermt HTTPS tegen DNS-spoofing?

Gedeeltelijk. Als een aanvaller je naar een valse website leidt via DNS-spoofing, toont de browser een certificaatwaarschuwing als de aanvaller geen geldig SSL-certificaat heeft voor dat domein. Veel gebruikers negeren echter dergelijke waarschuwingen, waardoor de bescherming in de praktijk niet waterdicht is.

Hoe snel kan ik SPF, DKIM en DMARC implementeren?

Basis SPF en DKIM configureer je binnen een dag voor een enkel domein. DMARC begin je met monitoring-modus (p=none) en verscherp je geleidelijk naar quarantine en reject over enkele weken, nadat je hebt gecontroleerd dat alle legitieme e-mailstromen correct zijn geconfigureerd en geen deliverability-problemen ondervinden.

Bescherm je organisatie tegen spoofing. Vind de juiste aanbieder via E-mailbeveiliging op IBgidsNL.