Al die instanties hebben geen maatregelen genomen tegen e-mailspoofing. "Dat kun je het beste omschrijven als laks", zegt beveiligingsonderzoeker Rickey Gevers. "Ik kan geen reden bedenken waarom je die maatregelen niet zou nemen."

Met spoofing kunnen e-mails worden verzonden die afkomstig lijken van een bepaalde domeinnaam, zoals AIVD.nl, maar die in feite door iemand anders worden verstuurd. Eigenaren van domeinnamen kunnen maatregelen nemen om te voorkomen dat die vervalste e-mails ongehinderd bij ontvangers worden afgeleverd.

Het Cyber Security Centrum van de overheid adviseert alle overheidsinstellingen om dit soort maatregelen te nemen, laat de organisatie weten in een schriftelijke reactie. "Het is van groot belang dat ook overheidsinstellingen hun digitale veiligheid op orde hebben."

Nauwelijks te herkennen

Als die maatregelen niet worden genomen, is voor internetters nauwelijks te zien dat een mail vervalst is. In hun webmail wordt een geldig e-mailadres getoond, bijvoorbeeld 'rob.bertholee@aivd.nl' (Bertholee is de baas van de AIVD). Overigens betekent dat niet dat een aanvaller ook bij de e-mails kan die naar het vervalste adres worden gestuurd.

Een aanvaller zou een legitiem ogend e-mailadres kunnen misbruiken om mensen ertoe te verleiden op een linkje te klikken, met daarachter een virus of een formulier waarop persoonlijke gegevens moeten worden ingevuld. Doordat het om een geldig e-mailadres lijkt te gaan, is de kans groter dat mensen daarin trappen.

Ook zouden vervalste e-mails kunnen worden gebruikt om nepnieuws te verspreiden, bijvoorbeeld vanaf het domein van de Rijksvoorlichtingsdienst.

Antiek

Dat het misbruiken van e-mailadressen mogelijk is, komt doordat e-mail een antieke technologie is. "Het is nooit ontworpen voor de schaal waarop we het nu gebruiken", zegt beveiligingsonderzoeker 'Bastiaan' van het beveiligingsbedrijf Sincerus, die niet met zijn echte naam in de media wil.