Niet de social media redacteur zoals eerst werd gezegd maar een slaperige leidinggevende zorgde ervoor dat aanvallers de website van het zakenblad Forbes konden kapen en daar de gegevens van meer dan 1 miljoen lezers buitmaakten. De aanval begon met een e-mail naar een leidinggevende van het blad.

Ze was daarvoor net wakker gebeld door een assistente en ontving op haar BlackBerry een e-mail die van een verslaggever van Vice Media afkomstig leek. Volgens Forbes ging het om een gehackt e-mailaccount van een Vide Media-redacteur. In de e-mail werd haar gevraagd om op een artikel van Reuters commentaar te geven. De vrouw stelt dat ze in alle gevallen het gelinkte verhaal later op kantoor zou hebben gelezen, maar gezien een mogelijke overname van Forbes pakte ze haar iPad, opende de e-mail in haar Forbes-webmail en klikte op de link.

De vrouw, die nog halfslaperig zou zijn, werd opeens om haar inloggegevens gevraagd. Ze dacht dat er mogelijk een time-out had plaatsgevonden en ze niet meer was ingelogd. In plaats van het adres in de adresbalk eerst te controleren vulde de vrouw haar wachtwoord op de phishingsite in, die de inloggegevens naar de aanvallers doorstuurde.

De website stuurde de vrouw vervolgens door naar een niet werkende pagina van Reuters. Zonder er verder bij stil te staan vertrok ze naar het kantoor van Forbes, zo laat het zakenblad in een terugblik op het incident weten.

Tweede ronde

Het gehackte account van de leidinggevende werd vervolgens gebruikt voor een tweede ronde van phishingmails, waarbij er weer werd gevraagd om een zogenaamd nieuwsartikel te bekijken. Een medewerker die de eerste phishingmail ook had ontvangen en genegeerd, trapte nu wel in de mail en vulde wederom zonder eerst even naar de adresbalk in de browser te kijken zijn inloggegevens op een phishingsite in.

Deze werknemer had 'super-administrator' rechten op het WordPress publicatieplatform van Forbes. Toen de phishingsite hem doorstuurde naar een pagina van NBC wist hij dat hij was gephisht en waarschuwde de IT-afdeling. Vervolgens besloot de IT-afdeling WordPress af te sluiten en van alle gebruikers met super-administratorrechten en gebruikers die in de phishingmail waren getrapt het wachtwoord te wijzigen.

Vervolgens werd het platform weer voor gebruikers geopend, maar een paar uur later werd WordPress weer afgesloten. De aanvallers hadden hun toegang gebruikt om de accountinstellingen te wijzigen en andere e-mailadressen op te geven. Daardoor konden ze via een wachtwoordreset opnieuw een wachtwoord aanvragen en weer inloggen. De IT-afdeling wijzigde de instellingen en wederom werd het publicatieplatform een paar uur later geopend, maar weer wisten de aanvallers in te loggen.

De aanvallers hadden mogelijk ook de social media-accounts van de Forbes-medewerkers die aan de WordPress-accounts waren gekoppeld overgenomen, en konden zo weer inloggen en allerlei berichten plaatsen. De afgelopen vijf dagen zou Forbes bezig zijn geweest om de schade te herstellen en het incident verder te onderzoeken. Ook werd de FBI ingelicht en een beveiligingsbedrijf ingeschakeld.