image

Nederlanders doelwit van phishingmails met LinkedIn-data

dinsdag 7 juni 2016, 14:46 door Redactie, 21 reacties

Op dit moment worden erin Nederland grote hoeveelheden Nederlandstalige phishingmails verstuurd met gegevens die van LinkedIn afkomstig zijn. De e-mails hebben onder andere als onderwerp "Uw factuur wacht op betaling" en stellen dat er nog een openstaand bedrag is dat moet worden betaald.

"Dit is een vriendelijke herinnering wat betreft uw resterende bedrag , wat op korte termijnopeisbaar is. Kijk op de bijgevoegde nota voor meer een nadere toelichting", aldus de tekst in de e-mail. De aanhef van de e-mail, genoemde rol en bedrijfsnaam zijn allemaal gegevens die van LinkedIn afkomstig zijn en de e-mail er gepersonaliseerd laten uitzien. Het bericht bevat verder een Word-document met een kwaadaardige macro, zo meldt beveiligingsbedrijf Fox-IT. De aanvallers hebben een Nederlandse tekst aan het Word-document toegevoegd waarin staat dat macro's moeten worden ingeschakeld om de inhoud weer te geven.

In werkelijkheid zorgt het inschakelen van de macro's ervoor dat malware op de computer wordt geïnstalleerd waarmee criminelen geld van online bankrekeningen kunnen stelen. De malware in kwestie wordt Zeus Panda genoemd en is een zogeheten banking Trojan. Zeus Panda kan gegevens voor internetbankieren stelen en extra velden op de bankpagina injecteren. Zodra een besmette gebruiker wil internetbankieren moet hij bijvoorbeeld extra gegevens op de banksite invoeren, zoals transactiecodes. Deze informatie kunnen de aanvallers vervolgens gebruiken om geld naar andere rekeningen over te maken.

Ook op het forum van Security.NL is er een topic over de phishingmails geopend waarin verschillende lezers laten weten dat ze de e-mails hebben ontvangen. Volgens Fox-IT kan de phishingaanval vooralsnog niet aan het LinkedIn-lek worden gekoppeld dat recentelijk openbaar werd. Halverwege mei werd bekend dat aanvallers in 2012 de gegevens van 117 miljoen LinkedIn-gebruikers hebben gestolen.

Image

Reacties (21)
07-06-2016, 15:16 door Anoniem
De titel is een beetje afwijkend van het wat er in het artikel staat:

"Nederlanders doelwit van phishingmails met LinkedIn-data"
Dit klinkt bij mij alsof het een feit is.

Maar dan lees ik toch dit:
"Volgens Fox-IT kan de phishingaanval vooralsnog niet aan het LinkedIn-lek worden gekoppeld dat recentelijk openbaar werd"

Dus zover we nu weten zou dit een betere titel zijn: "Nederlanders doelwit van phishingmails met mogelijke LinkedIn-data"
07-06-2016, 16:10 door Anoniem
Door Anoniem: De titel is een beetje afwijkend van het wat er in het artikel staat:

"Nederlanders doelwit van phishingmails met LinkedIn-data"
Dit klinkt bij mij alsof het een feit is.

Maar dan lees ik toch dit:
"Volgens Fox-IT kan de phishingaanval vooralsnog niet aan het LinkedIn-lek worden gekoppeld dat recentelijk openbaar werd"

Dus zover we nu weten zou dit een betere titel zijn: "Nederlanders doelwit van phishingmails met mogelijke LinkedIn-data"

Wat is het toch met mensen die artikelen op deze site niet goed lezen. Er staat "De aanhef van de e-mail, genoemde rol en bedrijfsnaam zijn allemaal gegevens die van LinkedIn afkomstig zijn en de e-mail er gepersonaliseerd laten uitzien.
07-06-2016, 16:18 door Anoniem
Een recent LinkedIn-lek gevolgd door een stroom phishing mails met LinkedIn-gegevens (zie eerste zin).

Dan lijkt me - ongeacht wat Fox-IT beweert - de conclusie dat één plus één twee is niet eens zo gek...
07-06-2016, 16:36 door Anoniem
Door Anoniem: De titel is een beetje afwijkend van het wat er in het artikel staat:

"Nederlanders doelwit van phishingmails met LinkedIn-data"
Dit klinkt bij mij alsof het een feit is.

Maar dan lees ik toch dit:
"Volgens Fox-IT kan de phishingaanval vooralsnog niet aan het LinkedIn-lek worden gekoppeld dat recentelijk openbaar werd"

Dus zover we nu weten zou dit een betere titel zijn: "Nederlanders doelwit van phishingmails met mogelijke LinkedIn-data"

De gegevens van de personen lijken wel van Linkdin te komen, de enige relatie die niet zeker is, is die met de Linkdin hack.
De kop is dus nog steeds geheel correct.
07-06-2016, 16:44 door Anoniem
Ik heb ook zo'n email ontvangen met mijn volledige naam en functie titel erin.
De enige plek waar dit staat, voor mij persoonlijk, is LinkedIn. Ik moest daar dan ook meteen aan denken vanochtend.
07-06-2016, 17:05 door Anoniem
Fox-IT schrijft in haar blog dat LinkedIn gegevens gebruikt zijn. Maar dat is niet hetzelfde als dat die gegevens afkomstig zijn van een inbraak bij LinkedIn. Er zijn ook mogelijkheden dat de malwareverspreiders 'publieke' LinkedIn data van de site gescraped hebben of via een affiliate van LinkedIn aan de gegevens zijn gekomen.
07-06-2016, 17:55 door Placebo
https://isc.sans.edu/forums/diary/LinkedIn+Breach+Data+Used+For+Malicious+EMails/21139/
07-06-2016, 18:54 door Anoniem
Door Anoniem:
Door Anoniem: Wat is het toch met mensen die artikelen op deze site niet goed lezen.
Wat is het toch met mensen die de reacties niet goed lezen?

Het zijn opmerkingen over de titel van het artikel. Er is nergens bewijs dat het om LinkedIn data gaat. Er is slechts een vermoeden. De titel klopt daarmee niet met het artikel. Een artikel is de titel en de inhoud samen. Als de titel niet strookt met de inhoud van het artikel of andersom dan is het terecht dat daar opmerkingen over gemaakt worden. Argumenten als 'lees het artikel dan goed' gaan dan net zo min op als 'aar ik had maar x karakters om een titel te maken' of 'sensatiekoppen die bijna kloppen trekken aandacht'.
07-06-2016, 19:15 door Anoniem
Linkedin data... pffff. complot theorieen,....

Mensen, dit is gewoon de database die een ieder bij de kamer van koophandel maffia kan kopen.
Alle exacte gegevens zoals in de mails staan , met naam en toenaam.
Heb er vandaag vele voorbij zien komen en schat zon 20% staat niet zoals vernoemt in de mail op linkedin maar wel in de kvk gegevens.

Het positieve hiervan is misschien dat er mensen wakker worden en de verplichte registratie waarvoor he nog moet betalen jaarlijks ook en openheid van deze registraties eens aanpakt. Iedereen kan alles op vragen voor een paar euro.
Zie hier het resultaat.
07-06-2016, 21:10 door Anoniem
Heel dom, maar ik heb vandaag het betreffende bestand geopend (op mijn smartphone en laptop). Iemand tips / suggesties wat nu te doen?
07-06-2016, 22:31 door Anoniem
Niet internet bankieren op desbetreffende devices, devices cleanen met bijvoorbeeld Malwarebytes of opnieuw (laten) inspoelen en als dat niet lukt Fox-IT bellen....
07-06-2016, 22:33 door Anoniem
Linkedin data... pffff. complot theorieen,.... Mensen, dit is gewoon de database die een ieder bij de kamer van koophandel maffia kan kopen.

Het is letterlijk een copy/paste van hoe het staat op LinkedIn. Scrapertje bouwen in python ofzo kost niet veel moeite hoor, heb je geen ''complot theorie'' voor nodig.
07-06-2016, 22:37 door Anoniem
Ik heb ook zo'n email ontvangen met mijn volledige naam en functie titel erin.
De enige plek waar dit staat, voor mij persoonlijk, is LinkedIn. Ik moest daar dan ook meteen aan denken vanochtend.

Same here, KvK data, wat een ander hier suggereert, daar kom ik niet in voor. Al is het niet uitgesloten dat de data van meerdere bronnen afkomstig is.
07-06-2016, 22:55 door ph-cofi
Door Anoniem: Heel dom, maar ik heb vandaag het betreffende bestand geopend (op mijn smartphone en laptop). Iemand tips / suggesties wat nu te doen?
Als ik de beschrijvingen van Panda Banker lees, dan zie ik dat je op een Windows PC moet werken, het in de mail ingesloten Word-document moet openen en de Office macro moet inschakelen. Als je dat allemaal gedaan hebt: niet meer bankieren op die PC. Handige opslag van accounts en wachtwoorden uit browser weggooien. Tijd voor herinstallatie van PC?
07-06-2016, 23:37 door [Account Verwijderd]
[Verwijderd]
08-06-2016, 10:29 door Anoniem
Door Muria:
Door Anoniem: Heel dom, maar ik heb vandaag het betreffende bestand geopend (op mijn smartphone en laptop). Iemand tips / suggesties wat nu te doen?

N.B.: geen garanties want het is afhankelijk van de malware die al dan niet op je PC staat.

PC afsluiten en booten vanaf een USB stick waarop een bootable offline virusscanner staat (N.B.: maak een dergelijke USB stick aan op een andere, gegarandeerd schone computer).

Zie bv.: http://windows.microsoft.com/nl-nl/windows/what-is-windows-defender-offline.

Voor de zekerheid herhalen met een andere offline virusscanner, bv:

http://www.avg.com/nl-nl/avg-rescue-cd;
https://www.avira.com/nl/download/product/avira-rescue-system;
etc.

(http://pcsupport.about.com/od/system-security/tp/free-bootable-antivirus-software.htm)

Mooie oplossing, boot je GSM met usb stick om offline te scannen?!
08-06-2016, 13:40 door Anoniem
En wat als je een Google account gebruikt waarbij je wachtwoorden op je Google account worden opgeslagen.
Zijn deze gegevens dan ook niet meer veilig?
Want volgens mij worden dan je gegevens niet in je browser opgeslagen.
Wie weet hier meer van?
08-06-2016, 14:40 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Wat is het toch met mensen die artikelen op deze site niet goed lezen.
Wat is het toch met mensen die de reacties niet goed lezen?

Het zijn opmerkingen over de titel van het artikel. Er is nergens bewijs dat het om LinkedIn data gaat. Er is slechts een vermoeden. De titel klopt daarmee niet met het artikel. Een artikel is de titel en de inhoud samen. Als de titel niet strookt met de inhoud van het artikel of andersom dan is het terecht dat daar opmerkingen over gemaakt worden. Argumenten als 'lees het artikel dan goed' gaan dan net zo min op als 'aar ik had maar x karakters om een titel te maken' of 'sensatiekoppen die bijna kloppen trekken aandacht'.

Wat is het toch fijn om te zien dat er ook mensen zijn die niet meteen in de flame modus gaan.

Via andere bronnen heb ik vernomen dat ook mensen zonder linkedin account getroffen worden door deze spam ronde. Waardoor de aanname in de titel mogelijk waar is, maar zonder bevestiging is het onwaar. (schrodinger's cat)

Ja het kan zijn dat het ook linkedin data is, maar dat betekend nog niet dat het ALLEEN linkedin data is.

* Assumption is the mother of all f*ckups
09-06-2016, 10:07 door [Account Verwijderd] - Bijgewerkt: 09-06-2016, 10:09
[Verwijderd]
09-06-2016, 10:08 door [Account Verwijderd] - Bijgewerkt: 09-06-2016, 10:09
[Verwijderd]
06-07-2016, 15:32 door Anoniem
Voor geïnteresseerden, op de onderstaande link vind je uitleg over de malware. Blijkt eigenlijk zelf niet zo spannend te zijn. Vooral listig om gebruiker over te halen om macro's toe te staan en feit dat het nog niet herkend werd door anti-virus software. Tip blijft: blijf alert op onverwachte mail en vraag bij twijfel een (beveiligings)specialist om te beoordelen of de mail/attachment veilig is. Bij twijfel, niet inhalen!

http://mxi.nl/nieuws/1670/u-heeft-nog-een-openstaande-factuur.htm
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.