Het wetenschapsmuseum Exploratorium in San Francisco is vorige maand het slachtoffer van een phishingaanval geworden, waarbij de aanvallers effectief te werk gingen, zo laat het museum in een analyse van de aanval weten. Een werknemer van het museum ontving een e-mail van een bekende mailinglist met een link naar een gedeeld document.
De link wees echter naar een phishingpagina waar ze om haar Google-accountgegevens werd gevraagd. De werknemer logde in, maar kon het document niet vinden en ging verder met haar werkzaamheden. De aanvallers hadden zo toegang tot haar account gekregen. Als eerste werd haar adresboek verwijderd. Vervolgens werd er een filter ingesteld dat alle inkomende e-mails verwijderde. Hierna stuurden de aanvallers naar alle contacten van de werknemer, waaronder haar collega's, e-mails met links naar de phishingpagina. Daarbij hadden de aanvallers het onderwerp van de e-mails speciaal voor de museumwerknemers aangepast.
De medewerkers hadden echter door dat het om een phishingmail ging en stuurden berichten naar de gehackte collega terug. Die kreeg deze e-mails niet te zien omdat alle inkomende mail door het filter werd verwijderd. Toen ze door haar collega's direct werd benaderd had de vrouw geen mogelijkheden om haar contacten te waarschuwen, aangezien het adresboek was verwijderd. Nadat de aanvallers via het account 200 e-mails hadden verstuurd vond Google het gedrag verdacht en zorgde ervoor dat er geen e-mails meer konden worden verstuurd.
De it-afdeling van het museum verstuurde een waarschuwing naar alle werknemers en iedereen die de phishingpagina had bezocht moest zijn of haar wachtwoord wijzigen. Wat de aanvallers precies met de inloggegevens wilden doen is onbekend. Ze hadden de gestolen accountgegevens kunnen verkopen, maar ook het online betaalsysteem van het museum zou mogelijk een doelwit geweest kunnen zijn, aldus de analyse. Daarin wordt verder het advies gegeven om tweefactorauthenticatie in te stellen. De aanvallers hadden in dit geval niet met de gestolen inloggegevens kunnen inloggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.