image

Valse Ziggo-mail besmet uitkeringsorganisatie met ransomware

maandag 31 oktober 2016, 10:04 door Redactie, 17 reacties

De regionale uitkeringsorganisatie Werk en Inkomen Lekstroom (WIL) is onlangs getroffen door ransomware die via een valse Ziggo-mail werd verspreid, zo heeft de organisatie laten weten. Op 20 oktober ontving een medewerker de valse Ziggo-mail.

"De e-mail leek afkomstig van Ziggo. Het bericht was voorzien van de huisstijl van Ziggo. Dit maakte de e-mail moeilijk van echt te onderscheiden. In de e-mail stond dat er een factuur klaarstaat in 'Mijn Ziggo'. Door te klikken op een willekeurige link, konden criminelen schadelijke software (malware) op ons computersysteem installeren", aldus de uitkeringsorganisatie in een verklaring.

De schadelijke software bleek ransomware te zijn. "Om weer toegang te krijgen, zouden we losgeld moeten betalen. Dat hebben we, mede op advies van de autoriteiten, niet gedaan", zo laat Werk en Inkomen Lekstroom verder weten. In eerste instantie dacht de organisatie dat de persoonsgegevens waren gelekt. Hierbij kon het gaan om Burgerservicenummers (BSN) in combinatie met namen, adressen, geboortedata, telefoonnummers en rekeningnummers van 18.000 personen.

Daarom besloot WIL naar eigen zeggen uit voorzorg en op basis van de Wet meldplicht datalekken alle betrokkenen op 27 oktober per brief te informeren. Uit nader onderzoek blijkt dat de situatie minder ernstig is dan gedacht. Onderzoek wijst inmiddels uit dat het uitsluitend gaat om het lekken van zo'n. 800 e-mailadressen. In de loop van deze week zullen al deze personen hierover worden ingelicht. WIL is de regionale uitvoeringsorganisatie voor werk, inkomensondersteuning en schuldhulpverlening voor de gemeenten Houten, Lopik, IJsselstein, Nieuwegein en Vianen.

Reacties (17)
31-10-2016, 10:15 door Anoniem
Ziggo heeft deze zomer hun huisstijl (voor facturen) aangepast. De ransomware gebruikt de oude huisstijl.

De vraag die bij me opkomt is, als ze niet hebben betaald, of de gegevens door een restore zijn hersteld. Dat is altijd de beste oplossing. Dat betekent meestal nog wel een melding bij de AP, omdat men vaak niet binnen 72 uur zeker weet of alle gegevens weer goed terug zijn gezet. En wat tussen de laatste back-up en de besmetting is gewijzigd, is in ieder geval (voorlopig?) weg.

De lek van de e-mail adressen is, in mijn ogen, ook een meldingsplichting lek.

Peter
31-10-2016, 10:33 door Anoniem
Ok, Locky werd via de valse Ziggo e-mails gedistribueerd.

Locky kan alleen worden geactiveerd indien men gebruik maakt van Admin rechten.

D.w.z. de gebruikers bij WIL hebben Admin rechten..... En dat voor een organisatie waarbij er voornamelijk persoons- en financiële gegevens worden verwerkt.

Hoe nalatig kun je zijn, als eindgebruikers nu nog steeds beschikken over Admin rechten dan ben je echt niet serieus met beveiliging bezig.

Los van awareness om je gebruikers te trainen is er hier ook geen awareness bij de afdeling die verantwoordelijk is voor ICT/Informatiebeveiliging.
31-10-2016, 10:49 door Anoniem
Door Anoniem:
Locky kan alleen worden geactiveerd indien men gebruik maakt van Admin rechten.
Onzin, Locky gaat gewoon alle bestanden waartoe jouw account rechten heeft versleutelen.
31-10-2016, 11:44 door Anoniem
In de e-mail stond dat er een factuur klaarstaat in 'Mijn Ziggo'. Door te klikken op een willekeurige link, konden criminelen schadelijke software (malware) op ons computersysteem installeren.
Ja, precies.

Je moet NOOIT en te nimmer via een e-mail een link aanklikken! Zeker niet om ergens in te loggen!
Je moet inloggen op de WEBSITE van Ziggo en kijken of er inderdaad zo'n factuur klaarstaat!

Hoeveel water moet er nog door de Rijn en de Maas stromen voordat jan-achter-de-computer dit eens doorheeft?
31-10-2016, 12:32 door Briolet
Door Anoniem: Ziggo heeft deze zomer hun huisstijl (voor facturen) aangepast. De ransomware gebruikt de oude huisstijl.

Als ik mijn laatste factuur mailtje met die van een uit 2014 vergelijk, hebben ze nog dezelfde huisstijl. Er zijn hooguit kleine wijzigingen in de inhoud.

Wat veel opvallender was is dat de afzender van deze mails niet klopte. In het "from" veld stond een heel vreemde afzender. Ook de persoonlijke aanhef ontbrak. Dat zijn twee zaken die zelfs bij een leek direct hadden moeten opvallen.

Wij hebben op de zaak een eigen mailserver waarin ik kan instellen dat alle links in mail onwerkzaam gemaakt worden. Ik snap niet dat zo'n organisatie niet ook iets dergelijks doet. Dat is veel simpeler dan mensen te instrueren om nooit op links te klikken, want dat gaat toch altijd wel een keer mis.
31-10-2016, 13:45 door Anoniem
Door Anoniem:
In de e-mail stond dat er een factuur klaarstaat in 'Mijn Ziggo'. Door te klikken op een willekeurige link, konden criminelen schadelijke software (malware) op ons computersysteem installeren.
Ja, precies.

Je moet NOOIT en te nimmer via een e-mail een link aanklikken! Zeker niet om ergens in te loggen!
Je moet inloggen op de WEBSITE van Ziggo en kijken of er inderdaad zo'n factuur klaarstaat!

Hoeveel water moet er nog door de Rijn en de Maas stromen voordat jan-achter-de-computer dit eens doorheeft?
Helaas moet er nog heel véél water door de Rijn en de Maas stromen is mijn ervaring.
Ik heb hele discussies gehad met diverse medewerkers van diverse bedrijven over dit onderwerp en het heeft niet mogen baten want ze blijven gewoon op alle linkjes klikken zonder zich te vergewissen of de mail wel plausibel is. Gelukkig zijn er uitzonderingen maar het is en blijft een moeilijk onderwerp voor sommige personen.
31-10-2016, 14:14 door Anoniem
Ik begrijp niet waarom een bedrijf of instantie een link binnen een mail opent van Ziggo !!!
Alles wat ik niet ken, of geen zaken mee doe gaat meteen in de vuilnisbak.
De rest wordt aandachtig bekeken of het wel correct is.
Ik heb een account bij een tolweg maatschappij, die stuurt een berichtje dat er een factuur klaar staat onder mijn account.
Ik klik nergens op, log gewoon zelf in via mijn browser en open dan de factuur.
31-10-2016, 14:47 door Anoniem
Door Anoniem:
In de e-mail stond dat er een factuur klaarstaat in 'Mijn Ziggo'. Door te klikken op een willekeurige link, konden criminelen schadelijke software (malware) op ons computersysteem installeren.
Ja, precies.

Je moet NOOIT en te nimmer via een e-mail een link aanklikken! Zeker niet om ergens in te loggen!
Je moet inloggen op de WEBSITE van Ziggo en kijken of er inderdaad zo'n factuur klaarstaat!

Hoeveel water moet er nog door de Rijn en de Maas stromen voordat jan-achter-de-computer dit eens doorheeft?

Tot de oceanen overstromen. Zolang er nog organisaties zijn die mail met links rondsturen, houd je dit.

Daarnaast gaan ze straks gewoon bijlagen meesturen. Dat deden ze in juni ook al. Je kunt niet verwachten dat iedereen nu plotseling geen bijlagen meer gaat openen.

Het gaat er om om het risico te verkleinen. Dat is dus de kans verkleinen en/of de impact. Aan die twee zaken moet gewerkt worden. Ook brand kunnen we niet uitbannen. Dus besmettingen ook niet.

Peter
31-10-2016, 14:59 door Anoniem
Door Anoniem:
In de e-mail stond dat er een factuur klaarstaat in 'Mijn Ziggo'. Door te klikken op een willekeurige link, konden criminelen schadelijke software (malware) op ons computersysteem installeren.
Ja, precies.

Je moet NOOIT en te nimmer via een e-mail een link aanklikken! Zeker niet om ergens in te loggen!
Je moet inloggen op de WEBSITE van Ziggo en kijken of er inderdaad zo'n factuur klaarstaat!

Hoeveel water moet er nog door de Rijn en de Maas stromen voordat jan-achter-de-computer dit eens doorheeft?
Loopt tegenwoordig via de MAAS, wat het kan tegenwoordig ook een lnk file zijn in een zip file/
31-10-2016, 18:25 door Anoniem
Maas, Rijn, dit ging over LEKstroom.

Nog even en de waal wordt er nog bijgehaald.
31-10-2016, 19:43 door Anoniem
Door Anoniem:Locky kan alleen worden geactiveerd indien men gebruik maakt van Admin rechten.
Gebruikersrechten zijn al voldoende. Dus hou op met dat gemekker als je niet eens weet waar je het over hebt.
31-10-2016, 21:12 door Patje-RedFan
Of men kan ook het gratis tooltje van Bitdefender antiransomware installeren om beschermd te zijn tegen deze.
01-11-2016, 07:26 door karma4 - Bijgewerkt: 01-11-2016, 07:32
Door Anoniem:
Door Anoniem:Locky kan alleen worden geactiveerd indien men gebruik maakt van Admin rechten.
Gebruikersrechten zijn al voldoende. Dus hou op met dat gemekker als je niet eens weet waar je het over hebt.
Het zou al helpen als enkel niet kritische data direct vanuit een desktop benaderbaar is. Alles wat kritisch is, via een server based systeem met backup die een aantal oude versies goed aan kan. Webdav is een standaard protocol.
Het is een voordeel van VDI en cloud processing als je zelf te klein bent.

spijker op zijn kop. Met een hamer als enige gereedschap wordt alles een spijker. Spijk dat is waar het nog rijn heet lek Waal nederrijn Ijssel komen wat later. Het kost wat moeite om de Waal er bij te krijgen.
Maar is lekstroom niet dat ongewenste effect bij energietransport?
01-11-2016, 07:33 door [Account Verwijderd] - Bijgewerkt: 01-11-2016, 07:34
[Verwijderd]
01-11-2016, 12:36 door Briolet
Door Rinjani: Maar je kan ook gewoon (met alleen standaard Windows) application whitelisting instellen (zie link hieronder). Onder Windows Home werkt het niet maar voor zakelijke toepassingen gebruiken bedrijven en instanties natuurlijk geen.

Op de mac kun je ouderlijk toezicht instellen op een gebruikers account, wat iets soortgelijks doet. Nu zijn medewerkers natuurlijk geen kinderen, maar je bereikt er hetzelfde mee. Je kunt bij ouderlijk toezicht alleen een rits vooringestelde applicaties runnen.
Wil je toch even een ander programma runnen, dan moet je eerst een beheerders-wachtwoord intikken.
01-11-2016, 13:33 door [Account Verwijderd]
[Verwijderd]
07-11-2016, 11:08 door Anoniem
Op 20 oktober ontving een medewerker de valse Ziggo-mail.
Wat doet een medewerker met een mailaccount van Ziggo op de PC van zijn werk?
Dat is vragen om problemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.