Valse Ziggo-mail besmet uitkeringsorganisatie met ransomware
De regionale uitkeringsorganisatie Werk en Inkomen Lekstroom (WIL) is onlangs getroffen door ransomware die via een valse Ziggo-mail werd verspreid, zo heeft de organisatie laten weten. Op 20 oktober ontving een medewerker de valse Ziggo-mail.
"De e-mail leek afkomstig van Ziggo. Het bericht was voorzien van de huisstijl van Ziggo. Dit maakte de e-mail moeilijk van echt te onderscheiden. In de e-mail stond dat er een factuur klaarstaat in 'Mijn Ziggo'. Door te klikken op een willekeurige link, konden criminelen schadelijke software (malware) op ons computersysteem installeren", aldus de uitkeringsorganisatie in een verklaring.
De schadelijke software bleek ransomware te zijn. "Om weer toegang te krijgen, zouden we losgeld moeten betalen. Dat hebben we, mede op advies van de autoriteiten, niet gedaan", zo laat Werk en Inkomen Lekstroom verder weten. In eerste instantie dacht de organisatie dat de persoonsgegevens waren gelekt. Hierbij kon het gaan om Burgerservicenummers (BSN) in combinatie met namen, adressen, geboortedata, telefoonnummers en rekeningnummers van 18.000 personen.
Daarom besloot WIL naar eigen zeggen uit voorzorg en op basis van de Wet meldplicht datalekken alle betrokkenen op 27 oktober per brief te informeren. Uit nader onderzoek blijkt dat de situatie minder ernstig is dan gedacht. Onderzoek wijst inmiddels uit dat het uitsluitend gaat om het lekken van zo'n. 800 e-mailadressen. In de loop van deze week zullen al deze personen hierover worden ingelicht. WIL is de regionale uitvoeringsorganisatie voor werk, inkomensondersteuning en schuldhulpverlening voor de gemeenten Houten, Lopik, IJsselstein, Nieuwegein en Vianen.
De vraag die bij me opkomt is, als ze niet hebben betaald, of de gegevens door een restore zijn hersteld. Dat is altijd de beste oplossing. Dat betekent meestal nog wel een melding bij de AP, omdat men vaak niet binnen 72 uur zeker weet of alle gegevens weer goed terug zijn gezet. En wat tussen de laatste back-up en de besmetting is gewijzigd, is in ieder geval (voorlopig?) weg.
De lek van de e-mail adressen is, in mijn ogen, ook een meldingsplichting lek.
Peter
Locky kan alleen worden geactiveerd indien men gebruik maakt van Admin rechten.
D.w.z. de gebruikers bij WIL hebben Admin rechten..... En dat voor een organisatie waarbij er voornamelijk persoons- en financiële gegevens worden verwerkt.
Hoe nalatig kun je zijn, als eindgebruikers nu nog steeds beschikken over Admin rechten dan ben je echt niet serieus met beveiliging bezig.
Los van awareness om je gebruikers te trainen is er hier ook geen awareness bij de afdeling die verantwoordelijk is voor ICT/Informatiebeveiliging.
Locky kan alleen worden geactiveerd indien men gebruik maakt van Admin rechten.
Je moet NOOIT en te nimmer via een e-mail een link aanklikken! Zeker niet om ergens in te loggen!
Je moet inloggen op de WEBSITE van Ziggo en kijken of er inderdaad zo'n factuur klaarstaat!
Hoeveel water moet er nog door de Rijn en de Maas stromen voordat jan-achter-de-computer dit eens doorheeft?
Als ik mijn laatste factuur mailtje met die van een uit 2014 vergelijk, hebben ze nog dezelfde huisstijl. Er zijn hooguit kleine wijzigingen in de inhoud.
Wat veel opvallender was is dat de afzender van deze mails niet klopte. In het "from" veld stond een heel vreemde afzender. Ook de persoonlijke aanhef ontbrak. Dat zijn twee zaken die zelfs bij een leek direct hadden moeten opvallen.
Wij hebben op de zaak een eigen mailserver waarin ik kan instellen dat alle links in mail onwerkzaam gemaakt worden. Ik snap niet dat zo'n organisatie niet ook iets dergelijks doet. Dat is veel simpeler dan mensen te instrueren om nooit op links te klikken, want dat gaat toch altijd wel een keer mis.
Je moet NOOIT en te nimmer via een e-mail een link aanklikken! Zeker niet om ergens in te loggen!
Je moet inloggen op de WEBSITE van Ziggo en kijken of er inderdaad zo'n factuur klaarstaat!
Hoeveel water moet er nog door de Rijn en de Maas stromen voordat jan-achter-de-computer dit eens doorheeft?
Ik heb hele discussies gehad met diverse medewerkers van diverse bedrijven over dit onderwerp en het heeft niet mogen baten want ze blijven gewoon op alle linkjes klikken zonder zich te vergewissen of de mail wel plausibel is. Gelukkig zijn er uitzonderingen maar het is en blijft een moeilijk onderwerp voor sommige personen.
Alles wat ik niet ken, of geen zaken mee doe gaat meteen in de vuilnisbak.
De rest wordt aandachtig bekeken of het wel correct is.
Ik heb een account bij een tolweg maatschappij, die stuurt een berichtje dat er een factuur klaar staat onder mijn account.
Ik klik nergens op, log gewoon zelf in via mijn browser en open dan de factuur.
Je moet NOOIT en te nimmer via een e-mail een link aanklikken! Zeker niet om ergens in te loggen!
Je moet inloggen op de WEBSITE van Ziggo en kijken of er inderdaad zo'n factuur klaarstaat!
Hoeveel water moet er nog door de Rijn en de Maas stromen voordat jan-achter-de-computer dit eens doorheeft?
Tot de oceanen overstromen. Zolang er nog organisaties zijn die mail met links rondsturen, houd je dit.
Daarnaast gaan ze straks gewoon bijlagen meesturen. Dat deden ze in juni ook al. Je kunt niet verwachten dat iedereen nu plotseling geen bijlagen meer gaat openen.
Het gaat er om om het risico te verkleinen. Dat is dus de kans verkleinen en/of de impact. Aan die twee zaken moet gewerkt worden. Ook brand kunnen we niet uitbannen. Dus besmettingen ook niet.
Peter
Je moet NOOIT en te nimmer via een e-mail een link aanklikken! Zeker niet om ergens in te loggen!
Je moet inloggen op de WEBSITE van Ziggo en kijken of er inderdaad zo'n factuur klaarstaat!
Hoeveel water moet er nog door de Rijn en de Maas stromen voordat jan-achter-de-computer dit eens doorheeft?
Nog even en de waal wordt er nog bijgehaald.
Het is een voordeel van VDI en cloud processing als je zelf te klein bent.
spijker op zijn kop. Met een hamer als enige gereedschap wordt alles een spijker. Spijk dat is waar het nog rijn heet lek Waal nederrijn Ijssel komen wat later. Het kost wat moeite om de Waal er bij te krijgen.
Maar is lekstroom niet dat ongewenste effect bij energietransport?
Op de mac kun je ouderlijk toezicht instellen op een gebruikers account, wat iets soortgelijks doet. Nu zijn medewerkers natuurlijk geen kinderen, maar je bereikt er hetzelfde mee. Je kunt bij ouderlijk toezicht alleen een rits vooringestelde applicaties runnen.
Wil je toch even een ander programma runnen, dan moet je eerst een beheerders-wachtwoord intikken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
