image

Phishingmail die om DigiD vroeg maakt 200 slachtoffers

woensdag 27 juni 2018, 11:29 door Redactie, 15 reacties

De phishingmail van afgelopen vrijdag die de DigiD-gegevens van ontvangers probeerde te ontfutselen heeft 200 slachtoffers gemaakt. De DigiD-accounts van deze mensen zijn verwijderd en ze zullen een nieuw account moeten aanmaken, zo heeft minister Ollongren van Binnenlandse Zaken laten weten.

In de phishingmail werd gesteld dat de ontvanger een bericht van de Belastingdienst op zijn of haar Berichtenbox op MijnOverheid had. De e-mail bevatte een link die zogenaamd naar de MijnOverheid-website wees. In werkelijkheid ging het om een phishingsite die om de DigiD-gegevens van de gebruiker vroeg. Voordat de website uit de lucht kon worden gehaald hadden al 200 mensen ingelogd. Van deze mensen zijn de DigiD-accounts nu verwijderd.

"Zij moeten dus nieuwe accounts aanmaken en zij worden daar ook in bijgestaan. Ze hebben inmiddels ook een brief ontvangen over hoe dat moet gebeuren", aldus Ollongren tijdens het Vragenuur in de Tweede Kamer. De minister laat weten dat er ook aangifte is gedaan. "Dat is natuurlijk ook erg belangrijk, want we willen ook graag weten wie dit heeft gedaan en waarom, om te voorkomen dat het nog een keer gebeurt, maar vooral ook om de daders te pakken te krijgen, als dat enigszins kan." Volgens de minister wordt er alles aan gedaan om de daders te vinden.

Image

Reacties (15)
27-06-2018, 12:29 door Gematigede Nederlander
200 domme mensen. Waarschijnlijk individuen die zich graag in een slachtofferrol zien.
27-06-2018, 12:47 door Anoniem
Door Gematigede Nederlander: 200 domme mensen. Waarschijnlijk individuen die zich graag in een slachtofferrol zien.
Lekker ongenuanceerde opmerking voor een 'Gematigede Nederlander'.
Dit kunnen net zo makkelijk oudere mensen zijn, bij wie het gehele 'computer-geneuzel' gewoon geen interessant issue is. Ze krijgen een mail, lezen dat er iets moet gebeuren en doen dat.
Inderdaad zal een iets meer oplettend persoon hebben onthouden dat vorige e-mails over berichten van mijn-overheid nooit een link bevatten waardoor er een lampje moet gaan branden.

De overhead heeft deze keer wel goed geacteerd door snel de website offline te halen, de gecompromitteerde accounts te blokkeren en de getroffen mensen een brief hierover te sturen.
27-06-2018, 13:39 door Anoniem
200 domme mensen. Waarschijnlijk individuen die zich graag in een slachtofferrol zien.

Wat dacht je van domme implementeerders. Met *optionele* 2-factor authenticatie. Waardoor een cybercrimineel altijd kan kiezen om de credentials te gebruiken zonder mobiele verificatie. Pas dat aan, dan zijn de gebruikers wel veilig, en dan werkt de aanval niet meer.

De schuld bij de eindgebruiker leggen is zo gemakkelijk.....
27-06-2018, 13:43 door Anoniem
Door Gematigede Nederlander: 200 domme mensen. Waarschijnlijk individuen die zich graag in een slachtofferrol zien.
Je zult verbaast zijn als je wist hoeveel mensen internet gebruiken en er totaal niets maar dan ook niets van af weten.
Dit geld ook voor mail, wat ze nodig hebben om het te gebruiken weten ze wel, maar de rest geen interesse.
Vergelijk het maar met een auto, de meesten gebruiken hem maar ze hebben geen idee hoe hij werkt en
het interseert ze ook niet, mischien niet zo snel oordelen want het product hoort gewoon veilig te zijn.
27-06-2018, 13:55 door Anoniem
Door Gematigede Nederlander: 200 domme mensen. Waarschijnlijk individuen die zich graag in een slachtofferrol zien.
Hoe kun jij iets zeggen over de intelligentie van deze mensen? Het is op dit forum inmiddels geen discussiepunt meer dat phisingmails zó doortrapt en slim zijn opgesteld dat er iedere keer weer mensen in trappen. Dit is een verdrietig verhaal voor de slachtoffers. Op deze manier te reageren vertelt eerder iets over jouw denkniveau dan over dat van de mensen die slachtoffer zijn geworden, dunkt me....
27-06-2018, 14:24 door Briolet
Wat mist in het verhaal is hoe men weet dat het er 200 geweest zijn. Uit de context van het verhaal van de minister (vanaf minuut 33:00), haal ik dat het niet de aantallen aangiften van de slachtoffers zijn.

Het lijkt er dus op dat de site uit de lucht gehaald is en men blijkbaar ook toegang tot de site kreeg met de opgeslagen data van 200 slachtoffers.

Dat er direct een waarschuwing op de overheidssite gezet is, heeft natuurlijk weinig effect gehad op het tegenhouden van slachtoffers, zoals de minister suggereert. De mensen die direct op de link klikken, zullen de officiële site nooit zien.
27-06-2018, 16:42 door karma4
https://www.security.nl/posting/567534/"Goede+beveiliging+zit+in+de+hoofden+van+mensen"
Gekdezeks zijn vaak jongeren.
Alleen met gedegen onderzoek kom je mogelijk op kwetsbare groepen met verhoogd risico.
27-06-2018, 17:35 door foxonsafari - Bijgewerkt: 27-06-2018, 17:39
Vergelijk het maar met een auto, de meesten gebruiken hem maar ze hebben geen idee hoe hij werkt en
het interesseert ze ook niet, misschien niet zo snel oordelen want het product hoort gewoon veilig te zijn.[/quote]
+1
27-06-2018, 22:16 door Anoniem
Geheimzinnig doen

Zowel de overheid als alle media die erover berichten blijven hangen in het vage.
Hele verhalen en suggestieve omschrijvingen zonder de link, het specifieke nepdomein te noemen!!!

Wat was nou dat nep domein?

Zeg gewoon, deze ... link is niet te vertrouwen opdat mensen het ook kunnen controleren.
27-06-2018, 23:21 door Briolet
In elk geval is een deel van de beoogde slachtoffers beschermd door DMARC. HVolgens bovenstaand screenshot is het "aan" adres nml "overheid.nl" en op dat domein staat een "reject" policy.

Mensen met een mailaccount bij een provider die DMARC controleert, (b.v. gmail) zullen deze mail nooit ontvangen hebben. Het zou dus ook interessant zijn een lijst te zien bij welke mail providers deze 200 personen een account hadden.
28-06-2018, 00:18 door Anoniem
Door Briolet:
Mensen met een mailaccount bij een provider die DMARC controleert, (b.v. gmail) zullen deze mail nooit ontvangen hebben. Het zou dus ook interessant zijn een lijst te zien bij welke mail providers deze 200 personen een account hadden.

Er zijn ook providers/programma's die de mail waarbij de DMARC check mis gaat gewoon als SPAM behandelen.
Dwz die komt in een mapje "ongewenste e-mail" of "junk e-mail" zonder verdere aanduiding waarom.
Mensen die dit mapje min of meer regelmatig controleren (bijvoorbeeld nadat eerder een belangrijke mail daar terecht
is gekomen om een andere reden) die zullen het wellicht gewoon in behandeling nemen omdat ze vinden dat het er
vertrouwd uitziet.

Ik weet dat bij gmail er een waarschuwing bij staat dat de afzender mogelijk vervalst is maar dat doet dus niet iedereen!
(Microsoft Outlook / Office365 bijvoorbeeld niet)
28-06-2018, 04:11 door Anoniem
Die heb ik ook gehad in mijn Gmail!!
28-06-2018, 06:50 door karma4 - Bijgewerkt: 28-06-2018, 06:52
Door Briolet: .....
Mensen met een mailaccount bij een provider die DMARC controleert, (b.v. gmail) zullen deze mail nooit ontvangen hebben. Het zou dus ook interessant zijn een lijst te zien bij welke mail providers deze 200 personen een account hadden.
De overheid zal die kenmerken als dmarc spf dkim wel toevoegen. Ik verwacht dat niet van een pisher. Geen idee welke mail techniek die gebruikt maar zijn doel is om de boel te faken.

Dan moet er in iedere geval nog een extra controle door
de mailproviders er bij. Bepaalde bronnen (from) mogen alleen met bepaalde techniek (dmarc) door. Whitelisting - censuur.
Zit dat er ook in?
28-06-2018, 09:28 door Briolet - Bijgewerkt: 28-06-2018, 09:33
Door Anoniem: Er zijn ook providers/programma's die de mail waarbij de DMARC check mis gaat gewoon als SPAM behandelen .…

Ik weet dat bij gmail er een waarschuwing bij staat dat de afzender mogelijk vervalst is maar dat doet dus niet iedereen!
(Microsoft Outlook / Office365 bijvoorbeeld niet)

Je hebt wel twee verschillende policy instellingen bij DMARC. Quarantaine of Reject. Als je Quarantaine instelt, is het begrijpelijk dat het in een spammap terecht komt.
Maar als een domein een Reject policy instelt (zoals overheid.nl doet), zou ik vinden dat dit gerespecteerd moet worden en zou helemaal niets afgeleverd moeten worden. Zie pagina 18 onderaan van de RFC 7489 over DMARC

https://tools.ietf.org/html/rfc7489#section-6.3
29-06-2018, 07:19 door Bitwiper - Bijgewerkt: 29-06-2018, 07:21
Door Anoniem: Die heb ik ook gehad in mijn Gmail!!
Als je de mail nog niet hebt weggegooid, kun je dan eens kijken vanaf welk IP adres de gmail mailserver deze mail ontvangen heeft en dat IP-adres hieronder vermelden? [*]

En of er een DKIM header in zichtbaar is en zo ja, die hieronder vermelden?

[*] E-mail van "overheid.nl" wordt kennelijk verzorgd door solvinity.com (een Nederlands ICT bedrijf). Het lijk erop dat zij alle IP-adressen waar zij mail vandaan zouden kunnen sturen (of ooit hebben gestuurd) in hun SPF records hebben gezet. Voor mail vanaf *@overheid.nl bestaan op dit moment de volgende DNS (SPF- en A-) records:

v=spf1 include:_spf_mx.solvinity.com a:mx01-koop.solvinity.com a:mx02-koop.solvinity.com -all
Die MX servers resolven momenteel in:
Name: mx01-koop.solvinity.com Address: 62.112.233.72
Name: mx02-koop.solvinity.com Address: 62.112.233.73
En de SPF include directives leiden tot:
v=spf1 ip4:62.112.237.67 ip4:62.112.237.75 ip4:62.112.226.181 ip4:62.112.226.185 ip4:62.112.233.18 ip4:62.112.233.19 ip4:62.112.250.33 ip4:62.112.250.34 ip4:62.112.250.77 ip4:62.112.250.73 ip4:62.112.226.64 ip4:62.112.224.42 ip4:62.112.224.215 ip4:62.112.236.8 ip4:62.112.224.89 ip4:62.112.249.208 ip4:62.112.249.209 ip4:94.143.213.13 ip4:94.143.208.24 ip4:94.143.208.215 ip4:62.112.250.215 ip4:62.112.250.216 -all
en:
v=spf1 ip6:2a00:1558:2801:4::2:0 ip6:2a00:1558:2801:4::3:0 ip6:2a00:1558:1801:4::2:0 ip6:2a00:1558:1801:4::3:0 ip6:2a00:1558:3801:4::2:0 ip6:2a00:1558:3801:4::3:0 ip6:2a00:1558:6801:14::2:0 ip6:2a00:1558:6801:14::3:0 ip6:2a00:1558:4801:14::2:0 ip6:2a00:1558:4801:14::3:0 ip6:2a00:1558:9801:4::2:0 ip6:2a00:1558:9801:4::3:0 -all

Als een spammer toegang tot slechts één van de systemen met genoemde IP-adressen weet te verkrijgen, of indien deze als e-mail relay werken (evt. een double mail relay waarbij een server X mail van derden accepteert en doorzet naar een mailserver met één van bovengenoemde IP-adressen - die op zijn beurt mail van X accepteert), dan kan de spammer namens overheid.nl -ongehinderd door streng op SPF, DKIM en DMARC- phishingmails verzenden.

Naast dat heel veel ontvangende mailservers niet strikt checken op SPF, DKIM en DMARC (elke mailserverbeheerder heeft daar zo haar eigen ideeën over en/of -vaak slechte- ervaringen mee), is DMARC een halfbakken protocol omdat ofwel SPF ofwel DKIM volstaat. Dus als één van de genoemde servers geheel geen DKIM record toevoegt (of mogelijk, hier twijfel ik over, een DKIM record toevoegt voor een heel ander domein) wordt voldaan aan de DMARC policy.

Met andere woorden, als het een een spammer lukt van of via 1 van de genoemde IP adressen phishing mails van *@overheid.nl te versturen, zal elke ontvangende mailserver, die netjes checkt, concluderen dat de mail daadwerkelijk door "overheid.nl" is verzonden. Ook denkbaar is dat solvinity.com een speciale inbox heeft voor mails die namens "overheid.nl" moeten worden verzonden, en dus alleen door geautoriseerde overheidsdienaars zouden moeten kunnen worden aangeboden, maar dat het de spammer is gelukt om zich voor te doen als geautoriseerde ambtenaar.

Los van of dit scenario van toepassing is, vind ik het uiterst onverstandig van solvinity dat zij, juist voor zo'n gevoelige afzender als overheid.nl, zo'n onzinnig grote reeks IP-adressen toestaat om mail (namens overheid.nl) te verzenden. Het zou mij niet verbazen als daar (wellicht minder goed beveiligde) testsystemen of servers van voormalige projecten bij zitten.

Bijboorbeeld 94.143.208.192 - 94.143.208.223 is van bitbrains.nl/asp4all.nl - die ondertussen verder zijn gegaan als solvinity.nl. Servers zoals synfra.bitbrains.nl, gemma-synfra.bitbrains.nl en acceptatie-gemma-synfra.bitbrains.nl resolven nog wel (niet exact tot de in de SPF records genoemde adressen, maar wel daar in de buurt) maar nemen geen https connecties meer aan. Mogelijk een voormalig project dus, en de ervaring leert dat vaak wordt vergeten om alle betrokken systemen grondig op te ruimen (klant betaalt niet meer betekent altijd low prio).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.