Journalisten van onderzoekscollectief Bellingcat zijn het doelwit van een phishingaanval geworden waarbij de aanvallers een zerodaylek in een opensourcepakket gebruikten dat bij veel e-mailproviders in gebruik is. Dat laat e-mailprovider ProtonMail in een verklaring weten.
De aanvallers hadden het op de ProtonMail-accounts van de journalisten voorzien en verstuurden e-mails die van ProtonMail afkomstig leken. De phishingmails wezen naar een phishingsite die gebruikers vroeg om op hun ProtonMail-account in te loggen. De aanvallers hadden voor de aanval een tiental domeinen geregistreerd die op het domein van ProtonMail leken.
De aanvallers maakten ook gebruik van een zerodaylek in een niet nader genoemd opensourcepakket dat door veel e-mailproviders wordt gebruikt. De kwetsbaarheid werd gebruikt om spamfilters te omzeilen. ProtonMail stelt dat het al van deze kwetsbaarheid wist en al enige tijd op een beveiligingsupdate wacht. ProtonMail wil de naam van de software niet bekendmaken omdat het niet de ontwikkelaar is. "Deze kwetsbaarheid is niet algemeen bekend en wijst op een hoger niveau van de aanvallers", aldus ProtonMail.
Na ontdekking van de aanval heeft ProtonMail de betreffende registrars en hostingbedrijven geïnformeerd om de domeinen van de aanvallers offline te halen. Tevens is er met de Zwitserse politie samengewerkt om het Zwitserse domein dat bij de aanval werd ingezet te blokkeren.
In tegenstelling tot wat sommige nieuwsberichten claimen is ProtonMail niet gecompromitteerd, aldus de e-mailprovider. De phishingaanval is daarnaast ook mislukt. Geen van de journalisten heeft zijn inloggegevens ingevoerd. "E-mails van ProtonMail worden duidelijk met een ster in de ProtonMail-inbox aangegeven. Aanvallers kunnen dit niet spoofen", zo stelt de provider.
Deze posting is gelocked. Reageren is niet meer mogelijk.