Door Tintin and Milou: Een excel file kan ook niet automatisch geopend worden, en de macro uitvoeren. Gebruik zal hier eigenlijk altijd meerdere handelingen voor moeten uitvoeren. Tenzij de IT dit allemaal heeft uitgeschakeld.
Zelfs als alle waarschuwingen zijn uitgeschakeld (door wie dan ook) heeft de gebruiker een aantal onverstandige dingen gedaan.
In het PDF rapport van Fox-IT zijn de afzenders van de e-mails niet te zien. De eerste mail (waarin ik enkele zaken heb verduidelijkt en heb verwijderd):
Datum: di 15 10 2019 23 07
Onderwerp: Documents
To: [verwijderd]
CI You replied to this message on 15-10-2019 16:58.
This message was sent with High importance.
We removed extra line breaks from this message.
As discussed, please see attached a copy of your documents, please can you sign and scan these back to me as soon as possible
Download form Microsoft OneDrive:
hxxps://cdn2.onedrive-download-en[.]com[verwijderd]
Please let me know If you have any questions
Kind Regards,
Googlen naar
"As discussed, please see attached a copy of your documents, please can you sign and scan these back to me as soon as possible" leidt mij naar deze pagina:
https://security.virginia.edu/node/3576 met daarin (het staat al op internet, behalve toevoegen van bakhaken tussen 'download' en 'com' heb ik hierin niets veranderd):
Date: Tuesday, October 15, 2019 - 16:03
From: Eric Clarke <spares[at]chfm.com.au>
Sent: Tuesday, October 15, 2019 11:00 AM
To: User, Typical S (mst3k[at]virginia.edu)
Subject: Documents
As discussed, please see attached a copy of your documents, please can you sign and scan these back to me as soon as possible
Download form Microsoft OneDrive:
hxxps://onedrive-download[.]com/?[email protected].edu-xHAD
Please let me know if you have any questions
Kind Regards,
Eric Clarke
Het lijkt mij duidelijk dat hierbij dezelfde criminelen deze e-mails hebben verzonden; het ging dus niet om een gerichte aanval op UM. Ik weet natuurlijk niet of de afzender in de Maastrichtse e-mail dezelfde was als in Virginia, maar in laatstsgenoemde mail valt op dat de afzender in Australië lijkt te zitten. Het zou mij niet verbazen als hetzelfde of een vergelijkbaar afzenderdomein is gebruikt in de mail naar Maastricht.
De ontvanger had zich, voordat hij of zij op de link klikte, kunnen afvragen:
1) Ken ik ene "Eric Clarke"?
2) Heb ik eerder met hem gecorrespondeerd gebruikmakend van het e-mail adres "spares[at]chfm.com.au"?
3) Wat voor bedrijf zit er achter "chfm.com.au"?
Zonder die site zelf in je browser te openen, kun je Googlen naar:
site:chfm.com.au - d.w.z. pagina's op die site (en subsites zoals www.chfm.com.au) die door Google geïndexeerd zijn: vreemd genoeg levert dat bij mij niets op (verdacht). Dan Googlen naar
"chfm.com.au" (inclusief de aanhalingstekens): dit levert uitsluitend ellende-meldingen op; niets wijst op een website van een legitiem bedrijf. Dat had overigens best
wel gekund, het komt vaak voor dat bedrijven worden gehacked waarna er vervolgens misbruik wordt gemaakt van bestaande accounts om spam te verzenden. Punt is: gaat het om een bedrijf waar ik een e-mail van verwacht?
4) Daarbij: verwacht ik een Engelstalige mail met een vaag onderwerp als "Documents"? Waar gaat dit überhaupt over?
5) Waarom is er geen bijlage bijgesloten en moet ik op een link klikken?
6) Gaat het om een link daadwerkelijk naar onedrive.com?
Om vraag 5 zelf te beantwoorden: omdat er dan waarschijnlijk
twee virusscanners zijn die het kwaadaardige document kunnen onderscheppen: naast die op het werkstation, een scanner op de ontvangende mailserver. Overigens komt het ook voor dat bijlagen worden gezipped en versleuteld, waarbij de sleutel in de mail zelf staat (soms in een plaatje) om virusscanners op mailservers te passeren. Het is verstandig om gebruikers op dit soort tactieken te wijzen, zodat er alarmbellen bij hen afgaan bij dat soort e-mails.
In
https://security.virginia.edu/security-alerts-and-warnings?page=1 vind je aanvullende voorbeelden van dit soort e-mail scams.
Wellicht aardig om te vermelden, in
http://www.dnscheck.pro/chfm.com.au lees ik dat "mail.chfm.com.au" zich, bij het opzetten van een smtp verbinding, voorstelt als:
220 server-01.ifishworld.com ESMTP Postfix
Nb. Dat een mailserver zo genoemd is, wil niet zeggen dat deze ook maar iets met het domein "ifishworld.com" te maken heeft - maar in elk geval lijkt er op dit moment niks te antwoorden op hxxps://ifishworld[.]com/ (Google heeft nog 1 pagina gecached, nl. hxxps://ifishworld[.]com/refund-policy/ (zoek naar:
site:ifishworld.com).
In die www.dnscheck.pro pagina valt mij verder op dat er geen SPF record lijkt te zijn geregistreerd, iets wat spammers met eigen afzenderdomein vaak
wel doen (samen met DKIM, DomainKeys, DMARC en tegenwoordig wellicht ARC) - om spamfilters te omzeilen. Ik heb de huidige situatie niet gecheckt (straks sluit xs4all mij weer af 8-) maar er is vast wel iemand die zo'n onderzoekje wil doen.
Aanvulling: in
https://omail.io/leads/dhfs.com.au zie ik dat de volgende, ongetwijfeld FAKE, e-mail accounts worden geassocieerd met een zo te zien legitiem bedrijf in Australië (
https://dhfs.com.au/contact-us, mogelijk gehacked geweest):
sales[at]chfm.com.au
spares[at]chfm.com.au
accounts[at]chfm.com.au
info[at]chfm.com.au