image

E-mailaccount gemeente Ede gekaapt via phishingmail en gebruikt voor phishing

vrijdag 19 november 2021, 09:22 door Redactie, 22 reacties

Criminelen hebben door middel van een phishingmail de inloggegevens van een e-mailaccount van de gemeente Ede in handen gekregen en vervolgens gebruikt voor het versturen van "grote hoeveelheden" nieuwe phishingmails naar willekeurige e-mailadressen, zowel binnen als buiten de gemeente.

In de phishingmails, afkomstig van een @ede.nl e-mailadres, wordt gesteld dat de Outlook-mailbox van de ontvanger vol zit en moet worden bijgewerkt. Onderaan het bericht staat "IT Services Helpdesk". De gemeente heeft het overgenomen e-mailaccount inmiddels geblokkeerd en maatregelen genomen om te voorkomen dat dit nogmaals kan gebeuren. Wat die maatregelen precies inhouden is niet bekendgemaakt.

Op dit moment wordt de inbraak op het e-mailaccount onderzocht en is er melding gedaan bij de Autoriteit Persoonsgegevens. "Het onderzoek laat vooralsnog zien dat de hacker gelukkig geen toegang heeft gehad of gekregen tot privacygevoelige bestanden. Maar een dergelijk incident bevestigt nog maar eens dat informatieveiligheid blijvend hoge prioriteit en aandacht vereist", zegt Hester Veltman, wethouder informatieveiligheid.

Reacties (22)
19-11-2021, 09:35 door Anoniem
Waarom gebeurt mij dit nooit?

De reden: ik klink nooit op een link in een e-mail. Elke link wordt altijd eerst gekopieerd en daarna gecontroleerd met VirusTotal bijvoorbeeld, en deze controle wordt zeker uitgevoerd als de mail van een onbekende partij afkomstig is, of als de mail is van iemand die ik niet verwacht. Er zijn op die manier heel wat mails door de mand gevallen. Dat zou Ede ook eens moeten doen.
19-11-2021, 09:36 door Anoniem
Geen MFA op de mailomgeving kan echt niet meer in deze tijd. Hoop dat de AP hier een boete voor gaat opleggen.
19-11-2021, 09:55 door Briolet
gebruikt voor het versturen van "grote hoeveelheden" nieuwe phishingmails

De vraag blijft waarom dit account grote hoeveelheden mail mocht versturen. De meeste gebruikers sturen niet meer dan een tiental tot een paar honderd mailtjes per dag. Zet er dan ook een dagelijks quotum op.

Bij ons is het dagelijks quotum laag ingesteld. Als een gebruiker zijn wachtwoord slecht beheerd en lekt, dan kan er nog steeds niet veel phishing mail verstuurd worden via zijn account.
Individuele gebruikers kunnen op verzoek een hoger quotum krijgen. b.v. als ze soms mailings moeten versturen.
19-11-2021, 10:26 door Anoniem
Door Anoniem:
De reden: ik klink nooit op een link in een e-mail. Elke link wordt altijd eerst gekopieerd en daarna gecontroleerd met VirusTotal bijvoorbeeld,
Je hebt geen baan, of je krijgt in je werk heel erg weinig email?
Anders is zo'n procedure in de praktijk onwerkbaar.
19-11-2021, 11:57 door Briolet
Door Anoniem: Geen MFA op de mailomgeving kan echt niet meer in deze tijd. Hoop dat de AP hier een boete voor gaat opleggen.

MFA kun je alleen toepassen bij web-gebaseerde mail. Een normale e-mail cliënt, via het smtp protocol, ondersteunt geen MFA.
19-11-2021, 12:20 door Anoniem
Door Anoniem:
Door Anoniem:
De reden: ik klink nooit op een link in een e-mail. Elke link wordt altijd eerst gekopieerd en daarna gecontroleerd met VirusTotal bijvoorbeeld,
Je hebt geen baan, of je krijgt in je werk heel erg weinig email?
Anders is zo'n procedure in de praktijk onwerkbaar.
Je kunt als organisatie ook de link ombakken in iets dat de controle geautomatiseerd voor je doet, dat haalt de meeste ellende effectief ook weg.
19-11-2021, 12:41 door Anoniem
Door Briolet:
Door Anoniem: Geen MFA op de mailomgeving kan echt niet meer in deze tijd. Hoop dat de AP hier een boete voor gaat opleggen.

MFA kun je alleen toepassen bij web-gebaseerde mail. Een normale e-mail cliënt, via het smtp protocol, ondersteunt geen MFA.

dat is onzin. O365 ondersteunt wel degelijk mfa.
19-11-2021, 13:05 door Anoniem
Zo te zien heeft de gemeente Ede een zelf gehoste proprietary mail omgeving, geen Office365/Outlook.com omgeving.
Kennelijk kunnen die ook "gehacked" worden en vervolgens van binnenuit misbruikt. De kans erop lijkt me groter bij zo'n cloud platform.
19-11-2021, 14:02 door Anoniem
Door Briolet:
Door Anoniem: Geen MFA op de mailomgeving kan echt niet meer in deze tijd. Hoop dat de AP hier een boete voor gaat opleggen.

MFA kun je alleen toepassen bij web-gebaseerde mail. Een normale e-mail cliënt, via het smtp protocol, ondersteunt geen MFA.

1. Binnen ons bedrijfs-netwerk kan ik gewoon Outlook opstarten en mailen. Buiten het netwerk, is er een extra controle dmv MFA voordat ik mijn mail in kom.

2. Mijn mailclient gebruikt regels om binnenkomende interne en externe mails te sorteren.

3. Een link in een (phising)mail, zelfs al is het afkomstig van een intern adres, comntroleer ik voordat ik zomaar op ga klikken.

4. Ik voer geen inloggevens in via een link die ik in mijn mail ontvangen heb.


Punt 3 kost niet zoveel extra tijd.
Zoveel linkjes ontvang ik namelijjk niet.


Maar ik ben een ITer. De meeste gewone gebruikers klikken maar raak. Die mensen hebben geen affiniteit of interesse in IT zaken.
Zij willen "gewoon" hun werk doen.
19-11-2021, 14:48 door Anoniem
Door Anoniem:
Maar ik ben een ITer. De meeste gewone gebruikers klikken maar raak. Die mensen hebben geen affiniteit of interesse in IT zaken.
Zij willen "gewoon" hun werk doen.
En daarom heb je dus IT-ers nodig die de gewone gebruikers proberen op te voeden, of allerlei andere drempels proberen op te leggen zoals MFA om dit soort dingen zoveel mogelijk proberen te voorkomen. Je kan echt niet van een (ik noem maar even wat) oogarts verwachten dat hij/zij affiniteit met IT heeft en daardoor mogelijk een zo op het eerste gezicht uitziende legitieme mail waarin je op een link moet klikken om naar je (ik noem maar wat) vernieuwde webmail omgeving te gaan.

Het is allemaal heel simpel na te bouwen, er zijn gewoon opensource tools beschikbaar die gewoon een hele inlogpagina kopiëren binnen enkele seconden, hang daar een letsencrypt cert aan vast, zet hem online en klaar ben je, wachten op de juiste 'gewone gebruiker die geen affiniteit met IT heeft' en je bent binnen.
19-11-2021, 15:06 door Anoniem
Door Anoniem:De meeste gewone gebruikers klikken maar raak. Die mensen hebben geen affiniteit of interesse in IT zaken.
Zij willen "gewoon" hun werk doen.
Als jij bijvoorbeeld iets te eten gekocht hebt bij een supermarkt, ga je dan eerst een (bio)chemische analyse op de
gekochte waren uitvoeren om zeker te zijn dat het allemaal eetbaar en niet vergiftig is? Of ga je er vanuit dat iets
wat door de supermarkt geleverd wordt altijd wel eetbaar en niet al te ongezond is?
De meeste gewone gebruikers eten maar raak. Die mensen hebben geen affiniteit of interesse in voedingsmiddel-gerelateerde zeken. Ze willen "gewoon" wat eten. Maar er zullen er vast wel zijn die dat allemaal controleren omdat ze "weten wat er allemaal fout kan gaan".
Maar ik denk dat jij ook onder die meeste gewone gebruikers valt.
Dat iets toevallig je vakgebied is betekent nog niet dat je dan maar moet neerkijken op anderen voor wie dat niet zo is,
en voorstellen dat het helemaal normaal is om alles te controleren.
19-11-2021, 15:10 door Briolet
Door Anoniem:
Door Briolet:
Door Anoniem: Geen MFA op de mailomgeving kan echt niet meer in deze tijd. Hoop dat de AP hier een boete voor gaat opleggen.

MFA kun je alleen toepassen bij web-gebaseerde mail. Een normale e-mail cliënt, via het smtp protocol, ondersteunt geen MFA.

dat is onzin. O365 ondersteunt wel degelijk mfa.

Ik schreef ook dat een normale mail cliënt geen MFA ondersteunt. Blijkbaar kan dat wel met hun eigen mailcliënt. Als je het account via een gewone mailcliënt wilt gebruiken is er geen MFA. (Daarvoor moet je wel een ander wachtwoord aanmaken. Maar dat zal wel te blokkeren zijn in een bedrijfsomgeving)
19-11-2021, 15:30 door Anoniem
Door Anoniem:
Door Anoniem:De meeste gewone gebruikers klikken maar raak. Die mensen hebben geen affiniteit of interesse in IT zaken.
Zij willen "gewoon" hun werk doen.
Als jij bijvoorbeeld iets te eten gekocht hebt bij een supermarkt, ga je dan eerst een (bio)chemische analyse op de
gekochte waren uitvoeren om zeker te zijn dat het allemaal eetbaar en niet vergiftig is? Of ga je er vanuit dat iets
wat door de supermarkt geleverd wordt altijd wel eetbaar en niet al te ongezond is?
De meeste gewone gebruikers eten maar raak. Die mensen hebben geen affiniteit of interesse in voedingsmiddel-gerelateerde zeken. Ze willen "gewoon" wat eten. Maar er zullen er vast wel zijn die dat allemaal controleren omdat ze "weten wat er allemaal fout kan gaan".
Maar ik denk dat jij ook onder die meeste gewone gebruikers valt.
Dat iets toevallig je vakgebied is betekent nog niet dat je dan maar moet neerkijken op anderen voor wie dat niet zo is,
en voorstellen dat het helemaal normaal is om alles te controleren.

Dat doe ik ook niet. Ik beschreef eerst hoe ik werk (maar ik ben ITer). En daarna hoe een "normaal" persoon ermee omgaat.
Dus zeker niet niet negatief bedoeld.

Eerder een herinenring aan ITers dat zij niet de "normale" gebruikers zijn. Iets wat heir bij de reaguurders nog wel eens vertegen wordt.
19-11-2021, 15:36 door Anoniem
Is er misschien een ITer die weet hoe het er bij de gemeente Ede aan toe gaat, en dit in algemene termen kan beschrijven?

Dus welke type gegevens moet je eigenlijk als medewerker van Ede gebruiken om van buitenaf bij je email account te komen?
* Login
* wachtwoord
* wel/niet enige vorm van MFA

Want ik snap niet hoe een wild vreemde in dat mail account heeft kunnen komen, tenzij een deel van de basis beveiliging (zoals MFA) ontbreekt.
19-11-2021, 15:47 door Anoniem
Door Briolet:
Ik schreef ook dat een normale mail cliënt geen MFA ondersteunt. Blijkbaar kan dat wel met hun eigen mailcliënt.
Als je de aloude internet standaards wilt gebruiken (SMTP, IMAP, LDAP etc) dan is MFA niet mogelijk, maar als
je een eigen API bedenkt zoals Microsoft gewoon kan doen binnen hun eigen client en server software dan kan dat wel.
Men is ook bezig om die support voor zaken als IMAP uit te faseren om die reden. Dat geeft natuurlijk wel veel
tegenstand van degenen die open standaarden willen.
19-11-2021, 20:47 door Anoniem
Door Anoniem: Zo te zien heeft de gemeente Ede een zelf gehoste proprietary mail omgeving, geen Office365/Outlook.com omgeving.
Kennelijk kunnen die ook "gehacked" worden en vervolgens van binnenuit misbruikt. De kans erop lijkt me groter bij zo'n cloud platform.

Vooral als er geen onderhoud wordt gepleegd, maar in dit geval is het gewoon het stelen van toegangscodes. Het is een grote fout om als oplossing over te stappen naar een cloud platform. Naast het totale verlies van confidentialiteit aan 3 tot 4 letter organisaties komt er meer rotzooi vandaan dan elke andere bron en het zorgt voor een slechte vorm van monocultuur en overmatig veel macht voor partijen zoals Microsoft en Google, die ze al jaren misbruiken om hun eigen luie vorm van "beveiligen" ("wat de boer niet..." kent methodieken) door te drukken. En dat is behalve totaal onwenselijk ook geen oplosing.

MFA ondersteuning gaat geen bescherming bieden in het kat & muis spel. Niemand gaat voor elke mail MFA toepassen. Je moet je toegangscodes niet afgeven, dat weet iedereen. Spammers stappen over op een andere methode zoals het infecteren van een computer (al dan niet BYD, of publieke WiFi) of plain text/TLS downgrade aanval en en dan kan het alsnog. De overal en altijd toegang is de hoofdoorzaak van het probleem en de ondersteuning van onveilige authenticatie. Die moet worden geschrapt. Er is niets mis met POP3 of IMAP of SMTP submit, zolang het via verplichte beveiligde TLS verbindingen loopt en mail clients controles uitvoeren. Ik zie daar zo veel onzin over, o.a. provider freedom.nl beroept zich ten onrechte op beveiliging als reden om POP3 niet te ondersteunen. Valse voorlichting en misbruik van macht komt dus ook voor bij partijen die beter moeten weten. Er zullen overigens altijd computers onderdeel worden van een botnet. Die kun je blokkeren als die aangetoond besmet zijn.
20-11-2021, 18:53 door Anoniem
Door Anoniem:
Door Anoniem: Zo te zien heeft de gemeente Ede een zelf gehoste proprietary mail omgeving, geen Office365/Outlook.com omgeving.
Kennelijk kunnen die ook "gehacked" worden en vervolgens van binnenuit misbruikt. De kans erop lijkt me groter bij zo'n cloud platform.

Vooral als er geen onderhoud wordt gepleegd, maar in dit geval is het gewoon het stelen van toegangscodes. Het is een grote fout om als oplossing over te stappen naar een cloud platform. Naast het totale verlies van confidentialiteit aan 3 tot 4 letter organisaties komt er meer rotzooi vandaan dan elke andere bron en het zorgt voor een slechte vorm van monocultuur en overmatig veel macht voor partijen zoals Microsoft en Google, die ze al jaren misbruiken om hun eigen luie vorm van "beveiligen" ("wat de boer niet..." kent methodieken) door te drukken. En dat is behalve totaal onwenselijk ook geen oplosing.

Nou het is in ieder geval WEL een oplossing voor het "als er geen onderhoud wordt gepleegd" probleem.
En of de nadelen ook een probleem zijn in dit geval is maar zeer de vraag, een gemeente zal niet gaan voor de entry-level gratis oplossing maar zal een gemanagede dienst afnemen met voorwaarden erin rond de opslag en privacy.
Dus dat zit wel goed (behalve voor complot-wappies wellicht).

MFA ondersteuning gaat geen bescherming bieden in het kat & muis spel. Niemand gaat voor elke mail MFA toepassen.
MFA in dit soort systemen werkt niet per mail! het werkt per sessie.
Daarom is het ook niet toe te passen op POP3, IMAP en SMTP, waar de authenticatie per mail plaatsvindt.

De overal en altijd toegang is de hoofdoorzaak van het probleem en de ondersteuning van onveilige authenticatie. Die moet worden geschrapt. Er is niets mis met POP3 of IMAP of SMTP submit, zolang het via verplichte beveiligde TLS verbindingen loopt en mail clients controles uitvoeren.

Nee dat heb je fout. Authenticatie bij die protocollen is niet per gebruikerssessie maar per technische sessie, bijvoorbeeld per keer dat je mail ophaalt, van folder wisselt, een mail verstuurt, etc. Daarom kan deze authenticatie alleen op user/password basis zijn dus is die ALTIJD onveilig.
Alleen een mailsysteem wat gebruik maakt van niet-standaard protocollen is in staat om op applicatie nivo MFA authenticatie te doen zonder dat de gebruiker regelmatig om 2nd factor gevraagd wordt, wat inderdaad onwerkbaar zou zijn.
Die cloud systemen werken ofwel met een web applicatie ofwel met een proprietary programma met een eigen API protocol, waarin dit goed geregeld is. Met POP3, IMAP of SMTP gaat dat niet als je die niet gaat "verbouwen".
21-11-2021, 10:53 door Erik van Straten
Het nut van MFA wordt overschat (net als van SPF+DKIM+DMARC, die niet helpen bij situaties zoals in Ede).

Veel mensen werken thuis. Als de werk- of privé computer thuis gehacked is, kan de crimineel mail verzenden (namens de gebruiker) zodra die gebruiker een OWA-sessie of (meestal via VPN) een Exchange sessie heeft opgezet, ongeacht of daar MFA bij werd gebruikt.

Als, bijv. bij een OWA-sessie, de crimineel de mails vanaf een andere computer zou willen verzenden, volstaat het kopiëren van het authenticatie-cookie (ook al is MFA vereist bij het opzetten van een verbinding, wordt het daarna bijna altijd 1FA voor her-authenticatie, waarbij die gegevens meestal gecached worden en vaak lang bruikbaar zijn).

Daarbij vraag ik mij af hoe werkbaar het zou zijn als je voor het verzenden van elke e-mail een wachtwoord en 2FA code zou moeten invoeren (waarbij die gegevens kunnen worden gekopieerd en misbruikt indien de computer gecompromitteerd is, en het nut daarvan dus ook beperkt is).
21-11-2021, 11:39 door Anoniem
Door Anoniem:
De overal en altijd toegang is de hoofdoorzaak van het probleem en de ondersteuning van onveilige authenticatie. Die moet worden geschrapt. Er is niets mis met POP3 of IMAP of SMTP submit, zolang het via verplichte beveiligde TLS verbindingen loopt en mail clients controles uitvoeren.

Nee dat heb je fout. Authenticatie bij die protocollen is niet per gebruikerssessie maar per technische sessie, bijvoorbeeld per keer dat je mail ophaalt, van folder wisselt, een mail verstuurt, etc. Daarom kan deze authenticatie alleen op user/password basis zijn dus is die ALTIJD onveilig.

Je leest wel heel erg slecht. Het gaat om met TLS beveiligde protocollen en het niet ondersteunen van plain text verbindingen.
21-11-2021, 19:27 door Anoniem
Door Anoniem: De meeste gewone gebruikers klikken maar raak. Die mensen hebben geen affiniteit of interesse in IT zaken. Zij willen "gewoon" hun werk doen.
Ah, dat werk houdt in het klikken op phishing links in mail van onbekende afzenders?
21-11-2021, 19:35 door Anoniem
Door Anoniem: Is er misschien een ITer die weet hoe het er bij de gemeente Ede aan toe gaat, en dit in algemene termen kan beschrijven?
Ik heb geen idee, maar als je in een ander browser tabje 'mail.ede.nl' intikt, wordt je naar een https inlogpagina gestuurd met MFA. Geen idee wat er daarna gebeurt, ik heb daar geen account maar test/test werkt gelukkig niet.
21-11-2021, 19:50 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:De kans erop lijkt me groter bij zo'n cloud platform.
Het is een grote fout om als oplossing over te stappen naar een cloud platform.
Nou het is in ieder geval WEL een oplossing voor het "als er geen onderhoud wordt gepleegd" probleem.
Zeker, maar je zit dan nog met die Amerikanen en hun 3 letter agencies, die zomaar overal bijmogen, want terroristen of iets met kinderen, of iets anders.
Een gemeente zal niet gaan voor de entry-level gratis oplossing maar zal een gemanagede dienst afnemen met voorwaarden erin rond de opslag en privacy.
Ah, je zegt dus dat de gemeente Ede contractueel kan vastleggen dat de CLOUD ACT e.d. niet op hen van toepassing is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.