image

E-mailaccounts gemeente Den Haag gebruikt voor versturen phishingmails

woensdag 2 oktober 2024, 09:26 door Redactie, 21 reacties

Verschillende e-mailaccounts van de gemeente Den Haag zijn gebruikt voor het versturen van phishingmails, zo heeft de gemeente zelf bekendgemaakt. De malafide berichten, met onderwerpen als ‘Payment of Necessary document’, waren gericht aan inwoners, organisaties en medewerkers van de gemeente. Volgens de gemeente leken de verstuurde phishingmails vaak betrouwbaar, omdat ze afkomstig waren van e-mailadressen van de gemeente en soms zelfs dossiernummers bevatten.

De gemeente adviseert iedereen die op 25 september een e-mail heeft ontvangen afkomstig van een e-mailadres dat eindigt op @denhaag.nl om goed te controleren of het geen phishingmail is. "Verwijder een verdachte e-mail onmiddellijk en klik niet op de links. Het doel van de mails is inloggegevens verkrijgen. Als de ontvanger op de link klikt, komt diegene op een nagemaakte pagina van de gemeente waar deze persoon wordt gevraagd om in te loggen. Doe dit niet", zo laat het advies verder weten.

Het detectiesysteem van de gemeente detecteerde vorige week een ongebruikelijke hoeveelheid verstuurde e-mails. Daarna bleek dat het om phishingmails ging. "Helaas waren veel e-mails toen al verstuurd. De gemeente ondernam direct actie door de getroffen mailaccounts te beveiligen. Zo werd voorkomen dat er meer e-mails werden verzonden", aldus de gemeente. Hoe de e-mailaccounts konden worden gecompromitteerd en of er tweefactorauthenticatie werd gebruikt staat niet in de verklaring vermeld. Security.NL heeft de gemeente vragen gesteld.

Reacties (21)
02-10-2024, 09:39 door Anoniem
Waar ik totaal geen begrip voor op kan brengen is het ontbreken van screendumps van de phishingmails op de info pagina van de gemeente Den Haag. Volledig, helder en in goed Nederlands communiceren is tegenwoordig zó'n brug te ver dat je terecht de vraag kan stellen hoe het toch komt dat er zoveel misverstanden ontstaan en voort etteren als een open wond als ze actueel zijn.
02-10-2024, 09:40 door Anoniem
De phishingmails zijn vervelend, maar ik maak me meer zorgen om toegang tot persoonsgegevens die mogelijk is verkregen. Toegang tot mail-accounts betekent meestal toegang tot adresboek, agenda's en bestaande inboxen. En detectie bij het versturen van grote hoeveelheden e-mail betekent ook dat de toegang waarschijnlijk lange tijd onopgemerkt had gebleven als er alleen data verzameld zou zijn.
02-10-2024, 10:22 door Anoniem
Door Anoniem: Waar ik totaal geen begrip voor op kan brengen is het ontbreken van screendumps van de phishingmails op de info pagina van de gemeente Den Haag. Volledig, helder en in goed Nederlands communiceren is tegenwoordig zó'n brug te ver dat je terecht de vraag kan stellen hoe het toch komt dat er zoveel misverstanden ontstaan en voort etteren als een open wond als ze actueel zijn.
Bij een gemeente gewerkt en we hadden een communicatie-ambtenaar.
Die deed van alles, behalve goed communiceren...
02-10-2024, 10:25 door Anoniem
Is de Autoriteit Persoonsgegevens al geïnformeerd? Lees daar namelijk niets over.
02-10-2024, 11:14 door Anoniem
Het gaat om e-mails die vanaf de eigen mailservers verstuurd zijn. Dan is gelogd aan wie die verstuurd zijn. Ik hoop dat ze het niet alleen laten bij een waarschuwing op de website en media-aandacht maar ook die mensen een e-mail sturen die erop wijst dat ze de foute e-mail moeten negeren.
02-10-2024, 11:34 door karma4
Er staat weinig over wat er mis gegaan is. Indien het om een relay functie ging die te open stond is er geen enkele andere machine bij betrokken. Speculaties vieren hoogtij
02-10-2024, 11:38 door Anoniem
Door Anoniem: Is de Autoriteit Persoonsgegevens al geïnformeerd? Lees daar namelijk niets over.
Volgens de gemeente Den Haag zou dat gaan gebeuren. Of het ook al gebeurd is, weet ik op dit moment niet.
02-10-2024, 12:08 door Anoniem
Door karma4: Er staat weinig over wat er mis gegaan is. Indien het om een relay functie ging die te open stond is er geen enkele andere machine bij betrokken. Speculaties vieren hoogtij

Dat staat er zeker wel (in het bericht van de gemeente):
"Onbekenden hadden op 25 september 2024 kort toegang tot 3 e-mailaccounts van de gemeente"

Geen relay, maar gewoon toegang tot de e-mailaccounts, dus: datalek! (ik ken namelijk geen e-mailaccount waar helemaal geen persoonsgegevens te vinden zijn).

Overigens staat in datzelfde bericht het volgende:
"De gemeente meldt het incident bij de Autoriteit Persoonsgegevens"
02-10-2024, 12:16 door Briolet
Door karma4: Er staat weinig over wat er mis gegaan is. Indien het om een relay functie ging die te open stond is er geen enkele andere machine bij betrokken. Speculaties vieren hoogtij

Niks geen speculaties:

De gemeente ondernam direct actie door de getroffen mailaccounts te beveiligen.

Hier staat feitelijk al dat er mail accounts van de gemeente gebruikt zijn en dat het geen open relay was. Ook dat er dossiernummers in de mails stonden geeft al aan dat men inzage gehad moet hebben in de mail van de gecompromitteerde accounts.
02-10-2024, 13:01 door Anoniem
Door Briolet:
Door karma4: Er staat weinig over wat er mis gegaan is. Indien het om een relay functie ging die te open stond is er geen enkele andere machine bij betrokken. Speculaties vieren hoogtij

Niks geen speculaties:

De gemeente ondernam direct actie door de getroffen mailaccounts te beveiligen.

Hier staat feitelijk al dat er mail accounts van de gemeente gebruikt zijn en dat het geen open relay was. Ook dat er dossiernummers in de mails stonden geeft al aan dat men inzage gehad moet hebben in de mail van de gecompromitteerde accounts.

Men stapt (breekt) in in een bestaande mailflow en mailt vandaaruit verder. Daarom is het zo verraderlijk. De ontvanger denkt met zijn bekende contact(en) te maken te hebben.
02-10-2024, 13:39 door Anoniem
Door Anoniem: Waar ik totaal geen begrip voor op kan brengen is het ontbreken van screendumps van de phishingmails op de info pagina van de gemeente Den Haag. Volledig, helder en in goed Nederlands communiceren is tegenwoordig zó'n brug te ver dat je terecht de vraag kan stellen hoe het toch komt dat er zoveel misverstanden ontstaan en voort etteren als een open wond als ze actueel zijn.
Omdat die misschien per email kunnen verschillen?

Klant van mij had er trouwens 2 ontvangen, maar lette goed op.
1 was er al direct door Exchange online onderschept wegens een SPAM URL. De andere kwam met een PDF wel binnen en triggerde hem al direct.

Lastige hiervan is, SPF en DKIM waren gewoon correct, want ze waren inderdaad via een gemeentelijke officiele relay server verstuurd.
02-10-2024, 13:53 door Anoniem
Heb een aantal weken geleden nog een vrouw, werkzaam bij de gemeente Den Haag, in de trein een poging zien doen om daar in te loggen bij het wifi-netwerk. Dit om net getypte e-mails te versturen.
Zij gebruikte Outlook met een schil van de betreffende gemeente. Vond het behoorlijk schokkend, had het bijna willen melden, helaas geen optie waar dat simpel kan. Helemaal omdat je met 'n klein beetje moeite rustig alles had kunnen meelezen.
02-10-2024, 16:27 door Anoniem
Door Anoniem:
Door Anoniem: Waar ik totaal geen begrip voor op kan brengen is het ontbreken van screendumps van de phishingmails op de info pagina van de gemeente Den Haag. Volledig, helder en in goed Nederlands communiceren is tegenwoordig zó'n brug te ver dat je terecht de vraag kan stellen hoe het toch komt dat er zoveel misverstanden ontstaan en voort etteren als een open wond als ze actueel zijn.
Omdat die misschien per email kunnen verschillen?

Klant van mij had er trouwens 2 ontvangen, maar lette goed op.
1 was er al direct door Exchange online onderschept wegens een SPAM URL. De andere kwam met een PDF wel binnen en triggerde hem al direct.

Lastige hiervan is, SPF en DKIM waren gewoon correct, want ze waren inderdaad via een gemeentelijke officiele relay server verstuurd.
De gemeente heeft DKIM/SPF geconfigureerd, dus fatsoenlijke maildiensten houden de phising mails wel tegen. Maar zorgelijker vind ik de opmerking dat ze van een officiële relay server van de gemeente afkomstig zijn. Dat leest of iemand ongeautoriseerd mails vanaf/via een mailserver van de gemeente kan versturen. Dat klinkt écht niet best....
02-10-2024, 16:36 door Anoniem
Door Anoniem: Heb een aantal weken geleden nog een vrouw, werkzaam bij de gemeente Den Haag, in de trein een poging zien doen om daar in te loggen bij het wifi-netwerk. Dit om net getypte e-mails te versturen.
Zij gebruikte Outlook met een schil van de betreffende gemeente. Vond het behoorlijk schokkend, had het bijna willen melden, helaas geen optie waar dat simpel kan. Helemaal omdat je met 'n klein beetje moeite rustig alles had kunnen meelezen.

Wat is hier schokkend aan? Iedereen checkt zijn email in de trien. Gewoon niet meelezen.
Bij gemiddelde ambtenaar staan er echt geen gevoelige zaken in email.
02-10-2024, 16:44 door Anoniem
De gemeente heeft DKIM/SPF geconfigureerd, dus fatsoenlijke maildiensten houden de phising mails wel tegen.

Uh, nee. Als DMARC/DKIM/SPF klopt worden phishing mails NIET tegengehouden (op basis van deze kenmerken want die zijn allemaal correct omdat er gebruik is gemaakt van de mailomgeving van de getroffen organisatie.
02-10-2024, 20:24 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Waar ik totaal geen begrip voor op kan brengen is het ontbreken van screendumps van de phishingmails op de info pagina van de gemeente Den Haag. Volledig, helder en in goed Nederlands communiceren is tegenwoordig zó'n brug te ver dat je terecht de vraag kan stellen hoe het toch komt dat er zoveel misverstanden ontstaan en voort etteren als een open wond als ze actueel zijn.
Omdat die misschien per email kunnen verschillen?

Klant van mij had er trouwens 2 ontvangen, maar lette goed op.
1 was er al direct door Exchange online onderschept wegens een SPAM URL. De andere kwam met een PDF wel binnen en triggerde hem al direct.

Lastige hiervan is, SPF en DKIM waren gewoon correct, want ze waren inderdaad via een gemeentelijke officiele relay server verstuurd.
De gemeente heeft DKIM/SPF geconfigureerd, dus fatsoenlijke maildiensten houden de phising mails wel tegen. Maar zorgelijker vind ik de opmerking dat ze van een officiële relay server van de gemeente afkomstig zijn. Dat leest of iemand ongeautoriseerd mails vanaf/via een mailserver van de gemeente kan versturen. Dat klinkt écht niet best....
Nee zo werkt het niet. De email was juist verzonden via de officiele relay servers van de gemeente en die doet de DKIM en voldoet aan het SPF record.

Lijkt er op dat deze gemeente onprem servers heeft draaien voor de email ontvangen en verzenden. Dus ook eigen SMTP servers draaien.
03-10-2024, 05:24 door Anoniem
De gemeente Den Haag heeft toch elk jaar die wedstrijd waar je dan trots zegen we zijn getest door x aantal hackers en er is niks gevonden?
03-10-2024, 09:04 door Anoniem
Door Anoniem:
Door Anoniem: Heb een aantal weken geleden nog een vrouw, werkzaam bij de gemeente Den Haag, in de trein een poging zien doen om daar in te loggen bij het wifi-netwerk. Dit om net getypte e-mails te versturen.
Zij gebruikte Outlook met een schil van de betreffende gemeente. Vond het behoorlijk schokkend, had het bijna willen melden, helaas geen optie waar dat simpel kan. Helemaal omdat je met 'n klein beetje moeite rustig alles had kunnen meelezen.

Wat is hier schokkend aan? Iedereen checkt zijn email in de trien. Gewoon niet meelezen.
Bij gemiddelde ambtenaar staan er echt geen gevoelige zaken in email.

Dat het kan betekent niet dat je het ook moet doen. De trein is geen werkplek.
03-10-2024, 09:40 door Anoniem
Door Anoniem:
Lijkt er op dat deze gemeente onprem servers heeft draaien voor de email ontvangen en verzenden. Dus ook eigen SMTP servers draaien.
Ik wil wel eens weten hoe je tot DIE conclusie komt!
Als de gemeente gewoon zoals de meerderheid van de gemeenten en bedrijven tegenwoordig gebruik maakt van Office365 (outlook.com) dan hoeven ze helemaal geen eigen SMTP servers te hebben en dan nog is het geschetste scenario prima mogelijk.
Er zijn kennelijk 3 accounts gekraakt en dan kun je gewoon via de Microsoft servers naar buiten mailen.
03-10-2024, 12:26 door Anoniem
Door Anoniem:
Als de gemeente gewoon zoals de meerderheid van de gemeenten en bedrijven tegenwoordig gebruik maakt van Office365 (outlook.com) dan hoeven ze helemaal geen eigen SMTP servers te hebben en dan nog is het geschetste scenario prima mogelijk.
Uitgaand van de SPF record, gebruikt Den Haag geen Office 365!
03-10-2024, 17:47 door Tintin and Milou
Door Anoniem:
Door Anoniem:
Lijkt er op dat deze gemeente onprem servers heeft draaien voor de email ontvangen en verzenden. Dus ook eigen SMTP servers draaien.
Ik wil wel eens weten hoe je tot DIE conclusie komt!
Als de gemeente gewoon zoals de meerderheid van de gemeenten en bedrijven tegenwoordig gebruik maakt van Office365 (outlook.com) dan hoeven ze helemaal geen eigen SMTP servers te hebben en dan nog is het geschetste scenario prima mogelijk.
Er zijn kennelijk 3 accounts gekraakt en dan kun je gewoon via de Microsoft servers naar buiten mailen.
SPF record, geeft aan dat Exchange online geen directe email het Internet verstuurd, alleen eigen relay servers worden gebruikt.

Exchange online kan je ook gewoon laten ontvangen en verzenden via je eigen of niet Microsoft SMTP servers er voor. Niets vreemds aan.
Gewoon juiste configuratie op de sent connectors instellen en je bent klaar, Doen meerdere klanten, waarbij SPAM (of DLP) detectie niet door Microsoft gedaan wordt.

Hier wordt alleen de conclusie gesteld, dat men on premise relay servers heeft draaien. Dat zegt verder niets over de backend waar Exchange gehost is.

Door Anoniem:
Door Anoniem:
Als de gemeente gewoon zoals de meerderheid van de gemeenten en bedrijven tegenwoordig gebruik maakt van Office365 (outlook.com) dan hoeven ze helemaal geen eigen SMTP servers te hebben en dan nog is het geschetste scenario prima mogelijk.
Uitgaand van de SPF record, gebruikt Den Haag geen Office 365!
Zou onwaarschijnlijk zijn. Aangezien ze wel sharepoint online gebruiken. Maar technisch kan dit inderdaad mogelijk.

Maar ik kan verwijzingen vinden op het Internet dat men zowel on premise als online had draaien in 2022.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.