E-mailaccounts gemeente Den Haag gebruikt voor versturen phishingmails
Verschillende e-mailaccounts van de gemeente Den Haag zijn gebruikt voor het versturen van phishingmails, zo heeft de gemeente zelf bekendgemaakt. De malafide berichten, met onderwerpen als ‘Payment of Necessary document’, waren gericht aan inwoners, organisaties en medewerkers van de gemeente. Volgens de gemeente leken de verstuurde phishingmails vaak betrouwbaar, omdat ze afkomstig waren van e-mailadressen van de gemeente en soms zelfs dossiernummers bevatten.
De gemeente adviseert iedereen die op 25 september een e-mail heeft ontvangen afkomstig van een e-mailadres dat eindigt op @denhaag.nl om goed te controleren of het geen phishingmail is. "Verwijder een verdachte e-mail onmiddellijk en klik niet op de links. Het doel van de mails is inloggegevens verkrijgen. Als de ontvanger op de link klikt, komt diegene op een nagemaakte pagina van de gemeente waar deze persoon wordt gevraagd om in te loggen. Doe dit niet", zo laat het advies verder weten.
Het detectiesysteem van de gemeente detecteerde vorige week een ongebruikelijke hoeveelheid verstuurde e-mails. Daarna bleek dat het om phishingmails ging. "Helaas waren veel e-mails toen al verstuurd. De gemeente ondernam direct actie door de getroffen mailaccounts te beveiligen. Zo werd voorkomen dat er meer e-mails werden verzonden", aldus de gemeente. Hoe de e-mailaccounts konden worden gecompromitteerd en of er tweefactorauthenticatie werd gebruikt staat niet in de verklaring vermeld. Security.NL heeft de gemeente vragen gesteld.
Reacties (21)
02-10-2024, 09:39 door
Anoniem
Waar ik totaal geen begrip voor op kan brengen is het ontbreken van screendumps van de phishingmails op de info pagina van de gemeente Den Haag. Volledig, helder en in goed Nederlands communiceren is tegenwoordig zó'n brug te ver dat je terecht de vraag kan stellen hoe het toch komt dat er zoveel misverstanden ontstaan en voort etteren als een open wond als ze actueel zijn.
02-10-2024, 09:40 door
Anoniem
De phishingmails zijn vervelend, maar ik maak me meer zorgen om toegang tot persoonsgegevens die mogelijk is verkregen. Toegang tot mail-accounts betekent meestal toegang tot adresboek, agenda's en bestaande inboxen. En detectie bij het versturen van grote hoeveelheden e-mail betekent ook dat de toegang waarschijnlijk lange tijd onopgemerkt had gebleven als er alleen data verzameld zou zijn.
02-10-2024, 10:22 door
Anoniem
Door Anoniem: Waar ik totaal geen begrip voor op kan brengen is het ontbreken van screendumps van de phishingmails op de info pagina van de gemeente Den Haag. Volledig, helder en in goed Nederlands communiceren is tegenwoordig zó'n brug te ver dat je terecht de vraag kan stellen hoe het toch komt dat er zoveel misverstanden ontstaan en voort etteren als een open wond als ze actueel zijn.
Bij een gemeente gewerkt en we hadden een communicatie-ambtenaar. Die deed van alles, behalve goed communiceren...
02-10-2024, 10:25 door
Anoniem
Is de Autoriteit Persoonsgegevens al geïnformeerd? Lees daar namelijk niets over.
02-10-2024, 11:14 door
Anoniem
Het gaat om e-mails die vanaf de eigen mailservers verstuurd zijn. Dan is gelogd aan wie die verstuurd zijn. Ik hoop dat ze het niet alleen laten bij een waarschuwing op de website en media-aandacht maar ook die mensen een e-mail sturen die erop wijst dat ze de foute e-mail moeten negeren.
02-10-2024, 11:34 door
karma4
Er staat weinig over wat er mis gegaan is. Indien het om een relay functie ging die te open stond is er geen enkele andere machine bij betrokken. Speculaties vieren hoogtij
02-10-2024, 11:38 door
Anoniem
Door Anoniem: Is de Autoriteit Persoonsgegevens al geïnformeerd? Lees daar namelijk niets over.
Volgens de gemeente Den Haag zou dat gaan gebeuren. Of het ook al gebeurd is, weet ik op dit moment niet.
02-10-2024, 12:08 door
Anoniem
Door karma4: Er staat weinig over wat er mis gegaan is. Indien het om een relay functie ging die te open stond is er geen enkele andere machine bij betrokken. Speculaties vieren hoogtij
Dat staat er zeker wel (in het bericht van de gemeente):
"Onbekenden hadden op 25 september 2024 kort toegang tot 3 e-mailaccounts van de gemeente"
Geen relay, maar gewoon toegang tot de e-mailaccounts, dus: datalek! (ik ken namelijk geen e-mailaccount waar helemaal geen persoonsgegevens te vinden zijn).
Overigens staat in datzelfde bericht het volgende:
"De gemeente meldt het incident bij de Autoriteit Persoonsgegevens"
02-10-2024, 12:16 door
Briolet
Door karma4: Er staat weinig over wat er mis gegaan is. Indien het om een relay functie ging die te open stond is er geen enkele andere machine bij betrokken. Speculaties vieren hoogtij
Niks geen speculaties:
De gemeente ondernam direct actie door de getroffen mailaccounts te beveiligen.
Hier staat feitelijk al dat er mail accounts van de gemeente gebruikt zijn en dat het geen open relay was. Ook dat er dossiernummers in de mails stonden geeft al aan dat men inzage gehad moet hebben in de mail van de gecompromitteerde accounts.
02-10-2024, 13:01 door
Anoniem
Door Briolet:
Niks geen speculaties:
Hier staat feitelijk al dat er mail accounts van de gemeente gebruikt zijn en dat het geen open relay was. Ook dat er dossiernummers in de mails stonden geeft al aan dat men inzage gehad moet hebben in de mail van de gecompromitteerde accounts.
Door karma4: Er staat weinig over wat er mis gegaan is. Indien het om een relay functie ging die te open stond is er geen enkele andere machine bij betrokken. Speculaties vieren hoogtij
Niks geen speculaties:
De gemeente ondernam direct actie door de getroffen mailaccounts te beveiligen.
Hier staat feitelijk al dat er mail accounts van de gemeente gebruikt zijn en dat het geen open relay was. Ook dat er dossiernummers in de mails stonden geeft al aan dat men inzage gehad moet hebben in de mail van de gecompromitteerde accounts.
Men stapt (breekt) in in een bestaande mailflow en mailt vandaaruit verder. Daarom is het zo verraderlijk. De ontvanger denkt met zijn bekende contact(en) te maken te hebben.
02-10-2024, 13:39 door
Anoniem
Door Anoniem: Waar ik totaal geen begrip voor op kan brengen is het ontbreken van screendumps van de phishingmails op de info pagina van de gemeente Den Haag. Volledig, helder en in goed Nederlands communiceren is tegenwoordig zó'n brug te ver dat je terecht de vraag kan stellen hoe het toch komt dat er zoveel misverstanden ontstaan en voort etteren als een open wond als ze actueel zijn.
Omdat die misschien per email kunnen verschillen?Klant van mij had er trouwens 2 ontvangen, maar lette goed op.
1 was er al direct door Exchange online onderschept wegens een SPAM URL. De andere kwam met een PDF wel binnen en triggerde hem al direct.
Lastige hiervan is, SPF en DKIM waren gewoon correct, want ze waren inderdaad via een gemeentelijke officiele relay server verstuurd.
02-10-2024, 13:53 door
Anoniem
Heb een aantal weken geleden nog een vrouw, werkzaam bij de gemeente Den Haag, in de trein een poging zien doen om daar in te loggen bij het wifi-netwerk. Dit om net getypte e-mails te versturen.
Zij gebruikte Outlook met een schil van de betreffende gemeente. Vond het behoorlijk schokkend, had het bijna willen melden, helaas geen optie waar dat simpel kan. Helemaal omdat je met 'n klein beetje moeite rustig alles had kunnen meelezen.
Zij gebruikte Outlook met een schil van de betreffende gemeente. Vond het behoorlijk schokkend, had het bijna willen melden, helaas geen optie waar dat simpel kan. Helemaal omdat je met 'n klein beetje moeite rustig alles had kunnen meelezen.
02-10-2024, 16:27 door
Anoniem
Door Anoniem:
Klant van mij had er trouwens 2 ontvangen, maar lette goed op.
1 was er al direct door Exchange online onderschept wegens een SPAM URL. De andere kwam met een PDF wel binnen en triggerde hem al direct.
Lastige hiervan is, SPF en DKIM waren gewoon correct, want ze waren inderdaad via een gemeentelijke officiele relay server verstuurd.
De gemeente heeft DKIM/SPF geconfigureerd, dus fatsoenlijke maildiensten houden de phising mails wel tegen. Maar zorgelijker vind ik de opmerking dat ze van een officiële relay server van de gemeente afkomstig zijn. Dat leest of iemand ongeautoriseerd mails vanaf/via een mailserver van de gemeente kan versturen. Dat klinkt écht niet best....Door Anoniem: Waar ik totaal geen begrip voor op kan brengen is het ontbreken van screendumps van de phishingmails op de info pagina van de gemeente Den Haag. Volledig, helder en in goed Nederlands communiceren is tegenwoordig zó'n brug te ver dat je terecht de vraag kan stellen hoe het toch komt dat er zoveel misverstanden ontstaan en voort etteren als een open wond als ze actueel zijn.
Omdat die misschien per email kunnen verschillen?Klant van mij had er trouwens 2 ontvangen, maar lette goed op.
1 was er al direct door Exchange online onderschept wegens een SPAM URL. De andere kwam met een PDF wel binnen en triggerde hem al direct.
Lastige hiervan is, SPF en DKIM waren gewoon correct, want ze waren inderdaad via een gemeentelijke officiele relay server verstuurd.
02-10-2024, 16:36 door
Anoniem
Door Anoniem: Heb een aantal weken geleden nog een vrouw, werkzaam bij de gemeente Den Haag, in de trein een poging zien doen om daar in te loggen bij het wifi-netwerk. Dit om net getypte e-mails te versturen.
Zij gebruikte Outlook met een schil van de betreffende gemeente. Vond het behoorlijk schokkend, had het bijna willen melden, helaas geen optie waar dat simpel kan. Helemaal omdat je met 'n klein beetje moeite rustig alles had kunnen meelezen.
Zij gebruikte Outlook met een schil van de betreffende gemeente. Vond het behoorlijk schokkend, had het bijna willen melden, helaas geen optie waar dat simpel kan. Helemaal omdat je met 'n klein beetje moeite rustig alles had kunnen meelezen.
Wat is hier schokkend aan? Iedereen checkt zijn email in de trien. Gewoon niet meelezen.
Bij gemiddelde ambtenaar staan er echt geen gevoelige zaken in email.
02-10-2024, 16:44 door
Anoniem
De gemeente heeft DKIM/SPF geconfigureerd, dus fatsoenlijke maildiensten houden de phising mails wel tegen.
Uh, nee. Als DMARC/DKIM/SPF klopt worden phishing mails NIET tegengehouden (op basis van deze kenmerken want die zijn allemaal correct omdat er gebruik is gemaakt van de mailomgeving van de getroffen organisatie.
Uh, nee. Als DMARC/DKIM/SPF klopt worden phishing mails NIET tegengehouden (op basis van deze kenmerken want die zijn allemaal correct omdat er gebruik is gemaakt van de mailomgeving van de getroffen organisatie.
02-10-2024, 20:24 door
Anoniem
Door Anoniem:
Nee zo werkt het niet. De email was juist verzonden via de officiele relay servers van de gemeente en die doet de DKIM en voldoet aan het SPF record. Door Anoniem:
Klant van mij had er trouwens 2 ontvangen, maar lette goed op.
1 was er al direct door Exchange online onderschept wegens een SPAM URL. De andere kwam met een PDF wel binnen en triggerde hem al direct.
Lastige hiervan is, SPF en DKIM waren gewoon correct, want ze waren inderdaad via een gemeentelijke officiele relay server verstuurd.
De gemeente heeft DKIM/SPF geconfigureerd, dus fatsoenlijke maildiensten houden de phising mails wel tegen. Maar zorgelijker vind ik de opmerking dat ze van een officiële relay server van de gemeente afkomstig zijn. Dat leest of iemand ongeautoriseerd mails vanaf/via een mailserver van de gemeente kan versturen. Dat klinkt écht niet best....Door Anoniem: Waar ik totaal geen begrip voor op kan brengen is het ontbreken van screendumps van de phishingmails op de info pagina van de gemeente Den Haag. Volledig, helder en in goed Nederlands communiceren is tegenwoordig zó'n brug te ver dat je terecht de vraag kan stellen hoe het toch komt dat er zoveel misverstanden ontstaan en voort etteren als een open wond als ze actueel zijn.
Omdat die misschien per email kunnen verschillen?Klant van mij had er trouwens 2 ontvangen, maar lette goed op.
1 was er al direct door Exchange online onderschept wegens een SPAM URL. De andere kwam met een PDF wel binnen en triggerde hem al direct.
Lastige hiervan is, SPF en DKIM waren gewoon correct, want ze waren inderdaad via een gemeentelijke officiele relay server verstuurd.
Lijkt er op dat deze gemeente onprem servers heeft draaien voor de email ontvangen en verzenden. Dus ook eigen SMTP servers draaien.
03-10-2024, 05:24 door
Anoniem
De gemeente Den Haag heeft toch elk jaar die wedstrijd waar je dan trots zegen we zijn getest door x aantal hackers en er is niks gevonden?
03-10-2024, 09:04 door
Anoniem
Door Anoniem:
Wat is hier schokkend aan? Iedereen checkt zijn email in de trien. Gewoon niet meelezen.
Bij gemiddelde ambtenaar staan er echt geen gevoelige zaken in email.
Door Anoniem: Heb een aantal weken geleden nog een vrouw, werkzaam bij de gemeente Den Haag, in de trein een poging zien doen om daar in te loggen bij het wifi-netwerk. Dit om net getypte e-mails te versturen.
Zij gebruikte Outlook met een schil van de betreffende gemeente. Vond het behoorlijk schokkend, had het bijna willen melden, helaas geen optie waar dat simpel kan. Helemaal omdat je met 'n klein beetje moeite rustig alles had kunnen meelezen.
Zij gebruikte Outlook met een schil van de betreffende gemeente. Vond het behoorlijk schokkend, had het bijna willen melden, helaas geen optie waar dat simpel kan. Helemaal omdat je met 'n klein beetje moeite rustig alles had kunnen meelezen.
Wat is hier schokkend aan? Iedereen checkt zijn email in de trien. Gewoon niet meelezen.
Bij gemiddelde ambtenaar staan er echt geen gevoelige zaken in email.
Dat het kan betekent niet dat je het ook moet doen. De trein is geen werkplek.
03-10-2024, 09:40 door
Anoniem
Door Anoniem:
Lijkt er op dat deze gemeente onprem servers heeft draaien voor de email ontvangen en verzenden. Dus ook eigen SMTP servers draaien.
Ik wil wel eens weten hoe je tot DIE conclusie komt!Lijkt er op dat deze gemeente onprem servers heeft draaien voor de email ontvangen en verzenden. Dus ook eigen SMTP servers draaien.
Als de gemeente gewoon zoals de meerderheid van de gemeenten en bedrijven tegenwoordig gebruik maakt van Office365 (outlook.com) dan hoeven ze helemaal geen eigen SMTP servers te hebben en dan nog is het geschetste scenario prima mogelijk.
Er zijn kennelijk 3 accounts gekraakt en dan kun je gewoon via de Microsoft servers naar buiten mailen.
03-10-2024, 12:26 door
Anoniem
Door Anoniem:
Als de gemeente gewoon zoals de meerderheid van de gemeenten en bedrijven tegenwoordig gebruik maakt van Office365 (outlook.com) dan hoeven ze helemaal geen eigen SMTP servers te hebben en dan nog is het geschetste scenario prima mogelijk.
Uitgaand van de SPF record, gebruikt Den Haag geen Office 365!Als de gemeente gewoon zoals de meerderheid van de gemeenten en bedrijven tegenwoordig gebruik maakt van Office365 (outlook.com) dan hoeven ze helemaal geen eigen SMTP servers te hebben en dan nog is het geschetste scenario prima mogelijk.
03-10-2024, 17:47 door
Tintin and Milou
Door Anoniem:
Als de gemeente gewoon zoals de meerderheid van de gemeenten en bedrijven tegenwoordig gebruik maakt van Office365 (outlook.com) dan hoeven ze helemaal geen eigen SMTP servers te hebben en dan nog is het geschetste scenario prima mogelijk.
Er zijn kennelijk 3 accounts gekraakt en dan kun je gewoon via de Microsoft servers naar buiten mailen.
SPF record, geeft aan dat Exchange online geen directe email het Internet verstuurd, alleen eigen relay servers worden gebruikt. Door Anoniem:
Lijkt er op dat deze gemeente onprem servers heeft draaien voor de email ontvangen en verzenden. Dus ook eigen SMTP servers draaien.
Ik wil wel eens weten hoe je tot DIE conclusie komt!Lijkt er op dat deze gemeente onprem servers heeft draaien voor de email ontvangen en verzenden. Dus ook eigen SMTP servers draaien.
Als de gemeente gewoon zoals de meerderheid van de gemeenten en bedrijven tegenwoordig gebruik maakt van Office365 (outlook.com) dan hoeven ze helemaal geen eigen SMTP servers te hebben en dan nog is het geschetste scenario prima mogelijk.
Er zijn kennelijk 3 accounts gekraakt en dan kun je gewoon via de Microsoft servers naar buiten mailen.
Exchange online kan je ook gewoon laten ontvangen en verzenden via je eigen of niet Microsoft SMTP servers er voor. Niets vreemds aan.
Gewoon juiste configuratie op de sent connectors instellen en je bent klaar, Doen meerdere klanten, waarbij SPAM (of DLP) detectie niet door Microsoft gedaan wordt.
Hier wordt alleen de conclusie gesteld, dat men on premise relay servers heeft draaien. Dat zegt verder niets over de backend waar Exchange gehost is.
Door Anoniem:
Zou onwaarschijnlijk zijn. Aangezien ze wel sharepoint online gebruiken. Maar technisch kan dit inderdaad mogelijk. Door Anoniem:
Als de gemeente gewoon zoals de meerderheid van de gemeenten en bedrijven tegenwoordig gebruik maakt van Office365 (outlook.com) dan hoeven ze helemaal geen eigen SMTP servers te hebben en dan nog is het geschetste scenario prima mogelijk.
Uitgaand van de SPF record, gebruikt Den Haag geen Office 365!Als de gemeente gewoon zoals de meerderheid van de gemeenten en bedrijven tegenwoordig gebruik maakt van Office365 (outlook.com) dan hoeven ze helemaal geen eigen SMTP servers te hebben en dan nog is het geschetste scenario prima mogelijk.
Maar ik kan verwijzingen vinden op het Internet dat men zowel on premise als online had draaien in 2022.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
