image

Overijssel sluit tijdelijk webmail af wegens phishingaanval

donderdag 22 augustus 2019, 08:04 door Redactie, 17 reacties

De provincie Overijssel heeft wegens een succesvolle phishingaanval tijdelijk de webmail voor medewerkers en leden van de Provinciale Staten afgesloten. Eind juni wist een aanvaller via phishing de inloggegevens van een provinciemedewerker te bemachtigen en kreeg zo toegang tot zijn webmail.

Via het gecompromitteerde webmailaccount verstuurde de aanvaller meer phishingmails, voornamelijk naar andere medewerkers van de provincie. Volgens Overijssel heeft de aanvaller geen toegang tot het netwerk van de provincie gekregen. Ook blijkt uit onderzoek dat het onwaarschijnlijk is dat de aanvaller gevoelige (persoons)gegevens heeft buitgemaakt.

"Als gevolg van het implementeren van beveiligingsmaatregelen is de webmail tijdelijk niet bereikbaar voor leden van Provinciale Staten en medewerkers van de provincie", aldus de provincie op de eigen website. Eerder dit jaar startte Overijssel een programma voor het verder verhogen van de digitale veiligheid van de provincie. "Desalniettemin is honderd procent informatieveiligheid niet te garanderen", aldus de provincie.

Reacties (17)
22-08-2019, 09:29 door Anoniem
Eind juni wist een aanvaller via phishing de inloggegevens van een provinciemedewerker te bemachtigen en kreeg zo toegang tot zijn webmail.

Je zou toch maar 2-factor authentication gebruiken, om te voorkomen dat je met gestolen credentials kan inloggen op accounts van ambtenaren, bij de overheid. Bizar, dat dergelijke maatregelen anno 2019 niet zijn geimplementeerd. Gebruik desnoods Google Authenticator of een soortgelijke oplossing, als men niet wil investeren in hardware matige tokens.
22-08-2019, 09:52 door Tha Cleaner - Bijgewerkt: 22-08-2019, 10:01
"Desalniettemin is honderd procent informatieveiligheid niet te garanderen", aldus de provincie.

Misschien moeten ze even vaker bij Security.nl langs komen? https://www.security.nl/posting/621417/Microsoft%3A+MFA+voorkomt+99%2C9+procent+van+aanvallen+op+accounts


Maar voor dit soort bedrijven zou MFA al standaard moeten zijn voor externe toegang.
22-08-2019, 09:57 door Anoniem
Door Tha Cleaner:
"Desalniettemin is honderd procent informatieveiligheid niet te garanderen", aldus de provincie.

https://www.security.nl/posting/621417/Microsoft%3A+MFA+voorkomt+99%2C9+procent+van+aanvallen+op+accounts
Misschien moeten ze even vaker bij Security.nl langs komen?

Maar voor dit soort bedrijven zou MFA al standaard moeten zijn voor externe toegang.

Wel mooi dat je juist dat artikel quote. Dat spreekt namelijk over 99,9% van de aanvallen, terwijl de provincie vraagt om 100% :-)
22-08-2019, 10:30 door Anoniem
Door Anoniem:
Eind juni wist een aanvaller via phishing de inloggegevens van een provinciemedewerker te bemachtigen en kreeg zo toegang tot zijn webmail.

Je zou toch maar 2-factor authentication gebruiken, om te voorkomen dat je met gestolen credentials kan inloggen op accounts van ambtenaren, bij de overheid. Bizar, dat dergelijke maatregelen anno 2019 niet zijn geimplementeerd. Gebruik desnoods Google Authenticator of een soortgelijke oplossing, als men niet wil investeren in hardware matige tokens.

Aan de ene kant is MFA geen oplossing voor alles, maar aan de andere kant: hoeveel gezeik ik niet heb gehad bij bedrijven om MFA erdoor te krijgen! Het lijkt zo vaak een onbegonnen zaak, totdat er een of ander incident komt (zoals deze) waardoor men wel moét en eindelijk iets heeft om het er doorheen te krijgen (vooral budgetsgewijs):

"De gebruikers willen het niet"
"De gebruikers vinden het teveel moeite"
"Deze applicatiegebruikers willen niet de eerste zijn... iemand anders moet maar early adopter zijn"
"De leercurve is te stijl, dus liever nu niet"
"De IT kan het niet ondersteunen, ze hebben de kennis niet"
"Er is nog geen beleid voor, dus we kunnen niets"
"De kosten zijn te hoog"
"We kunnen de mensen niet verplichten Google Authenticator op hun eigen smartphone te installeren"
"Piet is tegen, en Piet is heel belangrijk in onze organisatie. Zonder Piet gaat we failliet"
"Het verstoort de snelheid van werken, zeker bij de Service Desk, die constant af- en aanlogt"
"We kunnen het wel, maar dan willen we de token 365 dagen geldig laten zijn"
….

Zolang mensen niet gedwongen worden te veranderen of gedwongen worden te betalen voor de "oude wereld", zal die verandering er nooit komen. Dat geldt voor dit, dat geldt voor alles.
22-08-2019, 10:51 door Bitwiper - Bijgewerkt: 22-08-2019, 10:51
MFA helpt onvoldoende bij goed voorbereide aanvallers. Als de aanvaller (feitelijk een MitM) zowel de gebruikersnaam, wachtwoord als de tweede-factor-code doorzet naar de echte website, is zij binnen en kan 100% in naam van de eigenaar van het e-mail account een heleboel nieuwe phishing- en/of "CEO-fraude" mails verzenden en wellicht "password resets" op andere accounts van de eigenaar uitvoeren (grappen als SPF, DKIM en DMARC gaan je dan natuurlijk ook niet meer redden).

Het enige dat MFA in deze situatie weet te voorkomen is dat de aanvaller, na uitloggen, opnieuw kan inloggen. Zolang de aanvaller niet uitlogt of geforceerd wordt uitgelogd, kan zij haar gang gaan.
22-08-2019, 10:57 door Anoniem
Door Anoniem:
Eind juni wist een aanvaller via phishing de inloggegevens van een provinciemedewerker te bemachtigen en kreeg zo toegang tot zijn webmail.

Je zou toch maar 2-factor authentication gebruiken, om te voorkomen dat je met gestolen credentials kan inloggen op accounts van ambtenaren, bij de overheid. Bizar, dat dergelijke maatregelen anno 2019 niet zijn geimplementeerd. Gebruik desnoods Google Authenticator of een soortgelijke oplossing, als men niet wil investeren in hardware matige tokens.

Daar zijn ze nu natuurlijk mee bezig. Maar dit is ook geen 100% oplossing hoor. Die phishing dat kan bijvoorbeeld ook
gaan door iemand op te bellen "alsof je van de IT helpdesk bent" en een verhaal op te hangen dat er iets getest of gechecked
moet worden waarvoor je naam en wachtwoord nodig hebt. Dan heb je kans dat die persoon dat geeft en als dat zo is
dan log je in en loop je tegen die 2nd factor aan (wat het ook is) en kun je in datzelfde gesprek meteen even melden dat
je die code ook nodig hebt cq dat die handeling even verricht moet worden. Mensen die aan de telefoon hun naam en
wachtwoord doorgeven trappen daar wellicht ook wel in.
Dan ben je in ieder geval 1 keer ingelogd.

Verder moet je ook niet onderschatten hoeveel 2nd factor oplossingen "voor het gemak van de gebruiker" zijn ingericht
(of "voor het gemak van de beheerders"). Bijvoorbeeld op mijn werk was er een of andere standaard Microsoft oplossing
zo geconfigureerd dat hij bij de eerste keer dat je inlogt gewoon vraagt welk telefoonnummer er gebeld moet worden
voor de 2nd factor! Dat schijnt normaal te zijn bij MS, was een of andere consultant die dat zo ingesteld had, wel zo
handig want dan hoef je niet een hele lijst van telefoonnummers te verzamelen en toe te voegen, dat regelt de gebruiker
gewoon zelf. Ja leuk, maar dat betekent dus wel dat ALLE accounts waarop nog niet van buitenaf is ingelogd effectief
geen 2nd factor hebben... immers de inbreker kan daar gewoon zelf een nummer invullen van een toestel wat ie in
bezit heeft.
22-08-2019, 11:50 door Anoniem
@Bitwiper, maar MFA helpt dus wel in veel gevallen om dit te voorkomen. Hoe vaak komt het nou voor dat een aanvaller de extra code weet te bemachtigen? Het zal vast wel eens voorkomen, maar niet zovaak.
22-08-2019, 12:10 door Anoniem
Door Tha Cleaner:
"Desalniettemin is honderd procent informatieveiligheid niet te garanderen", aldus de provincie.

Misschien moeten ze even vaker bij Security.nl langs komen? https://www.security.nl/posting/621417/Microsoft%3A+MFA+voorkomt+99%2C9+procent+van+aanvallen+op+accounts

Waarschijnlijk hebben ze security.nl gelezen. Want 99.9% is geen 100%.

Door Bitwiper: MFA helpt onvoldoende bij goed voorbereide aanvallers.

Gelukkig zijn de meeste aanvallen niet goed voorbereid.

Als de aanvaller (feitelijk een MitM) zowel de gebruikersnaam, wachtwoord als de tweede-factor-code doorzet naar de echte website, is zij binnen en kan 100% in naam van de eigenaar van het e-mail account een heleboel nieuwe phishing- en/of "CEO-fraude" mails verzenden en wellicht "password resets" op andere accounts van de eigenaar uitvoeren (grappen als SPF, DKIM en DMARC gaan je dan natuurlijk ook niet meer redden).

Nee, maar wel andere controlemaatregelen, zoals certificaten. Dat is technisch af te dwingen, als je de devices beheert, of moet middels bewustwording gedaan worden.

Peter

P.S. Ik zei dat ik een account zou aanmaken. Gisteren geprobeerd. Security.nl accepteert mijn e-mail adres echter niet.
22-08-2019, 13:07 door Anoniem
Door Tha Cleaner:
"Desalniettemin is honderd procent informatieveiligheid niet te garanderen", aldus de provincie.

Misschien moeten ze even vaker bij Security.nl langs komen? https://www.security.nl/posting/621417/Microsoft%3A+MFA+voorkomt+99%2C9+procent+van+aanvallen+op+accounts


Maar voor dit soort bedrijven zou MFA al standaard moeten zijn voor externe toegang.
Het is in juni gebeurt en jij komt met een artikel van een dag geleden. En dan een sneer geven, dat ze dit forum maar moeten lezen? Je past volledig binnen de negatieve punten groep op dit forum!
22-08-2019, 14:32 door Tha Cleaner
Door Anoniem:
Door Tha Cleaner:
"Desalniettemin is honderd procent informatieveiligheid niet te garanderen", aldus de provincie.

Misschien moeten ze even vaker bij Security.nl langs komen? https://www.security.nl/posting/621417/Microsoft%3A+MFA+voorkomt+99%2C9+procent+van+aanvallen+op+accounts


Maar voor dit soort bedrijven zou MFA al standaard moeten zijn voor externe toegang.
Het is in juni gebeurt en jij komt met een artikel van een dag geleden. En dan een sneer geven, dat ze dit forum maar moeten lezen? Je past volledig binnen de negatieve punten groep op dit forum!

Ik roep ook maar even iets met standaard best practises, gezond verstand gebruiken, security inplace. Dit had men met een beetje technische kennis al jaren geleden kunnen bedenken, dus ruim voor de phishing aanval.
Wie biedt e-mail nu zonder een MFA-techniek aan op het Internet? Zeker bij dit soort organisaties? De MFA-techniek is niet echt nieuw. Het bestaat al jaren. Een beetje professioneel securitybeleid mag je wel verwachten bij dit soort organisaties. Dit is gewoon een hele grote #fail.
Dus ongeacht dit artikel loopt men jaren achter op security toepassingen. Dit is echt heel basic security beleid.


Om even je eigen opmerking aan te halen: Je past volledig binnen de negatieve punten groep op dit forum.
22-08-2019, 14:47 door Bitwiper - Bijgewerkt: 22-08-2019, 14:48
Door Anoniem: @Bitwiper, maar MFA helpt dus wel in veel gevallen om dit te voorkomen. Hoe vaak komt het nou voor dat een aanvaller de extra code weet te bemachtigen? Het zal vast wel eens voorkomen, maar niet zovaak.
Niet zovaak omdat MFA nog weinig wordt gebruikt.

Wanneer leren we nou eens van het verleden dat cybercriminelen zich altijd aanpassen zodra hun vangst te klein wordt? Nee, we gaan gewoon door met het ontwerpen en implementeren van schijnbeveiligingsmaatregelen die het gebruikers veel moeilijker maken, en cybercriminelen nauwelijks. Denk je nou echt dat het voor een phisher zoveel moeilijker is om, bij het klonen van een website met loginpagina, dat tweede-factor veldje toe te voegen, en, zodra alle gegevens zijn ingevoerd, er meteen misbruik van te maken?

Waar MFA verplicht is, gebeurt dat ook al (voorbeeld: https://www.security.nl/posting/568113/MijnOverheid-phishingsite+maakte+ook+2-factorauthenticatie+buit).

MFA is een farce als alle factoren (wachtwoord en bijv. TOTP) op dezelfde website -die fake kan zijn- worden ingevoerd.
22-08-2019, 16:20 door Tha Cleaner
Door Bitwiper:
Door Anoniem: @Bitwiper, maar MFA helpt dus wel in veel gevallen om dit te voorkomen. Hoe vaak komt het nou voor dat een aanvaller de extra code weet te bemachtigen? Het zal vast wel eens voorkomen, maar niet zovaak.
Niet zovaak omdat MFA nog weinig wordt gebruikt.

Wanneer leren we nou eens van het verleden dat cybercriminelen zich altijd aanpassen zodra hun vangst te klein wordt?
Als je echt wilt, komt kan je inderdaad MFA misbruiken. Maar zoals bij veel beveiligingen..... zorg er voor dat het bij de buren gemakkelijker is. De meeste phishing aanvallen doen het met een bepaalde achtergrond. Het moet snel en gemakkelijk zijn.
Ben jij te lastig, dan gaan we naar een andere toe.

Is MFA dus perfect? Absoluut niet, maar het is wel heel erg effectief.

Het is net als bij op vakantie gaan. Zorg er voor dat er licht aan gaat, post niet in het zicht blijft liggen. Dit maakt allemaal niet uit voor een professionele inbreker, maar voor de gelegenheidsinbrekers (wat de meeste zijn), werkt dit wel heel goed.

Maar het is wel heel effectief.


Nee, we gaan gewoon door met het ontwerpen en implementeren van schijnbeveiligingsmaatregelen die het gebruikers veel moeilijker maken, en cybercriminelen nauwelijks. Denk je nou echt dat het voor een phisher zoveel moeilijker is om, bij het klonen van een website met loginpagina, dat tweede-factor veldje toe te voegen, en, zodra alle gegevens zijn ingevoerd, er meteen misbruik van te maken?
Daarom werken push notifications al beter dan codes. En het is een kwestie van tijd, dat in de push notificatie bijvoorbeeld de website vermeld wordt.
Ben je er dan, Nee wat ook dit kan misbruikt worden.

Zo zijn er eventueel nog meer mogelijkheden, Trusted devices analyse, of locatie afhankelijkheden die je er aan kan toevoegen.

Ik zie MFA als een redelijk gemakkelijk te implementeren oplossing die heel erg effectief is, maar zeker niet de holy grail.
22-08-2019, 16:27 door Bitwiper - Bijgewerkt: 22-08-2019, 16:29
@Tha Cleaner: maar MFA geeft rompslomp (zoals smartphone vergeten/stuk, accu leeg, en als er gebruikers zonder smartphone zijn, kelderen we naar SMS) en het zal steeds minder effectief blijken. Google: phishing page 2fa 2019 of kijk meteen naar tools als Modlishka.

Geloof niet wat Microsoft zegt. 640KB was genoeg, SPF zou spam stoppen en nu gaat MFA de wereld (ahum hun cloud producten) redden - NOT.

Gebruikers die klagen dat al die beveiligingsmaatregelen, die we ze door de strot douwen, niet werken, hebben gelijk.
22-08-2019, 21:11 door karma4
Door Bitwiper: ...MFA is een farce als alle factoren (wachtwoord en bijv. TOTP) op dezelfde website -die fake kan zijn- worden ingevoerd.
MFA is een mogelijkheid uit :
- iets wat je weet bijvooreeld een password
- iets wat je bezit, zo'n apart apparaatje
- wat je bent vinger/gezichts scan
- hoe je je gedraagt, denk aan keystroke dynamics

Je ziet de foute gedachte dat het herhaald vaker implementeren van iets dat je weet een MFA implementatie is.
Het is dan nog steeds een enkele factor, namelijk de ene … iets wat je weet.
Zelf juristen gaan daar volledig nat mee met ook op kostenbesparing. Wettelijk verpliciht mfa voor een zaak betekenen zou zijn aanwezig zijn in een gebouw en dat je op een apparaat in het bebouw ingelogd zou kunnen zijn. Ter zijde gelegd door de HR.
23-08-2019, 09:31 door Anoniem
Door Bitwiper: MFA helpt onvoldoende bij goed voorbereide aanvallers. Als de aanvaller (feitelijk een MitM) zowel de gebruikersnaam, wachtwoord als de tweede-factor-code doorzet naar de echte website, is zij binnen en kan 100% in naam van de eigenaar van het e-mail account een heleboel nieuwe phishing- en/of "CEO-fraude" mails verzenden en wellicht "password resets" op andere accounts van de eigenaar uitvoeren (grappen als SPF, DKIM en DMARC gaan je dan natuurlijk ook niet meer redden).

Het enige dat MFA in deze situatie weet te voorkomen is dat de aanvaller, na uitloggen, opnieuw kan inloggen. Zolang de aanvaller niet uitlogt of geforceerd wordt uitgelogd, kan zij haar gang gaan.

het verschil is dat ongeveer 80% geen goed 'voorbereidde' aanvallen zijn maar gescripte O365 logins waar de credentials worden gebruikt in Nigeria om 'via webmail' in te loggen. Probeer dat nou eens met MFA.Dan werkt het dus wel.

De eerder genoemde lijst is veel interessanter; ik wil niet/doe niet / ga niet / BoD wil niet / gebruikers organisatie wil niet...etc.Als er geen commitment is vanuit het management wordt het veel meer een uitdaging.

Over Google 2FA; Het security team van google werkt al jaren samen met Yubikey. Uiteindelijk hebben ze zelf maar een Titan ontworpen. Kort en goed: ze hebben geen phishing aanval meer gehad sinds die tijd (claimen ze :) )

samenvattend: natuurlijk is mfa geen holy grail. Nee het helpt niet tegen alles. nee het is niet heilig. De vraag is of jij de investering in MFA waard vind om je laaghangend ftuit te beschermen. Ik denk zelf dat het niet alleen de moeite waard is, maar dat het noodzakelijk is.

Eminus
23-08-2019, 12:22 door Tha Cleaner
Door Bitwiper: @Tha Cleaner: maar MFA geeft rompslomp (zoals smartphone vergeten/stuk, accu leeg, en als er gebruikers zonder smartphone zijn, kelderen we naar SMS) en het zal steeds minder effectief blijken. Google: phishing page 2fa 2019 of kijk meteen naar tools als Modlishka.
Het werkt ook niet tegen gerichte aanvallen door bijvoorbeeld Modlishka. Maar de meeste aanvallen zijn niet gericht en is gewoon schieten met een kanon naar zoveel mogelijk gebruikers. Er zijn er altijd wel een paar die er intrappen.
MFA werkt ook heel goed tegen hergebruikt van wachtwoord en password spraying. Het lost dat probleem in 1 keer bijna volledig op. En werkt dus zeer effectief.
Nadelen zijn er inderdaad helaas ook. Het is inderdaad een extra rompslomp, maar de rompslomp is een stuk minder, dan als het fout gaat. De meeste aanvallen kunnen zeer gemakkelijk gestopt worden met een standaard MFA oplossing.

Geloof niet wat Microsoft zegt. 640KB was genoeg, SPF zou spam stoppen en nu gaat MFA de wereld (ahum hun cloud producten) redden - NOT.
Tja.... MFA gaat de wereld ook niet redden. Het maakt de wereld wel een stuk veiliger.

Gebruikers die klagen dat al die beveiligingsmaatregelen, die we ze door de strot douwen, niet werken, hebben gelijk.
Daarom moet je de keuzes ook goed uitleggen en goed implementeren. Daar gaat het bij de meeste implementaties fout. Met het gevolg, zeurende gebruikers.
23-08-2019, 18:13 door karma4 - Bijgewerkt: 23-08-2019, 18:18
Door Bitwiper:
Geloof niet wat Microsoft zegt. 640KB was genoeg, SPF zou spam stoppen en nu gaat MFA de wereld (ahum hun cloud producten) redden - NOT.

Gebruikers die klagen dat al die beveiligingsmaatregelen, die we ze door de strot douwen, niet werken, hebben gelijk.

1 -> gebruikers die klagen dat beveiliging niet werkt hebben ongelijk. Wat ze echt zeggen is dat het te hinderlijk en omslachtig is. Luisteren naar wat er bedoeld wordt en voorbijgaan aan de exacte woorden is een vak.
Als je het echte probleem kent kun je het ook aanpakken in plaats van een strijd te gaan voeren.

2 -> Met die 640 kb uitspraak aanhalen zeg je meer iets over je zelf dan over waarheidsbevinding.
Microsoft is en was geen chipontwerpen dat waren Motorola IBM Intel en wat anderen. Motorola en IBM zijn uit die markt. Je kunt ook beweren dat stave JOBs gezegd heeft dat 64KB (apple II) wel voor iedereen voldoet.
Het was IBM die de met "de pc" kwam. Het was L.Ellison die met de boodschap kwam dat de 640 kb green gebroken was. Het was de marketing aanpak dat ze geen DBMS voor MS-DOS konden maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.