image

Inspectie SZW waarschuwt voor malafide e-mails met Excel-bijlage

maandag 29 juni 2020, 14:39 door Redactie, 14 reacties

De Inspectie Sociale Zaken en Werkgelegenheid (SZW) waarschuwt internetgebruikers voor malafide e-mails die uit naam van de organisatie worden verstuurd en een Excel-bijlage met kwaadaardige macro bevatten. De e-mail heeft als onderwerp "Tweede kennisgeving - Onderzoek is gestart" en stelt dat er vanaf volgende maand verdere actie zal worden ondernomen tegen het bedrijf van de ontvanger.

Aanleiding is een klacht over een bedrijf betreffende een "schending van het arbeidsrecht tijdens een crisisperiode." Vervolgens worden mogelijke sancties genoemd waar het bedrijf mee te maken kan krijgen, zoals een klacht bij de officier van justitie en een mogelijke civiele rechtszaak. "De klacht en onderzoeksgegevens zijn bij dit bericht gevoegd. Lees alstublieft de bijgevoegde documenten en reageer dienovereenkomstig. We hebben de bewerkte klachten en de exacte beschuldigingen opgenomen", zo laat de e-mail verder weten. De aanvallers maken in de e-mail gebruik van verschillende klachtnummers, tijden en kennisgevingsnummers.

De Inspectie SZW waarschuwt via de eigen website en Twitter voor de malafide e-mail. "Let op! Er gaan phishingmails van de ‘Inspectie SZW' rond. Niet openen! Bekijk de voorbeelden op deze pagina. Heeft u het bestand per ongeluk toch geopend? Laat uw computer dan controleren op malware", aldus het advies. De Excel-bijlage bevat een kwaadaardige macro, die wanneer ingeschakeld door de gebruiker malware op de computer installeert. Op het moment van schrijven werd het Excel-bestand door acht van de zestig virusscanners op VirusTotal herkend.

Image

Reacties (14)
29-06-2020, 15:00 door Anoniem
En daarom moet je dus gewoon niks per email doen. Stuur maar een brief...
29-06-2020, 15:36 door Placebo
IOC's:
mail;klacht26@inspectieszw[.]eu[.]com
mail_subject;Tweede kennisgeving (QSBV2P) - Onderzoek is gestart

file;Tweede kennisgeving - klacht juni 2020 2.xls|e4eacfd79ef2edef4356c270093c70773ef808ae810f5a0ebfb321521c9e2b6f

2 stage (Avaddon Ransomware)
domain;itsmeyourfriendhi[.]ga
ip;101[.]99[.]75[.]31
url;hxxp://itsmeyourfriendhi[.]ga/1[.]exe
file;1.bin|982d910b04625e284fc6ff5217f6708433af0939d6ac2301cd88ceea3e362b87

Sandboxes
xls
https://app.any.run/tasks/1077f681-1dce-4232-a044-1d31f7b56a5f
exe 2 stage:
https://app.any.run/tasks/093217c2-d209-4c29-a921-48deadb2b89d
https://analyze.intezer.com/#/analyses/44b34335-98a4-4d2e-aa4c-a424e4961f92
29-06-2020, 15:37 door Anoniem
Door Anoniem: En daarom moet je dus gewoon niks per email doen. Stuur maar een brief...
En die worden niet vervalst? Of komen die direct aan bij de ontvanger?
29-06-2020, 16:31 door Placebo
Nieuwe 2 stage:
sha256;33ad6d9b5b5f9f796a778cefa9aeeea7809534f8aa56ff09acb250bdf6b0e194

https://app.any.run/tasks/5ea9e620-5511-428b-9c08-37cb47ce68bb
https://analyze.intezer.com/#/analyses/c9857a38-579c-4650-9fe6-0a23b7a468bc
29-06-2020, 20:24 door Ron625
Overheden zijn verplicht te communiceren in door het forumstandaardisatie goedgekeurde openstandaarden.
XLS en XLSx zijn dus niet toegestaan, evenals DOC en DOCx, enz.
Hieraan kan je het dus ook herkennen.
29-06-2020, 22:11 door Anoniem
Door Ron625: Overheden zijn verplicht te communiceren in door het forumstandaardisatie goedgekeurde openstandaarden.
XLS en XLSx zijn dus niet toegestaan, evenals DOC en DOCx, enz.
Hieraan kan je het dus ook herkennen.
Afzien eigenlijk altijd xlsx gebruikt wordt.
Dit willen de eind gebruikers namelijk, want dit snappen ze. Stuur je wat anders, krijg je de vraag of je het als excel bestand kunt mailen.
29-06-2020, 22:20 door linux4
Door Ron625: Overheden zijn verplicht te communiceren in door het forumstandaardisatie goedgekeurde openstandaarden.
XLS en XLSx zijn dus niet toegestaan, evenals DOC en DOCx, enz.
Hieraan kan je het dus ook herkennen.

Weten de slachtoffers niet. Vanaf de lagere school hebben ze nooit anders gehoord dan over Microsoft Word, Excel en PowerPoint. Word document, Excel sheet, PowerPoint presentatie. Hoezo Microsoft indoctrinatie.
Dacht je nou echt dat ze over Open Standaarden iets weten?
29-06-2020, 22:24 door Ron625
Door linux4:Dacht je nou echt dat ze over Open Standaarden iets weten?
Iedere Nederlander wordt geacht de wet te kennen, maar dit weten helaas veel te weinig mensen zelfs de meeste ambtenaren weten het niet.
30-06-2020, 00:20 door Briolet - Bijgewerkt: 30-06-2020, 00:21
Door Ron625:
Door linux4:Dacht je nou echt dat ze over Open Standaarden iets weten?
Iedere Nederlander wordt geacht de wet te kennen, maar dit weten helaas veel te weinig mensen zelfs de meeste ambtenaren weten het niet.

En hoe realistisch is het dat iedereen alle wetten kent? Kijk eens hoeveel wetten jaarlijks aangepast worden. Een fractie daarvan haalt het nieuws. Ik denk dat niemand alle wetten kent. Je hebt er een dagtaak aan om dat bij te houden. Zelfs de experts zullen alleen de wetten op hun vakgebied goed kennen.

Het is beter om gewoon naar de afzender van de mail te kijken. In 95% van de gevallen klopt die niet. En bij de resterende 5% wordt die mail niet afgeleverd als het vervalste domein dmarc gebruikt (wat bij overheids mailadressen verplicht is) en de ontvanger een fasoenlijke provider heeft die spoofing ook blokkeert.

Jammer dat ze bij de voorbeelden weer niet laten zien wie de afzender is.
30-06-2020, 10:16 door jh81
ik krijg m net binnen :)

afkomst: klacht81@szw.cn.com

Nuja dan weet je ook wel weer genoeg..
30-06-2020, 11:21 door Anoniem
Gaan we weer... wat heb je aan echtheids waarmerken als het gros er niet naar kijkt. E-mail is niet veilig en dat wordt het ook niet. We kunnen gebruikers willen beschermen tegen dit soort onzin, maar het is beter dat de gebruikers hun eigen immuunsysteem trainen tegen dit soort aanvallen. Spamfilters moeten daarom niet te goed zijn. Ze moeten af en toe wat spam doorlaten zodat de gebruikers zelf alert blijven.
30-06-2020, 18:00 door Anoniem
Door Anoniem: Gaan we weer... wat heb je aan echtheids waarmerken als het gros er niet naar kijkt. E-mail is niet veilig en dat wordt het ook niet. We kunnen gebruikers willen beschermen tegen dit soort onzin, maar het is beter dat de gebruikers hun eigen immuunsysteem trainen tegen dit soort aanvallen. Spamfilters moeten daarom niet te goed zijn. Ze moeten af en toe wat spam doorlaten zodat de gebruikers zelf alert blijven.
Gewone post heeft ook last van exact dezelfde problemen.
01-07-2020, 18:16 door Anoniem
Sowieso een goed idee om alle e-mailbijlagen even met Virustotal te scannen. Als u een onverwachte e-mail met bijlage ontvangt, mag u gerust één of twee dagen wachten alvorens u de bijlage met Virustotal scant. De scan zal dan betrouwbaarder zijn! Voor degenen die dit nog nooit gedaan hebben: probeer het eens met een willekeurig bestand. Wijst zichzelf. Bij e-mails die u wel verwacht, raad ik aan de bijlagen tenminste met uw eigen virusscanner te controleren. Werkt meestal met rechtsklikken en "Scannen met ... antivirus" te kiezen.
02-07-2020, 09:23 door Anoniem
Door Anoniem: Gaan we weer... wat heb je aan echtheids waarmerken als het gros er niet naar kijkt. E-mail is niet veilig en dat wordt het ook niet. We kunnen gebruikers willen beschermen tegen dit soort onzin, maar het is beter dat de gebruikers hun eigen immuunsysteem trainen tegen dit soort aanvallen. Spamfilters moeten daarom niet te goed zijn. Ze moeten af en toe wat spam doorlaten zodat de gebruikers zelf alert blijven.

Hoe zie je het voor je om het imuunsysteem te trainen van mensen oftewel de awareness crieeren bij deze personen? Een goede phishing is triggered het emotioneel bewustzijn van een mens, een call-to-action, er hangt een bepaalde druk om toch te klikken of te openen. Dit komt door dat 99% van de mensen keuzes maken vanuit het emotioneel aspect.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.