image

E-mailaccount gemeente Nieuwegein gekaapt via phishingmail

donderdag 30 december 2021, 11:59 door Redactie, 7 reacties

Aanvallers zijn erin geslaagd om een e-mailaccount van de gemeente Nieuwegein te kapen en vervolgens te gebruik voor het versturen van spam. Dat laat burgemeester Frans Backhuijs in een brief aan de gemeenteraad weten. Onlangs ontving een gemeentemedewerker een phishingmail en opende de link in het bericht en vulde zijn gegevens in op de phishingsite.

Zodoende kon het account worden overgenomen. Vervolgens werd het gekaapte account gebruikt voor het versturen van spam. "Hoewel de gevolgen door snel handelen van onze ict-afdeling beperkt zijn gebleven tot die betreffende mailbox en onze systemen niet verder zijn gecorrumpeerd, heeft een dergelijk incident wel altijd vervelende gevolgen voor het ontvangen van onze mails", stelt Backhuijs.

De burgemeester waarschuwt dat door het incident er een kans is dat email van de gemeente eerder als spam wordt beschouwd. "Dit komt omdat spamfilters gedigitaliseerd reageren op dit type incidenten en de gemeente Nieuwegein als afzender na dit incident opnieuw moet stijgen in de betrouwbaarheidsrating", gaat Backhuijs verder. "Dit kan afhankelijk van het type filter tot een maand na dato duren." Er wordt dan ook aangeraden om vaker dan gebruikelijk de spambox te controleren op e-mails afkomstig van het nieuwegein.nl-domein.< /p>

Reacties (7)
30-12-2021, 14:11 door Briolet
En daarom moet je ook een laag quotum op het dagelijks aantal te versturen mail zetten. Bij ons is het standaard 25 stuks per dag. Mensen die uit hoofde van hun functie meer moeten versturen kunnen een hoger quotum krijgen.
30-12-2021, 15:11 door Erik van Straten
Door Briolet: En daarom moet je ook een laag quotum op het dagelijks aantal te versturen mail zetten. Bij ons is het standaard 25 stuks per dag. Mensen die uit hoofde van hun functie meer moeten versturen kunnen een hoger quotum krijgen.
Dat klinkt als een redelijke maatregel, maar als het account van iemand met een groot quotum wordt gekaapt, schiet je er nog niet veel mee op.

Een systeem waarbij iedereen een laag quotum heeft en waarbij medewerkers die veel mails willen versturen dat op een separaat systeem moeten aankondigen, lijkt mij safer. Of die, na hun quotum te bebben overschreden, een berichtje krijgen (bij voorkeur niet via e-mail) dat de uitgaande mails worden tegengehouden totdat zij deze, op een separaat systeem, vrijgeven voor definitieve verzending.

Overigens ben ik benieuwd of de aanvallers inzage hebben gehad in mailfolders en/of adresboek, en of dit incident voorzichtigheidshalve bij de AP is gemeld.
30-12-2021, 16:13 door Anoniem
Door Erik van Straten:
Door Briolet: En daarom moet je ook een laag quotum op het dagelijks aantal te versturen mail zetten. Bij ons is het standaard 25 stuks per dag. Mensen die uit hoofde van hun functie meer moeten versturen kunnen een hoger quotum krijgen.
Dat klinkt als een redelijke maatregel, maar als het account van iemand met een groot quotum wordt gekaapt, schiet je er nog niet veel mee op.

Een systeem waarbij iedereen een laag quotum heeft en waarbij medewerkers die veel mails willen versturen dat op een separaat systeem moeten aankondigen, lijkt mij safer. Of die, na hun quotum te bebben overschreden, een berichtje krijgen (bij voorkeur niet via e-mail) dat de uitgaande mails worden tegengehouden totdat zij deze, op een separaat systeem, vrijgeven voor definitieve verzending.

Overigens ben ik benieuwd of de aanvallers inzage hebben gehad in mailfolders en/of adresboek, en of dit incident voorzichtigheidshalve bij de AP is gemeld.
Eens mee het instellen van een quotum alleen zoals Briolet stelt is een beginsel maar het kijken naar verzend trends is ook belangrijk. We monitoren zelf een gemiddeld verzending per dag, week, maand op account basis als deze te veel afwijkt wordt er een alert gemaakt met verzoek tot audit en de zending in quarantaine geplaatst. Het zelfde geldt ook voor als de ontvangende tlds afwijken. Daarnaast is de mogelijkheid tot bulksturing beperkt tot specifieke gebruikers en bij hun restructie richting specifieke domeinen en zijn bepaalde keywords geflagged alsmede bestands hashes van mense met toegang tot meer gevoelige informatie.

Wou dat het niet nodig was maar als er ongein gebeurt in je infra door buitenstaanders of onvoorzichtige, ontevreden gebruikers ben je blij dat je het binnen de muren zoveel mogelijk houdt.

Niet eerste keer dat Nieuwegein hiervoor in beeld komt trouwens. Hier hun eigen overzicht.
https://www.nieuwegein.nl/privacystatement/register-van-datalekken
30-12-2021, 22:29 door Anoniem
"Er wordt dan ook aangeraden om vaker dan gebruikelijk de spambox te controleren op e-mails afkomstig van het nieuwegein.nl-domein."

Alle aanvallers zien hier natuurlijk meteen kans om vooral nu spam te sturen op die domeinnaam, want die ga je dan openen.
Auw. Dat was dus een slechte tip! Vooral dus niet opvolgen.

Als eigenaar van een domein kun je spamfilters ook weer vragen van die denylists af te komen. Volgens mx-toolbox staan ze overigens helemaal nergens op, dus dat scheelt ;).
31-12-2021, 00:30 door Anoniem
En daarom stel ik rspamd in om uitgaande emails te controleren.
Komt je email in de + zone dan wordt dexe gelogged.
Bij meer +en automatisch al subject rewrite, en vervolgens een ban.
31-12-2021, 08:19 door Anoniem
Waarom geen MFA?
04-01-2022, 12:43 door Anoniem
Door Anoniem: Waarom geen MFA?
Inderdaad, wat was hier de oorzaak? Ontbrak het aan MFA bij externe toegang tot e-mail? Dan kun je erop wachten dat dit gebeurt. In de berichtgeving is hierover niets te vinden. Zijn er maatregelen genomen in dit in de toekomst te voorkomen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.