CASE: LEAKED PHISHING CREDENTIALS (ZOOM)

Geschreven op 01 jul 2021 door Joris van de Vis, bijgewerkt op 09 dec 2024 door Serena de Pater

De zaak

Eind november 2020 lanceerden criminelen een phishingcampagne die uitnodigingen voor Zoom-berichten en meldingen over e-mailquarantaine nabootste. Deze campagne werd gemeld op Twitter door TheAnalyst.

De impact

Tijdens het onderzoek naar deze specifieke phishingcampagne ontdekte Bauke Gehem van het Summa College dat de phishinginfrastructuur van de criminelen onvoldoende beveiligd was. Dit gebrek aan beveiliging leidde tot de blootstelling van buitgemaakte gebruikersnamen en wachtwoorden via onbeveiligde mappen. Als gevolg hiervan ontving DIVD CSIRT, in samenwerking met een partner CERT, het Nederlandse deel van de buitgemaakte inloggegevens om potentiële slachtoffers op de hoogte te stellen.

Wat we deden

Na een interne discussie concludeerden we dat de slachtoffers van de aanval geïnformeerd moesten worden. We zijn intern begonnen met het verwerken van de gegevens om ons voor te bereiden op het op de hoogte stellen van de slachtoffers en hen te voorzien van aanvullende begeleiding over hoe ze verder moesten handelen. Omdat we het Nederlandse deel van de gegevens hadden ontvangen, besloten we de e-mails zowel in het Nederlands als in het Engels te schrijven. Op 1 januari 2021 stuurden we e-mailberichten naar de slachtoffers van de phishingcampagne. In totaal werden 370 e-mails verzonden.

Aangezien er geen nieuwe informatie was en de slachtoffers waren geïnformeerd, werd de zaak gesloten nadat de e-mails waren verzonden. De betrokken onderzoekers verwijderden hun lokale gegevens en alleen het schrijven van het rapport moest nog worden voltooid. Dit proces werd in juni 2021 afgerond.