Inspectie SZW waarschuwt voor phishingmail met malwarebijlage

De Inspectie Sociale Zaken en Werkgelegenheid waarschuwt voor spamberichten die uit naam van de dienst worden verstuurd. De phishingmail ziet eruit als een waarschuwing over een onderzoek. In de bijlage zit een Excel-bestand met malware erin.

De e-mail wordt verstuurd uit naam van de SZW naar wat een grote groep ontvangers lijkt, en is in relatief goed Nederlands geschreven. Het onderwerp van het bericht is 'Tweede kennisgeving - onderzoek is gestart'. De e-mail pretendeert afkomstig te zijn van de inspectiedienst en stelt dat er een onderzoek wordt ingesteld naar 'het bedrijf van de ontvanger'.

Het onderzoek zou zich richten op 'een schending van het arbeidsrecht tijdens een crisisperiode'. De gebruiker kan de exacte klacht en de contactgegevens van de klager zogenaamd zien als hij de bijlage opent. In de bijlage van de mail zit een Excel-bestand dat vraagt macro's in te schakelen. Wie dat doet krijgt malware op zijn pc.

Het is niet zeker om wat voor malware het precies gaat. Volgens VirusTotal gaat het om een trojan die andere soorten malware van internet downloadt.

Het is niet duidelijk hoeveel mensen de e-mail hebben ontvangen. De Inspectie SZW waarschuwt ontvangers die niet te openen.

Inspectie SZW

Door Tijs Hofmans

Nieuwscoördinator

29-06-2020 • 19:14

41

Reacties (41)

41
41
17
2
0
14
Wijzig sortering
Even los van het feit of je wel of niet een bedrijf hebt is het al vreemd dat er in de brief geen naam genoemd wordt van jouw bedrijf.
Verder is het willekeurig openen wat Word of Excel bestanden nooit verstandig.
Waarom zou iemand (die je niet kent en vertrouwd) je iets dergelijks sturen?
Beter zou het zijn dat e-mail programma’s gewoon standaard dit soort bijlagen blokkeren en dit alleen doorlaten als je er expliciet toestemming voor hebt gegeven.
Macro’s toestaan is weer een stap verder, ook niet doen.
Ik las verder dat het om malware zou gaan, Avaddon Ransomware gaan.
Veel mensen weten gewoon niet dat zulke bestanden schadelijk kunnen. Die zien er dus geen problemen in dat er een word of excel bestand meegestuurd wordt. Ze werken er elke dag mee dus dat geeft al een extra veilig gevoel natuurlijk. Ons bedrijf is niet groot maar ik denk dat hooguit 15% in ons bedrijf het wordt macro kent maar en daarvan maar de helft weet wat het een beetje inhoud. Nu werkt ik dan ook met mensen waarvan een hoop bijna geen computer kennis heeft buiten het gedeelte wat ze moeten weten voor het werk. Denk aan problemen als dat ze bij me komen om een usb muis te installeren, toners van de printer vervangen.

Dus vanuit een normale gebruiker situatie snap ik wel dat ze het niet vreemd vinden om word documenten te openen.
Ik begrijp best dat niet iedereen expert is op dit gebied.
Hoeft ook niet als je er maar van doordrongen bent niet alles wat in je mailbox komt zomaar te openen zonder ook maar even te kijken waar het vandaan komt of wat de inhoud is.
Daarom zou het verplicht moeten worden dan mail programma’s dit soort bijlagen blokkeren om vergissingen te voorkomen.
Anti virus of anti malware programma’s zijn ook niet perfect je kunt er niet op blindvaren dat alles wel afgevangen wordt.
Het vervelende is dat je juist van dit soort organisaties wel haast kunt verwachten dat ze dit soort onhandige berichten sturen - onhandig in dat het een standaardbrief is en onhandig in dat het een office bestand als bijlage gebruikt. Het zijn juist diverse grote en / of ambtelijke organisaties die doodgemoedereerd op hun eigen manier door hobbelen, zonder dat de logica van de buitenwereld (waaronder phishing risico's) tot ze doordringt. Dus tja.. wat moet je hiermee. (Héél slim: gegevens van uw contactpersoon ook in de bijlage..)

Wat dat betreft zou het best per wet geregeld mogen worden dat een bijlage, m.u.v. enkele veilige formaten, door de ontvanger van email altijd zonder consequenties genegeerd mag worden.
Er zijn geen veilige formaten. PDF is het beste wat we hebben voor documenten, maar helaas is met name Adobe Reader één grote gatenkaas.
Beter zou het zijn dat e-mail programma’s gewoon standaard dit soort bijlagen blokkeren en dit alleen doorlaten als je er expliciet toestemming voor hebt gegeven.
Hoe stel je dit voor in de praktijk?
Wij hebben soms het probleem dat wij er geen mail met Word door sommige spamfilters krijgen, terwijl het een legitiem bestand is.
Bij bedrijven kan dit via een tussenstap.
Bijlagen van e-mails worden in quarantaine gezet, je kunt dan zelf besluiten om deze te laten vrijgeven.
Dit is niet nieuw maar bestaat al jaren.
Bij gewone privé e-mail werkt dit niet en ben je afhankelijk van het e-mail programma.
Zelf heb ik ook de desbetreffende mail met bijlage ontvangen. De Macro uit Excel maakt verbinding met IP 101.99.75.31, of domein itsmeyourfriendhi.ga. Hier is de sandbox link te vinden.
Misschien moet Rutte eens een persconferentie houden, dat overheid/bedrijven dit soort dingen nooit via mail, maar via post doen.
Er zijn al genoeg van dat soort campagnes geweest. Maar blijkbaar vaak tegen dovemansoren gericht.
Eigelijk is dat ook BS.

Dit soort dingen zijn perfect mogelijk via email.

Het wordt eens tijd dat men stricter wordt met SPF, DKIM & DMARC.
Het wordt eens tijd dat men stricter wordt met SPF, DKIM & DMARC.
Dat gebeurt nu al steeds meer toch?
Nog niet genoeg. Men kan het pas op superstrikt zetten als iedereen het aan heeft staan.

En dan zitten we nog met het probleem van server hackers die spam versturen via legitieme servers.
En dan komt er een mailtje binnen dat ze hun policy veranderd hebben en dat ze dat wel via de mail doen. Zie excel bijlage voor de toelichting
UWV doet dit wel degelijk via mail, maar dan de berichtenbox van mijn overheid.
Er zijn landen waar informatie veelvuldig via tv programma's wordt gedeeld. In Nederland kijken we echter liever naar stellen die vreemdgaan, boeren die vrouwen zoeken en ruziënde bromsnorren.

Zelfs een SIRE spotje helpt hier niet tegen...
Anoniem: 310408 @sypie29 juni 2020 19:49
Er zijn landen waar informatie veelvuldig via tv programma's wordt gedeeld. In Nederland kijken we echter liever naar stellen die vreemdgaan, boeren die vrouwen zoeken en ruziënde bromsnorren.
En in die landen klikken gebruikers minder op links naar .docx?

Overigens doen banken en de overheid dit met regelmaat via de STER or andere reclamemedia maar blijkbaar kijk jij niet veel TV omdat er teveel programma's zijn over stellen die vreemdgaan, boeren die vrouwen zoeken en ruziënde bromsnorren. Persoonlijk werd ik licht aggressief van Hang op! Klik weg! Bel uw bank!

[Reactie gewijzigd door Anoniem: 310408 op 26 juli 2024 03:20]

TV kijken doe ik in ieder geval niet genoeg om er een apart abonnement voor aan te schaffen, behalve via een app. Reclames zijn prima weg te zappen. Dus ja.

Of mensen in die andere landen minder op dit soort dingen klikken weet ik niet. Wat ik weet is dat er over het algemeen meer informatie gedeeld wordt met elkaar zodat iedereen op de hoogte kan zijn van hetzelfde.
Heb deze e-mail ook ontvangen, afgaande van de adressen waar de e-mail ontvangen is gaat het om e-mail adressen eindigend met .nl uit verschillende leaks bvb van LinkedIn, PDL en GeekedIn
Bij mij kwam die binnen op een email adres die op een pagina stond voor een vrijwilligers organisatie. mail adres waar ik dus deze heb ontvangen is gescraped van een website vermoedelijk door een bot
Ik heb hem ook (2x) gehad, maar mijn bedrijfsmail komt niet voor in een bekende leak, tot nu toe.
Anoniem: 310408 @Guuzz29 juni 2020 20:01
Ik heb hem ook (2x) gehad, maar mijn bedrijfsmail komt niet voor in een bekende leak, tot nu toe.
Is je bedrijfsnaam geheim dan? Datafiles van de KvK staan niet in de lijsten van leaks he.
Volgens mij gaan ze ongeveer alle domeinnamen langs. Mijn email-adres (info@....nl) zit niet in een leak, en ik heb ook geen bedrijf. Het is gewoon een privé-pagina met heel weinig bezoekers. Maar blijkbaar wel aantrekkelijk genoeg om een mail naar te sturen.
Maar dat is waarschijnlijk het nadeel van een berichtensysteem, waarbij men nagenoeg niets betaalt voor de verzending.
Even na 13:00 zag ik ze binnenstromen ja, allemaal vanuit Rusland (45.140.18.0/24).
Tja DMARC met p=none doet niet zoveel.
Als ik de mail in kwestie lees, ben ik toch blij dat ik opgelet heb tijdens de Nederlandse les 40+ jaar geleden. Hier zou ik dus nooit intuinen. Waar ik maar mee wil zeggen: alles begint met fatsoenlijk onderwijs.
Bij ons op de zaak hebben we dit ook binnen gekregen. Verstuurd vanaf een intern contact. Collega opende het dus ter goede trouw. Een groot deel van de bestanden op de server is geencrypt. Gisteren en vannacht is men bezig geweest met het herstel.

Ons backup systeem heeft ons nog nooit in de steek gelaten. Ik hoop deze keer ook niet.
Blijkbaar dus geen SPF ed ingesteld staan?
Anders hadden ze nooit de afzender kunnen faken.
Bij ons moet het altijd eerst fout gaan voordat er ergens iets aan gedaan word. Ik weet ook niet of de medewerker niet echt zelf de mail door heeft gestuurd. Zou ook nog kunnen. Twee blinde mensen is wel heftig maar het kan.
Wellicht worden ze nu wakker dat er wat aan gedaan moet worden.
Dit bevestigt dus dan het om ransomware gaat.
Het gevaar is inderdaad dat mensen te snel klikken en denken dat het een vertrouwde bijlage is.
Een overheid mag nooit een email versturen met een XLS, XLSx, DOC, DOCx, enz. als bijlage.
Dit geeft al aan, dat het nep is............
Ik ben niet bekend met deze specifieke wet, heb je een citaat?
Regel is dat communicatie open moet zijn. Weet niet of er 1 specifieke wet voor is of een hele groep wetten en regels die op hetzelfde neer komen. Als je even zoek dan zie je dat er een hoop loos is op dit gebied.

Hier bijvoorbeeld een richtlijn.

https://digitaaltoegankel...-format-moet-ik-gebruiken

Op 23 september 2020 treed nieuwe wetgeving in werking volgens https://digitaaltoegankelijk.pleio.nl/

In de groepen is bijvoorbeeld te vinden:
https://digitaaltoegankel...liceren-in-plaats-van-pdf

Al jaren wil de overheid naar open standaarden dus als je van de overheid een DOCX, XLSX of nog erger DOC of XLS krijgt is dat zeer verdacht.
danku @r0n625 ,

Het punt dat ik wil maken is dat de gemiddelde burger zich helemaal niet bewust is van zulke regels, die ziet gewoon een mailtje, raakt eventueel in paniek, en klikt zo snel mogelijk op die bijlage om meer te weten te komen.
Met een pagina van de interne regels die ergens in een hoekje van een website zit waar je uberhaubt nooit op komt als je niet het specifieke doel heb om daar heen te gaan, maak je geen landelijk bewustzijn mee.
Met een pagina van de interne regels die ergens in een hoekje van een website zit waar je uberhaubt nooit op komt
Het staat op (bijna ?) alle overheids-websites, en ook op ondersteunende sites, zoals v.b. de sites van Logius en van de VNG.
Daarnaast heeft het ook een aantal jaren geleden in de Staatscourant gestaan, en 24 uur na publicatie in de Staatscourant is het een wet geworden.
De zienswijze was altijd, dat er geprobeerd werd, om met argumenten te sturen, zodat iedereen zich daar aan zou houden, omdat dwang averechts kan werken.
Maar m.i.v. 23 september a.s. (dacht ik) kan er ook opgetreden worden.

Edit: Datum aangepast.

[Reactie gewijzigd door r0n625 op 26 juli 2024 03:20]

Ik ben niet bekend met deze specifieke wet, heb je een citaat?
https://www.digitaleoverh...disatie/open-standaarden/

Op dit item kan niet meer gereageerd worden.