Gemeente Ede meldt dat 43.000 phishingmails zijn verstuurd via ambtenaarsaccount

Via een account van een ambtenaar van de gemeente Ede zijn binnen een bestek van enkele uren meer dan 43.000 phishingmails verzonden, zo waarschuwt de gemeente. Criminelen wisten recent de inloggegevens van de medewerker te bemachtigen.

In de zes uur van de phishingaanval stond de teller wat betreft verzonden frauduleuze e-mails op 43.194, meldt De Gelderlander. Van de berichten zijn 709 e-mails naar interne gemeente-adressen verstuurd, de rest naar overige ontvangers. Die krijgen in de mail een link te zien die naar een inlogpagina van de gemeente lijkt te verwijzen, maar die in feite een nagemaakte site van de criminelen is.

Omdat de mail afkomstig is van een @ede.nl-adres, is het risico dat ontvangers denken dat het om een legitieme mail van de gemeente gaat. Volgens de gemeente staat in het phishingbericht dat een Outlook-mailbox vol zit en dient te worden bijgewerkt, waarbij onderaan het bericht 'IT Services Helpdesk’ staat. Ede adviseert burgers de mail te verwijderen en raadt mensen die al op de link hebben geklikt en hun gegevens op de phishingsite hebben ingevuld aan hun wachtwoord te wijzigen.

Criminelen kregen eerder deze week toegang tot het account van een gemeente-medewerker via een nepmail waarmee ze de inloggegevens in handen wisten te krijgen. De gemeente blokkeerde daarop het postvak, maar kon niet voorkomen dat er in de tussenliggende uren duizenden mails werden verstuurd naar willekeurige adressen. Deskundigen onderzoeken de zaak verder en de gemeente heeft deze gemeld bij de Autoriteit Persoonsgegevens.

Reacties (90)

Ubartu 19 november 2021 14:52

Ik snap oprecht niet waarom zo veel organisaties liggen te slapen en verzuimen om MFA in te schakelen. Relatief kleine handeling, kost niets anders dan wat extra support, maar voorkomt wel dit soort ellende.

laurens0619 @Ubartu • 19 november 2021 15:00

Het voorkomt de oudere type aanvallen, deze komen nog het meest voor dus MFA moet altijd aan.

Echter helemaal voorkomen doet het niet:
Tegenwoordig phishen ze je MFA approved sessie. MFA helpt daar niets tegen

Hoe werkt dat?
- Aanvaller zet een MITM proxy op. Die laat bv de echte login pagina zien van office 365. Die ziet er altijd 100% hetzelfde uit (want door geproxied), alleen domeinnaam wijkt af
- Slachtoffer voert credentials in en zijn MFA token (of MFA push). Dat doet een slachtoffer want hij denkt dat die op bv office 365 zit. Na inloggen ziet hij ook echt zijn webmail oid (want door geproxied). Juist door de MFA en het zien van zijn eigen data verdenkt hij geen phishing en zal er geen inc geraised worden. Bij de oude nep paginas kom je niet verder en kwamen mensen er vaak achter.
- Aanvaller zit er tussen en kan nu de http cookie stelen. Hij voert deze in zijn eigen browser in en tadaa, hij heeft een authenticated sessie, mfa approved.

Daar doet MFA dus helemaal _niets_ tegen

Als je wat meer erover wilt weten, zoek maar op Evilginx 2
https://www.youtube.com/watch?v=VcT-zyU3A7k

[Reactie gewijzigd door laurens0619 op 25 juli 2024 23:48]

maxietheboss @laurens0619 • 19 november 2021 15:41

Dit is inderdaad een zeer geavanceerde manier van phishen waar de de meeste 2FA niet tegen helpt. Eigenlijk helpt alleen een hardware FIDO2 authenticator zoals een YubiKey of SoloKey of iets anders hiertegen. Omdat het domein onderdeel uitmaakt van de authenticatie zal zo'n MITM proxy niet gaan werken, de authenticatie vind immers niet plaats op het echte domein van een Microsoft of Google pagina.

Maar zo'n key is dan weer iets wat de meeste mensen niet gebruiken als 2FA, die gaan toch nog steeds voor de SMS of authenticator app en dan ben je zeker kwetsbaar voor de geschetste aanval.

Kevinns

@maxietheboss • 19 november 2021 17:01

Ik heb zo’n key (USB-C + NFC) maar het aantal plekken waar je deze kan gebruiken is droevig laag. Zelfs voor bankieren werkt dit niet…. Erg jammer want ik vind het naast veilig ook erg makkelijk in gebruik.

closefuture @Kevinns • 19 november 2021 22:16

Meest schrijnende vind ik de slechte support van Apple voor FIDO2. Zoals gezegd is FIDO2 de enige manier waarmee je nog enigzins een kans maakt tegen phising. Echter ondersteund Apple het niet op iCloud en ook niet via NFC op de iPhone. Enkel via de lightning connector wat nou niet echt heel gebruiksvriendelijk is.

Apple staat hiermee de adoptie van FIDO2 in de weg.

[Reactie gewijzigd door closefuture op 25 juli 2024 23:48]

praseodymium @closefuture • 20 november 2021 10:41

iOS heeft al sinds iOS 13.3 (twee jaar geleden uitgekomen) ondersteuning voor FIDO2 keys met NFC: https://www.yubico.com/bl...n-expands-to-include-nfc/, https://www.macrumors.com...urity-key-support-safari/

mphilipp @laurens0619 • 19 november 2021 15:11

Aanvaller zet een MITM proxy op

Maar dan moet ie ergens inbreken lijkt mij. Hij kan toch niet zomaar een proxy opzetten waar ik op terecht kom? Dan moet ie op mijn huisnetwerk hebben ingebroken, toch?

sfc1971 @mphilipp • 19 november 2021 15:29

De "proxie" staat op het nep domain waar je naar toe gelokt bent. Dus zeg ede.nep in plaats van ede.nl

Daar draait een script, niet een standaard proxie, die jouw input doorstuurt van de nep server (ede.nep) naar ede.nl en dan het resultaat weer naar jou stuurt ondertussen slaat hij jouw authenticatie op.

Er zijn twee dingen nodig, jij moet van de phishing mail op de nep link klikken. Doe dit dus ook nooit. Krijg je een mail van de bank, dan type je zelf het adres in in de browser en klik je niet op een link. Met internationale characters kunnen er heel goed lijken false domain namen gebruikt worden.

En ede.nl, de echte server, moet natuurlijk wel verkeer toelaten van ede.nep. Dat laatste wordt te vaak genegeerd, een whitelist voorkomt een hoop, je kan alleen vanaf bekende adressen inloggen. Of een blacklist, niet vanaf niet ISP adressen buiten Nederland. (Waarom zou een medewerker van Ede via een transip server inloggen?).

ro1 @sfc1971 • 20 november 2021 06:35

Security Mind!

laurens0619 @mphilipp • 19 november 2021 15:13

De phishing link uit zn mail verwijst naar de mitm server

mphilipp @laurens0619 • 19 november 2021 15:30

Ok, precies wat ik dacht. Je moet er altijd zelf nog iets voor doen. Dat is het stukje informatie dat ik altijd mis. Er wordt dan gedaan alsof het een eitje is om ergens binnen te komen, maar het slachtoffer moet altijd zelf iets stoms doen. Nou worden die phishing mails ook wel steeds geraffineerder en als je klein beetje insider kennis hebt, kun je een mail maken die je slachtoffer ook verwacht of uit een (denkt ie) vertrouwde bron komt.

Punt is ook dat je niet eindeloos door kunt gaan met veiligheidsmaatregelen nemen. Je kunt niet voor elke mail aan iemand vragen opnieuw een code te genereren oid. Bestaat er een waterdicht systeem tegen dit soort aanvallen? Iets dat ook nog werkbaar is? En iedereen roept altijd wel in dit soort topics dat het stom is om op die phising mails te klikken. Ik deed er ook aan mee, maar ik realiseer mij dat ze steeds slimmer worden, en hoewel er nog genoeg domme mails circuleren van CJIB of de belastingdienst dat je snel moet betalen oid. Daar trap ik ook niet meer in. En die mails dat ik een prijs heb gewonnen ook niet. Maar stel nu dat men ergens bij Tweakers heeft ingebroken en mij een mail sturen dat ik een persoonlijk bericht heb. Nou heb ik de gewoonte om dat zelf naar de site te gaan, maar het kan zomaar een keer gebeuren dat je op zoiets klikt. Is dat dan dom? Ik weet het niet. Je kunt niet elke mail helemaal analyseren en elke link checken. Er is een moment dat je niets vermoed.
Nou zijn het meestal aanvallen die op grote schaal plaatsvinden en dan krijg je zaken waar ze de grootste kan van succes hebben op zoveel mogelijk mensen tegelijk. Maar als ze echt iemand willen targetten, kunnen ze heel gericht een mail sturen waarbij er geen alarmbellen gaan rinkelen, ook niet voor de security consious tweaker ben ik bang.

[edit]
Huh? Waarom is dit nou weer niet gewenst? Iemand op zijn pik getrapt ofzo? Dom censuur systeem

[Reactie gewijzigd door mphilipp op 25 juli 2024 23:48]

bzuidgeest @mphilipp • 19 november 2021 16:16

Ik werk al 20 jaar als ontwikkelaar. Je zou denken dat ik het allemaal weet en allemaal zo herken. En dat is waar voor 99.9%, maar eens in de zoveel tijd zit er tegenwoordig warempel 1 tussen met de juiste logo's formattering en (typisch een grote alarmbel) geen spellingfouten en Nederlands.

Ik ben er nog nooit ingetrapt. Gelukkig niet. Ook niet toen ze een bedrijfsinterne test deden (konden niet alle collega's zeggen), met een valse mail met bedrijfslogo etc.. Maar dat kan veranderen. 1 keer niet opletten en je bent de sjaak.

In veel gevallen denk ik ja dom als ik zie waar mensen op klikken, maar er is altijd een groep waarvan je moet concluderen dat de hints eenvoudig te missen zijn. Dat is natuurlijk ook het doel van de criminelen. Laten we blij zijn dat ze gemiddeld super slordig zijn in die phishing mails.

Vergeet ook niet dat dingen als de "grote erfenis" mails niet gericht zijn op jou en mij. Ze zijn gericht aan wanhopige toch al aan de grond zittende mensen. Die proberen wel eens wat op hoop van zegen. Misbruitk maken van het lijden van een ander. Het zal je werk maar zijn, bah zeg.

p.s. de downvote was wellicht omdat je suggereert dat zelfs de security experts hier er vatbaar voor zijn. Stel je eens voor zeg. Dat die ook menselijk zijn

mphilipp @bzuidgeest • 19 november 2021 16:32

Tsja...ik zit ook al ruim 30 jaar in de IT, alleen niet als security specialist. Dus ik vraag mij altijd af hoe zoiets ontstaat. En eigenlijk is altijd het antwoord dat mensen zelf iets moeten doen. Ergens op drukken, klikken of wat dan ook. En heel vaak mis ik dergelijke info in verhalen over hacks, inbraken, datalekken e.d. Er wordt heel vaak maar gedaan alsof het een eitje is en men zomaar overal kan inbreken. Nou weet ik ook wel dat een goede hekkerd overal in komt als ie wil. Ik ben jaren geleden (feestje ter ere van de 5de verjaardag van XS4ALL) bij een sessie van Hacking in progress geweest. Daar schrik je dan wel van... Hoe ze een online database benaderden met zwakheden van elk systeem en hoe ze daar misbruik van probeerden te maken, terwijl aan de andere kant de sysadmins naarstig probeerden hen tegen te houden. Heel leerzaam.
Nou zal denk ik de meeste phishing mails wel inderdaad te dom voor woorden zijn als je daarop klikt. Ik krijg tegenwoordig dagelijks een lading van die zut met zogenaamd berichten van Bol.com en weet ik wie die allemaal willen dat ik iets bekijk. Maar die mails gaan ongelezen weg. Mail van de bank gooi ik ook ongelezen weg. Mijn bank heeft een berichtensysteem via de app, dus ik hoef niet in de mail te kijken voor iets belangrijks. En de overheid benadert mij via de berichtenbox. Maar ja, ik sluit niet uit dat men iets kan verzinnen om mij ergens op te laten klikken. Via informatie die ze via een hack ergens hebben verkregen. Maar dat zijn toch meer targeted attacks waarbij ze niet 10.000 mensen kunne benaderen. Maar ja....ik denk dat de opbrengst misschien wel beter is. Stel dat ze de database van zo'n leenscooter dienst hacken en de leden gaan benaderen dat ze weetikveel, voor de kerst gratis 20 minuten mogen rijden ofzo. Wel even op de link klikken....hamza! Zo'n link zou zelfs ik misschien op klikken, als ik een leenscooter had.

supersnathan94 @mphilipp • 19 november 2021 15:56

Bestaat er een waterdicht systeem tegen dit soort aanvallen? Iets dat ook nog werkbaar is?

Ja. Geen e-mail gebruiken. Ik had het er toevallig net over met een vriend. Alles wat je gebruikt voor belangrijke communicatie is een aanvalstarget behalve Face to Face. Ik vertrouw links in e-mails per definitie niet en als je dan moet inloggen, doe dat dan op een client die je vertrouwd. Dus een e-mail applicatie en niet via webmail.

[Reactie gewijzigd door supersnathan94 op 25 juli 2024 23:48]

bzuidgeest @supersnathan94 • 19 november 2021 16:05

Heb je ook praktische voorstellen? Zakelijke communicatie via twitter doen?

Als je overschakelt naar iets anders schakelen de criminelen ook over. Wanneer je wereldwijd werkt en dat doe je tegenwoordig vlug. Dan is er geen vervanger voor E-mail en face-to-face totaal onpraktisch.

En zelfs face-to-face heeft problemen. Want als je de persoon nog nooit eerder hebt ontmoet dan weet je niet zeker of je niet een crimineel tegenover je hebt die doet alsof. Een van de oudste aanvallen is de face-to-face babbeltruc.

supersnathan94 @bzuidgeest • 19 november 2021 16:48

Een andere
Manier van communiceren gebruiken. Mail is leuk, maar een e-mail adres moet je gewoon beschouwen als een publiek bekend ding. De spam protectie is zo goed als de sticker op de brievenbus.

En ja face to face heeft ook zo z’n issues, maar dan ben je echt getarget als persoon wil je met zo’n babbeltruc in aanraking komen. In communicatie met collegas gebruik ik vaak Slack, ik verwacht dan ook niet zomaar een mail van hun aangezien slack sneller werkt. Mocht ik dan een mail krijgen die specifiek aan mij alleen is gericht is dat reden voor oplettendheid.

Zelfde geldt voor slack. Daar klik ik ook niet zomaar op alles. Ook slack is namelijk lek (geweest).

bzuidgeest @supersnathan94 • 19 november 2021 16:53

Ik weet niet waar jou email zat, maar mijn spam protectie functioneert uitstekend. Hoef bijna nooit iets weg te doen. Wellicht soms een keer wat uit de spam box halen.

Ooit waren spamfilters dubieuze dingen, maar tegenwoordig zie je heel goede.

Dat je met je collega's slack gebruikt prima, maar laat je een klant dat ook doen? Wellicht zijn jou klanten daar toe in staat, maar 99% communiceert gewoon via email. (Oja het is natuurlijk mogelijk dat jij niet met klanten mag praten van de baas

in dat geval zal slack wel voldoen)

supersnathan94 @bzuidgeest • 19 november 2021 19:09

Ik praat inderdaad niet rechtstreeks met “de klant” daar heb ik een PO voor. Mocht dat wel het geval zijn zal ik nooit een link openen die een klant mij toestuurt tenzij ik hem via een ander kanaal heb gesproken en heb geverifieerd dat de link daadwerkelijk van hem/haar komt. Context is ook belangrijk. Als ik iets verwacht te krijgen is het een heel ander verhaal.

EmbeddedPower @mphilipp • 19 november 2021 15:17

De proxy kan feitelijk overal staan. Deze gemeente heeft bijvoorbeeld domein ede.nl, en de aanvaller kan een ander domein maken (zeg gemeente-ede.nl) op een willekeurige server.
Vervolgens lok je de nietsvermoedende gebruiker in je mail naar gemeente-ede.nl, en je het het hierboven beschreven scenario.

fib3rlight @laurens0619 • 19 november 2021 15:29

dit is 100% waar, alleen laten we nou niet doen alsof MFA opeens zomaar te passeren is...
we moeten blijven roepen dat MFA aan moet, want in 9 van de 10 gevallen ontstaan deze gevallen nog omdat er GEEN mfa is ingeschakeld.

bzuidgeest @fib3rlight • 19 november 2021 16:18

MFA word vaak niet gebruikt als je vanuit het interne netwerk naar je email server gaat. MFA is veelal alleen voor externe toegang over het internet geconfigureerd.

Het is mogelijk dat ze de credentials die gestolen waren intern hebben gebruikt. Wellicht via de wifi of zo.

SpoekGTi @bzuidgeest • 19 november 2021 18:21

En daarom alleen managed devices op je office WiFi, al het andere trap je naar een guest lan

bzuidgeest @SpoekGTi • 22 november 2021 16:44

Klopt, maar vaak niet zo netjes geregeld.

Orangelights23 @laurens0619 • 19 november 2021 15:34

Hoewel het klopt wat je zegt, lijkt het in je verhaal alsof MFA alleen maar tegen ouderwetse aanvallen helpt en daarom dus niet relevant is. Dat is echter niet waar (volgens mij weet je het ook prima, daarom is dit meer een toevoeging). MFA is juist dé methode om het risico zeer te minimaliseren. Wat je beschrijft zijn hele gerichte acties, dan zie je dat de MITM proxy gebruikt wordt. Echter in de praktijk zie je dat de meeste aanvallers en ransomwaregroepen met 'lagere' activiteiten proberen ergens binnen te komen. Daarnaast zijn er vele andere technische controls die organisaties hebben waardoor een simpele http cookie er niet voor zorgt dat je een sessie over kunt nemen.

laurens0619 @Orangelights23 • 19 november 2021 15:52

Ow dat was zeker niet mijn bedoeling. Het doet nog heel veel tegen de oude type aanvallen, die komen nog vaak voor ja. Zal het wel nuanceren

dennisp3n @laurens0619 • 19 november 2021 15:50

Ik ben benieuwd of zoiets als dit: https://docs.paloaltonetw...-credential-phishing.html hier tegen werkt. Binnenkort eens testen als ik tijd kan vinden...

GertMenkel

Beveiliging en antivirus

@laurens0619 • 19 november 2021 17:01

Dat kan, maar het is veel makkelijker om via een stuk malware gewoon je cookies te stelen. Een reflective XSS werkt daar soms ook heel goed voor, al heb je dan niet de nodige HTTP Only cookies.

MFA voorkomt het probleem niet, maar maakt het wel lastiger. Een gelekt wachtwoord is onderhand iedereen op de wereld overkomen, en credential stuffing is een van de meestgebruikte aanvallen van het moment. MFA zou dat in elk geval tegengaan.

Een goede phishingsite of malware opzetten is altijd nog een mogelijkheid, maar het is zoveel gedoe dat het vaak niet eens de moeite waard is.

Je kunt zien dat het een ongerichte aanval was doordat de mail niets deed met het feit dat het om een overheidsdomein ging. Daarom verwacht ik dat de gerichtere, complexere aanvallen waar MFA niet tegen helpt hier niet de oorzaak zijn.

Zackito @laurens0619 • 19 november 2021 18:05

Als extra beveiliging hier tegen heeft Microsoft Identity Protection, onderdeel van Azure AD premium P2.

MFA is echt niet meer voldoende, al meegemaakt bij een klant dat de website van Office 365 getoond werd en men inloggegevens invulde.

tripkip @laurens0619 • 19 november 2021 21:51

CORS? dat helpt natuurlijk niet als de proxy client speelt en een eigen domein met SSL aanbiedt. Vergeet deze domme opmerking.

[Reactie gewijzigd door tripkip op 25 juli 2024 23:48]

laurens0619 @tripkip • 19 november 2021 22:10

Wat je kunt doen is alleen toegang toestaan tot mailbox vanaf een compliant of domain joined device. Dan valt dus webmail
Via byod weg, persoonlijk mis ik dat niet

amx @laurens0619 • 22 november 2021 12:23

klein probleem: om een MITM proxy toe te voegen moet je al toegang hebben tot of het netwerk of de host. Anders is er geen enkele reden om het verzoek te proxyen, ook niet via een foute URL.

amx @laurens0619 • 22 november 2021 13:13

Dit is juist typisch het soort aanvallen dat eenvoudig vanuit de loginserver tegen te houden is. Exchange Online Protection, en Windows Hello zijn 2 voorbeelden waarom dit niet werkt. de http cookie van de sessie van de phishing link valt direct op als er nog een eerdere sessie actief is. Dat wordt ook wel Primary Refresh Token genoemd. Als iemand Outlook op zijn telefoon heeft en ingelogd is via de O365 tenant, en ineens via een ander ip adres wordt ingelogd hoort dat direct alarmbellen af te laten gaan en kan een eerdere vertrouwde inlogsessie ineens om een wachtwoord vragen.

Het verwijderen van het wachtwoord is een ander alternatief

Risce @laurens0619 • 19 november 2021 15:16

Ik vind 'maar er zijn ook andere manieren om kwaad te doen' niet een heel goed argument om als organisatie niet op zijn minst Multifactor Authentication verplicht te maken voor dit soort accounts. Dat er dan nog steeds MITM mogelijk is maakt niet dat je niks hoeft te doen om het type aanval wat veel vaker voorkomt ('oudere') te kunnen bestrijden.

laurens0619 @Risce • 19 november 2021 15:18

Klopt maar had de gemeente ede geen mfa dan?

laurens0619 @Risce • 19 november 2021 15:35

True
mijn reactie was overigens op “mfa had dit kunnen voorkomen”. Uiteraard moet je mfa inschakelen, stopt 80% van de aanvallen

bzuidgeest @laurens0619 • 19 november 2021 16:22

Maar MFA zie ik persoonlijk over het algemeen alleen bij toegang over het internet in gebruik. Wat als ze de gestolen credentials via het gemeentehuis zijn wifi netwerk hebben gebruikt of zo of bij een interne pc. Stukje wardriving. Of hoe ze dat ook al weer noemden.

Ik kan geen bedrijf noemen dat MFA op het interne netwerk inzet. Wel soms bij de open uitgangen als wifi. Maar zelfs dat is weinig.

Risce @Operativus • 19 november 2021 16:19

Nou wat flauw zeg. Ik zal het verwijderen maar dit is nou niet echt geavanceerd geGoogle en letterlijk 15 seconden werk. Fine.

Operativus @Risce • 22 november 2021 07:53

Ik vind het persoonlijk eerder flauw om gelijk aan naming and shaming te doen. Als iemand dat wil Googlen prima, maar jij bent gewoon een beetje de boel aan het opruien. Als je mensen wil opruien dan zijn er momenteel genoeg rellen in nederland waar je aan kunt deelnemen.

Risce @Operativus • 22 november 2021 09:28

edit: -laat maar, zinloze discussie-

[Reactie gewijzigd door Risce op 25 juli 2024 23:48]

DigitalExorcist @Ubartu • 19 november 2021 15:01

MFA is één ding. Maar ook dan: tel eens het aantal mensen eens dat rücksichtslos op "Akkoord" klikken als je een 'Allow login' notificatie krijgt.

Ze zijn er écht.

bzuidgeest @DigitalExorcist • 19 november 2021 16:24

Ik vind ook nog steeds credentials op een post-it. Op de monitor of "verborgen" in agenda of la. Daar helpt ook weinig tegen. Want devices voor mfa e.d. liggen er gewoon naast.

DigitalExorcist @bzuidgeest • 19 november 2021 17:07

Precies de reden dat Microsoft van wachtwoorden af wil.. en gelijk hebben ze.

bzuidgeest @DigitalExorcist • 22 november 2021 16:29

En dan vervangen ze het door vingerafdruk of gezichtsherkenning. Niet bepaald systemen die nog nooit voor het lapje zijn gehouden. Zelfs relatief moderne systemen met infrarood en wat nog niet meer kunnen niet op tegen een goede vervalser.

Ooit dacht men dat de vingerafdruk absoluut uniek was. En zelfs dat gelooft niemand meer. De scanner pakt gewoon een paar referentie punten en hoe meer daarvan hoe beter. Maar in de praktijk kunnen er vele zijn die "jou" vingerafdruk hebben.

DNA word al moeilijker, maar dna scanners hebben we nog niet op computers. En ook DNA laat je net als vingerafdrukken en je gezicht overal achter.

[Reactie gewijzigd door bzuidgeest op 25 juli 2024 23:48]

nextware @DigitalExorcist • 19 november 2021 17:20

Daarom ook nooit deze MFA opties gebruiken waarbij je een approval moet geven. Gebruiken bij voorkeur een cijfer code uit een authenticatie applicatie. En dus ook géén sms MFA..

Qlusivenl

@nextware • 19 november 2021 19:45

Bij MS moet je je 06 invullen als backup. Maarja, ook met MFA heb je dus een zwakste schakel.

Tinytauren @Ubartu • 19 november 2021 15:01

Deels mee eens, er moet meer focus gelegd worden op de medewerkers zelf. Het is zelfs zo dat menselijke fouten verantwoordelijk zijn voor 95% van de cybersecurity incidenten.

Bron: https://www.varonis.com/blog/cybersecurity-statistics/

Het is zowel op hardware, software en menselijk niveau belangrijk om beveiliging in te zetten. Ik denk namelijk dat een wachtwoord en 2FA/MFA niet voldoende is tegenwoordig. Afgelopen maand had Tweakers hier nog over een artikel geschreven:

nieuws: Criminele hackers beroofden 6000 users Coinbase via kwetsbaarheid in ...

Edit: Je kan nooit dit soort situaties voorkomen, je kunt wel de kans zoveel mogelijk proberen te verminderen.

[Reactie gewijzigd door Tinytauren op 25 juli 2024 23:48]

J_van_Ekris @Tinytauren • 19 november 2021 15:11

Deels mee eens, er moet meer focus gelegd worden op de medewerkers zelf. Het is zelfs zo dat menselijke fouten verantwoordelijk zijn voor 95% van de cybersecurity incidenten.

Het punt is dat al die medewerkers structureel nergens in mogen trappen om succesvol te zijn, en de hackers maar een keer geluk hoeven te hebben om te winnen. Het is een enorm ongelijke wedstrijd.

Tinytauren @J_van_Ekris • 19 november 2021 15:13

Ja precies, zoals ik al zei - je kunt het niet voorkomen, maar je kan wel de kansen zoveel mogelijk proberen te verkleinen. Het is inderdaad een ongelijke strijd.

MrAngry @Tinytauren • 19 november 2021 15:18

Omdat je het niet kan voorkomen zouden organisaties vooral bezig moeten zijn met het analyseren en beperken van de impact als het gebeurt.

[Reactie gewijzigd door MrAngry op 25 juli 2024 23:48]

x280 @Tinytauren • 19 november 2021 15:13

Medewerkers zelf ? Zit hier bij een corporate bedrijf met 30+ verschillende merken wereldwijd en tich domeinen. Denk je dat ik zelfs als IT er nog alle domein namen ga herkennen ?

Enige oplossing die ik zie is iedereen een tablet geven met outlook en teams en alleen internet (geen intranet toegang !). Verder geen toegang tot email vanaf welk ander apparaat dan ook. Dit is ook de enige oplossing dat je intranet en bedrijfsmachines niet zullen besmet worden met crypto locker, virus, malware whatever er dan ook is. (Tenzij mensen echt uitdrukkelijk op reclame gaan klikken op internet) Alle links die dus binnen komen wordt geopend op een tablet die zo weer gewiped kan worden en buiten je bedrijfsnetwerk staat.

Bij kapotte hardware moet je fysiek langs lopen bij de IT afdeling waar ze zo weer 1 device kunnen activeren voor mail toegang.

Tinytauren @x280 • 19 november 2021 15:15

Enige oplossing die ik zie is iedereen een tablet geven met outlook en teams en alleen internet (geen intranet toegang !). Verder geen toegang tot email vanaf welk ander apparaat dan ook. Dit is ook de enige oplossing dat je intranet en bedrijfsmachines niet zullen besmet worden met crypto locker, virus, malware whatever er dan ook is.

Hoe wil jij dit gaan inzetten, in tijden zoals nu? De huidige situatie is dat veel mensen thuis moeten werken i.v.m. corona en bedrijfsbeleid, hoe kan je dan communiceren met collega's of klanten? Wat je zegt, klopt overigens, maar het is natuurlijk niet realistisch om alles dicht te timmeren.

x280 @Tinytauren • 19 november 2021 19:14

Met die ene tablet waar dus alles open staat ! Hoezo niet realistisch ?

jaenster

@Ubartu • 19 november 2021 15:01

Ik weet dat het zeer onpopulair is om je uit te spreken tegen MFA, zeker op tweakers.

Persoonlijk heb ik in meerdere gemeente gewoond en ik heb nog nooit iemand van de gemeente gesproken die hun eigen systeem snapte. Het is een godswonder dat ze uberhaupt dingen voor elkaar krijgen met hun huidige kennis over hun systemen. Die dagdagelijks lijken te veranderen, of op zijn minst altijd net in gaan op de dag dat ik er langs moet.

Gaan we er nou ook nog voor zorgen dat ze niet meer kunnen inloggen? Denk dat we er meer aan hebben om de mensen bij de gemeentes op te leiden dat ze fatsoenlijk met systemen om kunnen gaan. En dan hebben ze misschien keer tijd op de support om MFA uit te leggen.

fib3rlight @jaenster • 19 november 2021 15:33

dus geven we ons over aan de kwaadwillenden? omdat we bang zijn dat het personeel MFA niet snapt?
er valt niks te snappen aan MFA, het is gewoon een middel net als inloggen met een wachtwoord, kom op haha. het valt of staat met adoptie, als je het aanzet en er niks over meld/traint/uitlegt werkt het niet, maar MFA moet en hoeft geen obstakel te zijn.

het is niet onpopulair op tweakers om tegen MFA in te gaan, dat is in het algemeen onpopulair.

bzuidgeest @jaenster • 19 november 2021 16:29

Jou probleem is niet met MFA, je probleem is met te beperkt opgeleide mensen. Bij een complexere wereld hoort ook training, opleiding en begeleiding.

Ik heb genoeg bedrijven gezien die mensen maar complexere en complexere software voorzetten en zich afvragen waarom er continue overal fouten in de invoer zaten. Vervolgens gesuggereerd verplichte pakket cursus voor medewerkers en afsluiting van medewerkers die niet succesvol certificeerden.
Uiteindelijk bleek een behoorlijk percentage gewoon niet capabel genoeg. Toegang intrekken en het aantal fouten nam zienderogen af. Per direct.

Men gebruikt een computer als een TV en het moet iedereen maar kunnen want als je kunt mailen kan je de rest ook. Dat is een enorm grote fout. Mensen snappen gemiddeld genomen met de dag minder van computers. Als je dat niet ondervangt is het dweilen met de kraan open.

CAPSLOCK2000

Beveiliging en antivirus
Overheid
Phishing

@Ubartu • 19 november 2021 15:39

Ik snap oprecht niet waarom zo veel organisaties liggen te slapen en verzuimen om MFA in te schakelen. Relatief kleine handeling, kost niets anders dan wat extra support, maar voorkomt wel dit soort ellende.

Voor eindgebruikers die op een applicatie moeten inloggen is het inderaad wel te zien. Maar voor organisaties is het typisch wat meer werk. Ik kan een paar punten noemen maar dit overzicht is niet compleet:
- Het begint al met de simpele vraag waar je MFA aanzet. Het liefst wil je dat natuurlijk "overal" gebruiken en centraal beheren, en dus niet voor iedere applicatie los iets nieuws regelen. Je zal dus eerst voor een vorm van Single Sign On moeten zorgen als je dat nog niet had.
- Dan komt de vraag hoe je MFA doet. Tegenwoordig wordt daar meestal je prive-telefoon voor gebruikt. Maar niet iedereen heeft een telefoon of wil die voor werk inzetten. En wat kun je van je personeel verwachten als hun telefoon stuk gaat. Moeten ze dan onmiddelijk een nieuwe kopen omdat ze anders niet kunnen werken? Wie betaalt dat? Mag de werkgever de prive-telefoon laten blokkeren of zelfs wissen als er iets gebeurt?
- Steeds meer wordt uitbesteed en vaak zit je dan gedurende het contract vast aan een bepaalde configuratie. Als je iets anders had gewild had je dat van te voren moeten aangeven. Maar de meeste mensen letten niet op dat soort "details" en gaan er van uit dat de leverancier er wel voor zal zorgen dat alles veilig is. Dan moet je maar hopen dat je er over vier jaar wel aan denkt om daar om te vragen.
- En wat doe je met applicaties die ergens moeten inloggen? Die hebben geen telefoon of zo iets. Er zijn andere oplossingen, zoals domweg een uitzondering, maar iemand zal dat moeten uitzoeken en uitvoeren. En als het allemaal door externe partijen beheerd wordt zal niemand zin hebben om een uitzonderinge te maken.
- Dat "wat extra support" kan flink in de papieren lopen, zeker als je de uren meerekent dat mensen niet kunnen werken omdat ze op support wachten. Dat probleem heb je natuurlijk ook zonder MFA, maar het wordt groter.

En dan hebben we het er nog niet eens over gehad dat de meeste mensen niet echt snappen wat MFA is en waarom je dat zou willen. Security wordt toch vaak ervaren als een serie van pesterijen en brandende hoepels waar die arme gebruikers door heen moeten springen. Rationeel weten mensen natuurlijk wel beter, maar de meesten hebben geen interne motivatie om om meer beveiliging te vragen. Die doen wat de leverancier eist en niet meer. En als de leverancier denkt 'u vraagt, wij draaien', dan gebeurt het gewoon niet.

[Reactie gewijzigd door CAPSLOCK2000 op 25 juli 2024 23:48]

Verwijderd @Ubartu • 20 november 2021 08:23

Ze hebben daar gewoon MFA. Vermoedelijk hebben ze de ambtenaar "in laten loggen" met MFA OTP op de phishing site.

SunnieNL

19 november 2021 14:52

43000 mails vanaf 1 account in enkele uren en de mailserver die niet doorheeft dat dit niet ok is? Het moet toch niet zo moeilijk zijn daar een limiet op te zetten om dit soort dingen te voorkomen? Iedereen maximaal 100 berichten per uur zou al ruim genoeg moeten zijn.

cariolive23 @SunnieNL • 19 november 2021 15:16

Waarom zou de mailserver dit moeten "doorhebben" ? Een mailserver stuurt (en ontvangt) mail. That's it. Er is geen sprake van een AI die kijkt of alles wel normaal is, en eventueel een helpdesk inschakelt wanneer er bijzonderheden worden gesignaleerd.

Dat zou wel moeten, maar heeft bij vrijwel geen enkele organisatie enige prioriteit.

repmeer @cariolive23 • 19 november 2021 15:21

In exchange Online kan een mailbox niet meer dan 10000 emails versturen per 24 uur. Dus dat kan een mailserver wel degelijk doorhebben.

wildhagen

Overheid
Beveiliging en antivirus

@repmeer • 19 november 2021 15:49

Dat klopt, maar lang niet alle gemeenten zitten al in Office365 met hun mail, veel hebben bijvoorbeeld nog altijd on-premise Exchange servers, en vaak ook nog oudere (maar nog wel supported) versies ook. In Exhange 2013 bijvoorbeeld zit die "recipient rate limit" waar jij op doelt nog niet standaard. Kan je als beheerder wel instellen, maar by default is dat "Unlimited".

In Exchange 2016 / 2019 is die limiet volgens mij wel default aanwezig op 10.000.

repmeer @wildhagen • 19 november 2021 15:58

Het ging mij er meer om, dat een mailserver wel degelijk in de gaten kan hebben hoeveel mail er via een mailbox verstuurd wordt. Exchange Online was slechts een voorbeeld.

[Reactie gewijzigd door repmeer op 25 juli 2024 23:48]

tygh @repmeer • 20 november 2021 19:15

Gemeente Ede heeft geen Exchange online

repmeer @tygh • 21 november 2021 10:54

Lees even aub voor je reageert. Het ging mij om een voorbeeld.

Tinytauren @cariolive23 • 19 november 2021 15:21

Je kunt binnen mailservers regels, policies en ook AI toepassen (Microsoft "Delve" bijvoorbeeld). Dus de conclusie dat een mailserver alleen maar e-mails stuurt en ontvangt is niet helemaal correct

cariolive23 @Tinytauren • 19 november 2021 15:26

Weer wat geleerd! Thanks

kodak

Phishing
Beveiliging en antivirus

@cariolive23 • 19 november 2021 17:23

Mailservices doen al jaren aan beveiligingscontroles, zoals voorkomen dat onbevoegden mail versturen of dat er te veel zal worden verzonden. Met meer dan 25 jaar aan spamruns met duizenden mails die afwijken van wat normaal is kun je dus niet nu pas aankomen met een opmerking alsof een mailserver hier niets in tegen te houden had. Nu lees ik niet of er controle was, maar alleen al het gebrek aan werking toont al aan dat men niet behoorlijk onnodige verwerking van tienduizenden persoonsgegevens heeft voorkomen. Er had hoe dan ook voorkomen moeten worden dat er tienduizenden phisingmails verwerkt en verzonden werden en dat is niet gedaan.

[Reactie gewijzigd door kodak op 25 juli 2024 23:48]

x280 @SunnieNL • 19 november 2021 15:13

100 is al veel.

Tinytauren @SunnieNL • 19 november 2021 15:08

De vraag is; wat voor medewerker is slachtoffer geworden van deze phishing aanval? Stel voor je had die regel wel ingezet, dat er een maximaal aantal e-mails verstuurd mogen worden tegelijkertijd/bepaalde tijdsframe, maar de "gehackte" medewerker veel rechten heeft en dit simpelweg kan uitzetten?

Dan is vrijwel alles mogelijk vanuit het perspectief van de crimineel

RVW 19 november 2021 14:53

En daarom 2FA op accounts inschakelen en SMTP/POP/IMAP toegang uitzetten.

Sinnergy @RVW • 19 november 2021 15:35

Als ze evengoed de 2FA stap proxyen op hun 'fake site', en dit bvb via confirmatie code via sms is, dan zou dit het toch niet voorkomen hebben?

Nickkname 19 november 2021 14:51

Ouch, geen maximaal aantal te verzenden mails per account per dag. Een gemiste kans...

Tinytauren 19 november 2021 14:53

Ik denk dat het ook belangrijk is om de burgers die wel op de malafide link(s) hebben geklikt, informeren dat het slim is om wachtwoord/accountgegevens direct te veranderen om potentiële/mogelijke schade te voorkomen.

Zou bijvoorbeeld zonde zijn als gebruikers hetzelfde wachtwoord hebben voor andere belangrijke zaken, denk hierbij aan e-mailaccounts, bankgegevens, social media, enzovoort. Als deze hackers/cybercriminelen toegang hebben tot de e-mailomgeving van de burger, kunnen ze vrijwel overal terecht kunnen komen met simpele wachtwoord reset en degelijke.

Edit: Ik zie toevallig net dat de gemeente via een persbericht inderdaad heeft geadviseerd om wachtwoorden te veranderen, mijn fout

[Reactie gewijzigd door Tinytauren op 25 juli 2024 23:48]

HakanX 19 november 2021 18:38

Wachtwoord stelen is één, maar hoe zijn ze op de mailservers van de gemeente gekomen? Zit dat niet achter een VPN met whitelist?

repmeer @HakanX • 21 november 2021 11:53

Ze komen niet op de mailserver. Als je de credentials van een account hebt achterhaalt kan je met die gegevens mail versturen. Jij hebt toch ook geen toegang tot de mailserver van je provider als je met jouw inloggevens een mail verstuurd?

HakanX @repmeer • 21 november 2021 13:08

Smtp server dan als je precies wilt zijn.

repmeer @HakanX • 21 november 2021 14:31

Daar heb je nog steeds geen toegang. Je maakt er alleen gebruik van. Dat is wat anders dan toegang hebben

pverrips 19 november 2021 16:15

Als ik meer dan 100 mails verstuur dan beginnen de meeste providers al moeilijk te doen.
Hoe heeft de gemeente Ede geregeld dat 43000 mails nog niet tot een totale blokkade van het domein leiden?
Zijn hier technieken voor?

Pietervs @pverrips • 19 november 2021 17:13

Hoeveel mail denk je dat een gemeente per dag verstuurt? Dat kun je op geen enkele manier vergelijken met jou privé account.

TobiasS 19 november 2021 15:13

Via een account van een ambtenaar van de Ede

Is het misschien Via een account van een ambtenaar van de gemeente Ede?

SpoekGTi 19 november 2021 15:27

Man man man, overheidsinstellingen en ICT

Minimal 2FA inschakelen
Named Locations
Impossible Travel policies
En een max aan uit te sturen mails per uur

Het is niet allemaal heel moeilijk he.

Operativus @SpoekGTi • 19 november 2021 15:51

Ik zou zeggen stuur een open sollicitatie! Als referentie zou ik even je bericht op Tweakers vermelden zodat ze weten dat ze met een professional te maken hebben. Ik zou alleen de shaming een beetje achterwege laten. Veel organisaties houden daar niet zo van en het komt ook niet professioneel over.

Theone098 19 november 2021 20:35

MFA is in dit geval niet de heilige graal. Het beperken van de hoeveelheid e-mail die van een normaal adres kan worden gestuurd wel. Voor bulkmail gebruik je mailing lijsten. Een normaal e-mail adres kun je limiteren op 200 of desnoods 500 e-mails per dag. Dat is ruim voldoende voor de gemiddelde medewerker.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (90)

Sorteer op:

Weergave: