Belgische politie waarschuwt voor phishing via politiedomein

De Belgische politie waarschuwt voor een grootschalige phishingcampagne met e-mails die ogenschijnlijk van de politie afkomstig zijn. De mails zijn verstuurd vanaf @police.belgium.eu-adressen, een domeinnaam die ook door Belgische politiemensen wordt gebruikt.

Een woordvoerder van de Belgische politie zegt tegenover VRT Nieuws dat op donderdag 18 september een 'heel aantal' valse mails is verstuurd vanaf @police.belgium.eu-adressen. In die mails werd gevraagd om via een frauduleuze link identificatiegegevens in te vullen. Om hoeveel mails het precies gaat en welke gegevens precies werden gevraagd, is niet duidelijk.

De woordvoerder zegt dat de politie meteen tegenmaatregelen heeft genomen en een waarschuwing naar de betrokkenen heeft gestuurd. De phishingmails hebben volgens haar geen directe schade aangericht. Er loopt nog een onderzoek naar de phishingcampagne. Waar die precies op focust, is niet duidelijk.

Door Imre Himmelbauer

Redacteur

23-09-2025 • 07:29

43

Submitter: Admiral Freebee

Reacties (43)

Sorteer op:

Weergave:

Het is de gekende OneDrive/Sharepoint phishing.
Voorafgegaan door een tweede e-mail die laat weten dat er een groot bestand op komst is.

We hebben er zo een heel aantal binnengekregen van police.belgium.eu adressen.
Voorbeelden van de berichten:

https://ibb.co/v45YFCCf
https://ibb.co/N6q3Sgy6
Eerste plaatje, het "Vriendelijke groet" stukje die het altijd weer doet; de letterype. Elke scam mail die ik ooit krijg heeft wel ergens die vreemde lettertype verschil erin zitten.
ik had het ook al door van de 2e persoon die zulke mail gerapporteerd had (ditmaal ontvangen op diens privé-adres).

Ik snap niet dat ze dit pas 4 dagen later communiceren, bij de eerste melding dat we als bedrijf hierover krijgen zouden alle alarmbellen al moeten afgaan en we spreken hier over een nationale politiedienst met eigen expertise van het hoogste niveau.
Ik hoop dat die in je ongewenste map zat. Heb je toevallig geen headers zodat we even kunnen kijken of er bij de politie wat misgegaan is (bvb open relay)?
Hun instellingen staan normaal juist...
dkim=pass header.i=@police.belgium.eu header.s=police20190703 header.b=a0ZGafOn; arc=pass (i=1 spf=pass spfdomain=police.belgium.eu dkim=pass dkdomain=police.belgium.eu dmarc=pass fromdomain=police.belgium.eu); dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=police.belgium.eu

Maar dat is bij het verzenden... als ze er bij het ontvangen niet op controleren... tja.
Als het DMARC record op p=none staat, dan hebben ze wel een DMARC record, maar in dat record zeggen ze dat ze de DMARC controles NIET willen laten toepassen bij de ontvanger. Dus, als een ontvanger een mail ontvangt van een mailserver die niet in het SPF record staat en/of de mail is niet DKIM signed, dan zou de ontvanger dat kunnen melden bij het e-mail adres wat in het DMARC record staat. Daar kan dan weer op gemonitored worden of er misbruik van je e-mail domein word gemaakt en of je eventuele valide third party e-mail diensten niet hebt toegevoed in je configuratie. Maar in dit geval gebeurde dat dus niet.

Op dit moment is het DMARC record wel juist; v=DMARC1; p=quarantine; rua=mailto:dmarcinfo@premier.fed.be; ruf=mailto:dmarcinfo@premier.fed.be; fo=1;

Gezien ze SPF en DKIM wel beide qua DNS records hadden ingesteld, zouden mogelijke speculaties kunnen zijn;

- Foutief geconfigureerde SMTP relay
- In Exchange Online Direct Send niet disabled
- Compromised (e-mail) account misbruikt
- Een dienst in hun SPF record die compromised is
- Private DKIM key gelekt en misbruikt

De meeste ontvangers doen een single-pass, dus als enkel SPF of DKIM voldoet dan word de mail doorgelaten. Eigenllijk zou je als ontvanger ook een double-pass moeten hebben, dus de mail pas doorlaten als aan beide word voldaan.

[Reactie gewijzigd door Sluuut op 23 september 2025 10:17]

Dit is correct. Echter de RFC schrijft expliciet voor dat een bericht een DMARC pass mag krijgen als ten minste één van de twee onderliggende controles (DKIM of SPF) slaagt en de bijbehorende identifier alignment positief is.

Dat is ook de reden waarom de meeste een 'single pass' doen. Maar ook, omdat je ontiegelijk veel gaat tegenhouden als je op beide gaat controleren, die je eigenlijk niet zou willen tegenhouden. Er zijn nog steeds vele partijen die email niet in orde hebben. Kleine partijen , maar ook grotere. En dan gaat het vooral over de alignment.
Daar bovenop is het ook een soort reduncandy, als SPF of DKIM omvalt dan kun je de andere nog gebruiken om te verifieren dat de e-mail legitiem was.

Maar toch hebben beide andere doelen, SPF heeft als doel om aan te geven of de verzendende partij daadwerkelijk is toegestaan als legitieme partij voor dat domein, en heeft DKIM als doel om te voorkomen dat een e-mail onderweg bewerkt word door een man in the middle.

Dus in dat opzicht zou je als ontvanger juist wel beide moeten checken en daarop acteren.
Daarom zou je als verzender inderdaad beide goed moeten hebben. Voor redundatie.

Een mail kan met elk willekeurig domein DKIM gesigned worden. Het gaat zoals je zegt om de integriteit van het bericht. Zolang het niet aangepast is krijg je een mooie DKIM pass.

Dat zegt dus vrij weinig over de authenticatie. Tenzij dat domein een alignment heeft. Maar dan kom je weer in dezelfde spiraal. Het aandeel verzenders met aligned SPF + DKIM is schrikbarend laag. Dus blokkeren gaat hoop ellende geven.

Je zal zelf binnen je mail security configuratie een policy moeten opbouwen om een goede balans te vinden in delivery en security.
Ik mail niet zo veel met de politie, headers zijn al van paar jaar geleden :-)
Ik heb recente ook, maar die zijn van de politie in Zwitserland :p
Een van hun accounts zal wel gephished zijn, en die zal misbruikt zijn om weer andere mensen te phishen.
Daar kan DMARC, DKIM en SPF weinig aan veranderen. Ook TOTP lost dit niet op, aangezien dit niets doet aan reverse proxy phishing.
De enige oplossing hierin is vol inzetten op passkeys, welke je tegenwoordig in alle vormen hebt; windows hello, MS authenticator, hardware keys, ... En elke andere vorm van authenticatie als onveilig beschouwen.

Ook zouden security awareness trainingen een standaard moeten zijn op elk bedrijf.
Het artikel is niet voldoende duidelijk over de oorsprong van de berichten.
"Valse mails verstuurd via domeinnaam die door alle politiemensen wordt gebruikt"
"Op donderdag 18 september werden een heel aantal valse mails verstuurd vanuit @police.belgium.eu-adressen, de domeinnaam die door alle politiemensen van de Geïntegreerde Politie wordt gebruikt.
Deze woordvoerder begrijpt kennelijk niet hoe het werkt (ic vervalsen van afzenderadressen). Ik ga er maar vanuit dat er niet doelbewust onduidelijkheid wordt gebruikt om te maskeren dat er sprake was van een gecompromitteerde emaildienst.
Het is een woordvoerder geen it'er en hij communiceert naar media en interne mensen. Niet naar it'ers. Dus zijn taalgebruik is correct.
Daar ga ik ook vanuit, idd.
Ik heb persoonlijk weet van minstens 2 verschillende mailboxen van verschillende politiezones, dus ik zou gokken dat het probleem dieper zit, maar gezien de mailinfrastructuur van de targets niet beide onder mijn beheer vallen, kan ik er geen verdere uitspraak of onderzoek over doen.
Huh geen DKIM of SPF dan ofzo?
spf in ieder geval wel, net als DMARC, DKIM waarschijnlijk ook, maar dat geeft geen 100% zekerheid
Ik ben niet enorm thuis in dit wereldje van mail-protocols, maar DMARC gaat toch alleen helpen als de ontvangende mailserver er ook wat mee doet? En ook bij SPF moet een ontvanger toch een controle doen?

Ofwel, de politie kan z'n domein goed ingericht hebben maar als de ontvangers deze checks niet doen houdt het wel een beetje op, denk ik.
Klopt, maar bijvoorbeeld Gmail en Outlook zijn hier bij mijn weten wel streng in tegenwoordig.
Outlook streng? Dat geldt in ieder geval niet voor de gratis domeinen zoals Hotmail.
De spam die ik krijg zie je regelmatig dat DKIM, DMARC falen of de status 'none' hebben.
Ik verwees naar dit: https://techcommunity.mic...%90volume-senders/4399730. Maar als je als spammer zorgt dat je niet als "high volume sender" gezien wordt faalt dat waarschijnlijk al.
De spam die ik krijg zie je regelmatig dat DKIM, DMARC falen of de status 'none' hebben.
Falen is wat gek, maar status none ligt dus aan de partij die dat domein/email heeft ingesteld en dus die maatregelen NIET heeft ingesteld en dus iedereen een vrijbrief geeft om uit hun naam te mailen.

PS krijg je die SPAM in je inbox of in je SPAM-box? Dat is niet helemaal duidelijk uit je bericht.

[Reactie gewijzigd door watercoolertje op 23 september 2025 10:42]

@vickypollard dat bericht had ik ook gezien. En eerlijk gezegd: er is ook even een dropbox geweest in de hoeveelheid spam. Maar de laatste weken neemt het weer toe. Dus blijkbaar hebben spammers er een workaround voor gevonden.


@watercoolertje dat komt voornamelijk in de Junk folder terecht. Wat eigenlijk een nadeel is, want regels die aangemaakt zijn om mails te blokkeren of bepaalde domeinen te weren worden daar niet op uitgevoerd.
Dat is met alle bescherming zo. Het is altijd aan de ontvangende server om er iets mee te doen. En het falen van die indicatoren alleen is vaak slechts voldoende om het als spam te markeren. Vele systemen moeten veel meer indicatoren hebben voordat ze het volledig tegen houden net omdat er ook regelmatig fouten voorkomen in die settings.
Hoe kennen ze "de betrokkenen"? Lijkt me moeilijk?
Als hun mailserver gehacked is en ze hebben de logs dan zou het kunnen.
Als je kijkt naar de spf records lijkt het alvast dat ze voor een deel Exchange Online gebruiken, en net van die infrastructuur wordt veel meer spam verstuurd dan je zou verwachten. Een mailserver die dan enkel naar spf kijkt, maar niet naar dkim, gaat die dus niet standaard blokkeren. Of afhankelijk van de configuratie als ze vaak in contact staan met de overheid het domein al gewhitelist hebben.


Net omdat er veel spam van sommige Outlook servers komt, is dat soms de weg van de minste weerstand. De keren dat ik op het werk echt verbaal heb moeten vechten om dat niet te doen is veel te hoog. Zowel de verzender als de bedoelde ontvanger staan er op dat als een blacklist mail van een outlook server blokkeert, die blacklist fout is, niet de outlook server.
Exact dit. als een slechte config in hun DNS settings is (DKIM/SPF/DMARC/...) die spoofing mogelijk maakt, dan kunnen ze onmogelijk de geïmpacteerden weten.

De enigste manier om dit te weten, is dat de mails gelopen zijn via een van de mailservers van de politie. Dit kan door het hacken van een of meerdere accounts, maar dat zou raar zijn, aangezien dan de communicatie (hopelijk) helemaal anders is.

Nog een andere mogelijkheid, is een foutief geconfigureerde SMTP relay of een mailing platform dat gehacked is geweest zonder toegang tot effectieve mailboxen. In deze gevallen ga je wel loggings hebben van naar wie er mails gestuurd zijn en hoeft er niet iemand toegang gehad hebben tot andere interne data. Dit is natuurlijk mezelf die hier volledig op doorga in wat het mogelijk zou kunnen zijn. Natuurlijk zonder gedetailleerdere communicatie van de politie, is zoiets lastig met 100% zekerheid vast te stellen.
Je vraagt je af hoe dit mogelijk is. Werd er geen gebruik gemaakt van simpele technieken als SPF-records en DKIM?
De phishingmails hebben volgens haar geen directe schade aangericht.
Want de politie kan natuurlijk precies zien hoeveel mensen in de phishing-mail zijn getrapt en gedaan hebben wat de oplichter probeerden te bereiken. :?
Dat is ook niet wat er staat in het bron-bericht.

"Intussen is duidelijk dat er geen operationele schade is."

Dat is iets helemaal anders.
Gezien een mail geen directe schade kan maken klopt het wel! Enige schade die er kan zijn door die mails is indirect schade...

Maargoed lijkt me zoals hierboven al gesteld wordt meer verkeerd overgenomen van de bron.

[Reactie gewijzigd door watercoolertje op 23 september 2025 10:38]

Was het mailadres dan gespoofd of is er ingebroken op hun mailserver?
Helaas is het nieuws van de vrt hier niet duidelijk over. Websites van de politie vermelden oa dat valse adressen gebruikt worden. Meestal gaat dat om spoofing.
Heden dinsdagochtend zijn DKIM en SPF goed ingesteld. DMARC ook, al is het mailadres waarop fouten gerapporteerd moeten worden, niet geautoriseerd (dmarcinfo@premier.fed.be)

Check: https://internet.nl/mail/police.belgium.eu/1616405/#control-panel-9

De kans dat ze binnen het Belgium.eu-domein zulke fouten maken lijkt me zo klein (dat zal toch door een ervaren team worden beheerd?) dat het me net zo waarschijnlijk lijkt dat ze per ongeluk een relay naar buiten open hebben gezet. Maar het is speculeren.
Het valt helaas vies tegen hoe vaak de juiste security richtlijnen worden toegepast. Zie b.v. ook voor onze politie: https://basisbeveiliging.nl/report/risksummary/NL/government/3068
Vermoedelijk een gevalletje van spf en dkim vergeten in te stellen. Komt wel vaker voor bij bedrijven/overheden die tig domeinen in beheer hebben. Zeker als die niet centraal worden beheerd.
Ik kreeg een tijd geleden nog een legitieme e-mail van de politie van zo'n @police.belgium.eu adres.

Maar de mail zag er zo slecht uit dat er meteen alarmbellen afgingen bij mij. Toch maar even naar het kantoor gebeld om te vragen of de mail legitiem was... Ja hoor :p .


Om te kunnen reageren moet je ingelogd zijn