Recent werd Magna Solutions geconfronteerd met een beveiligingsincident waarbij phishingmails werden verstuurd die afkomstig leken te zijn van onze eigen e-mailaccounts. Deze mails, verstuurd zonder onze toestemming, bevatten mogelijk schadelijke links en oproepen tot ongebruikelijke acties. Inmiddels is het probleem opgelost en hebben we maatregelen genomen om herhaling te voorkomen. Hier delen we het volledige overzicht van het incident en de lessen die we hebben geleerd.
Wat is er gebeurd?
Op 6 maart rond 14:27 uur werd een medewerker slachtoffer van een phishingaanval. De e-mail leek afkomstig van een vertrouwd contact, dat zelf al gecompromitteerd was. De aanval maakte gebruik van een OAUTH-flow met de scope OfficeHome.All, waardoor een token werd gestolen en de Multi-Factor Authenticatie (MFA) werd omzeild. Hierdoor kreeg de aanvaller toegang tot de mailbox van onze medewerker en kon deze misbruiken om meer phishingmails te versturen.
Chronologisch overzicht:
- 6 maart, 14:27 uur: Een medewerker ontvangt een phishingmail van een vertrouwd, maar reeds gehackt contact. Door misbruik van een OAUTH-token wordt MFA omzeild en krijgt de aanvaller toegang tot de mailbox.
- 7 maart, 09:50 uur: De aanvaller gebruikt het gestolen token om phishingmails naar alle contacten van de medewerker te versturen. De e-mails bevatten een link naar een nagemaakte Microsoft-inlogpagina via Google Sites.
- 7 maart, 10:05 uur: Interne signalen wijzen op verdachte e-mails. Via WhatsApp en andere kanalen waarschuwen we contacten om niet op de e-mail te reageren.
- 7 maart, 10:43 uur: De frauduleuze Google Sites-pagina wordt gerapporteerd en enkele uren later door Google offline gehaald.
- 7 maart, 10:55 uur: Analyse van verdachte inlogpogingen toont activiteit vanaf IP-adressen uit Chicago (64.64.116.x). Onderzoek naar de phishingpagina bevestigt de wijze van compromittering.
- 7 maart, 13:30 uur: Alle actieve sessies van de gecompromitteerde gebruiker worden ingetrokken. Er wordt vastgesteld dat automatische mailregels waren ingesteld om ontvangen en verzonden e-mails te archiveren, maar gelukkig zijn er geen persistentiemechanismen (zoals rogue MFA-apparaten) aangetroffen.
- 7 maart, 14:43 uur: We stellen een intern rapport op en informeren alle betrokkenen.
- 8 maart: Poging om de Nederlandse Autoriteit Persoonsgegevens te informeren, wat door onderhoud aan hun website een dag vertraging oploopt.
Hoe herkent u een verdachte e-mail?
Hoewel phishingmails van een vertrouwd Magna Solutions-adres kunnen lijken te komen, zijn er vaak signalen die opvallen:
✔️ Onverwachte of ongebruikelijke verzoeken
✔️ Bijlagen of links zonder duidelijke toelichting
✔️ Taalgebruik dat afwijkt van onze normale communicatie
✔️ Links die leiden naar onbekende of verdachte domeinen
Wat kunt u doen?
– Open geen verdachte bijlagen of links
– Controleer de inhoud van het bericht zorgvuldig
– Twijfelt u over de echtheid? Neem contact met ons op via de bekende contactgegevens
Onze ervaring: “Wie trapt er nu in phishing? Oh, juist ja…”
Vorige week zaten we midden in contractonderhandelingen met een klant. Documenten werden over en weer gestuurd, totdat er plots een e-mail binnenkwam. Alles leek te kloppen: het logo, de handtekening van de klant—zelfs het taalgebruik.
En toch… bijna klikten we.
Gelukkig voelde een collega aan dat er iets niet klopte:
Eerste check: de link hoveren – Microsoft Secure Portal? Nee, Google Sites.
Tweede check: de tekst – “Dringende actie vereist.” Klassiek social engineering.
Een snelle check met de klant via Signal bevestigde het: zijn account was gehackt. Iedereen in zijn adresboek had dezelfde e-mail ontvangen.
De verrassende held: ChatGPT
Voor de grap gooiden we de ruwe e-mail in ChatGPT. De AI herkende de phishingpoging direct, nog voordat Microsoft of SpamAssassin dat deden.
Verdachte link: De e-mail vraagt om een document te “controleren” via de Microsoft Secure Portal, maar leidt naar een Google Sites-URL.
Urgentie & social engineering: Woorden als “beveiligd gedeeld” en “snel beoordelen” zijn bedoeld om haast te creëren.
Afzender mismatch: De e-mail lijkt van een bekende te komen, maar kan gespooft zijn.
Vage inhoud: Geen uitleg over het document—een klassiek waarschuwingssignaal.
Ongebruikelijke bijlagen en embedded afbeeldingen: Vaak een manier om trackingpixels of verborgen links te verbergen.
Conclusie: Het kan iedereen overkomen
“Wie trapt er nu in phishing?” Nou, als je even niet oplet: iedereen.
Dit incident heeft ons niet alleen waakzamer gemaakt, maar ook bevestigd dat transparantie en snelle communicatie essentieel zijn. Door te leren van onze fouten en te blijven investeren in beveiligingsmaatregelen, zorgen we ervoor dat de risico’s tot een minimum beperkt blijven.
Blijf alert, blijf veilig en laten we samen het internet veiliger maken!
