"Als IT’er heb ik in mijn leven vele phishing en spam e-mails gezien, maar deze!"

Gepubliceerd op 13 april 2020 om 18:30

Het is donderdagmiddag en ik ga, net na mijn lunchpauze, weer achter mijn PC zitten. Als eerste check ik mijn mail. Een e-mail van de Inspectie SZW met als onderwerp “Officiële kennisgeving (6Q6W8T) met betrekking tot een mogelijk onderzoek”. Mijn hart slaat een keer over. Wat heb ik misdaan? Vlug scan ik de e-mail. Hij is opgesteld in goed Nederlands. Er is een klacht ingediend tegen mijn bedrijf en de Inspectie gaat een onderzoek starten. De mogelijke sancties zijn “het opschorten van de activiteit van uw bedrijf” of “een klacht bij de plaatselijke openbare aanklager”.  De klager zal anoniem blijven tot een eventueel proces begint. Voor wij verder gaan verwachten wij een antwoord van u. Een telefoongesprek zal ook worden ingepland om de situatie verder te bespreken.

Het ziet er te echt uit

Niets vraagt mij om gegevens in te vullen. De e-mail is niet in mijn spam terecht gekomen. Het taalgebruik klopt. De e-mail komt vanaf een e-mailadres wat in eerste instantie niet per se verdacht is (Weet u wat de domeinnaam van Inspectie SZW is?) De kleur van de inspectie zit in de e-mail. Er zijn zogenaamd unieke identificaties opgenomen. Vertwijfeld roep ik mijn collega erbij. Het ziet er te echt uit – en het kan nou eenmaal zo zijn dat iemand een klacht tegen je bedrijf indient. 

Nog een minuut later zijn we er wel achter dat het hier niet om werkelijk een e-mail van de Inspectie SZW gaat. Als IT’er heb ik in mijn leven vele phishing en spam e-mails gezien. De meesten herken je direct: een raar e-mailadres, slecht Nederlands, dreiging om je Rabobank rekening te blokkeren terwijl je bankiert bij de ING. Zo niet met deze e-mail.

Vernuftig

We besluiten uit nieuwsgierigheid op een veilige manier de links in de e-mail te volgen. De eerste link stuurt je naar een URL op een website van een bestaand Italiaans bedrijf dat dakbedekking verzorgt. Vermoedelijk is deze website vernuftig gehackt: de eigenlijke website staat gewoon nog online, en werkt. Op een verborgen plaats op de website staat een bestand dat je doorstuurt naar een volgend buitenlandse domeinnaam. Die stuurt je nogmaals door. En nogmaals. Uiteindelijk kom je op een website uit die sprekend op die van de Inspectie SZW zelf lijkt. Zelfs de URL van de pagina zelf lijkt op die van de Inspectie SZW. Alle links openen keurig de website van de echte Inspectie SZW. Centraal staan drie links: ‘download klacht 2019’, ‘download klacht 2020’, ‘download archief met klachten’. De links leiden naar een Excel bestand met macro’s. Ook niet alarmerend voor een klachtomschrijving van de Inspectie.

Volledige je PC overnemen

In de Excel bestanden zit het virus. Het is een virus dat sinds 2017 bekend is en behoorlijk gevaarlijk is. De aanvaller kan je volledige PC overnemen. Zowel Office 2007, 2010, 2013 en 2016 zijn – indien niet geüpdatet - hier vatbaar voor.

Advies

Hoe bescherm je jezelf hiertegen? Als IT-er herken ik dit soort e-mails meestal direct. Deze duurde een minuut. Het probleem is dat als je geen IT-kennis hebt je ze minder snel herkend. En de e-mails worden in rap tempo beter. Aanvallers sturen in korte tijd veel e-mails eruit – want ze weten dat na een aantal uren of dagen deze e-mails overal gedetecteerd gaan worden. Maar in die tijd kunnen ze veel slachtoffers maken. Er zijn twee dingen die je hiertegen kunt doen:

  • Open geen links in e-mails. Ga zelf via een vertrouwde zoekmachine naar de website van de Inspectie SZW, of welke organisatie dan ook. Bel een organisatie als je er zeker van wilt zijn dat ze geen onderzoek tegen je zijn begonnen. Maar ook dan: niet het nummer wat in de e-mail staat. Zoek het telefoonnummer zelf op.
  • Zorg dat je al je apparaten regelmatig update. De meest gebruikte virussen zijn allang bekend en worden geblokkeerd – mits je de meest recente updates hebt. Gebruik dus ook geen software die niet meer ondersteund wordt, zoals Windows 7.

Bron, Schrijver: Tjalling