Lisa werkt als onderzoeker bij de Universiteit Twente en gebruikt dagelijks haar universiteitsaccount voor e-mail, bestanden en toegang tot databanken.
De phishing-e-mail
Op een gewone dinsdag ontvangt ze een e-mail die op het eerste gezicht onschuldig is: een korte boodschap van een leverancier met het verzoek om een factuur goed te keuren. De e-mail ziet er professioneel uit en bevat het logo van de leverancier. Lisa is druk, klikt snel op de link en voert in een formulier haar gebruikersnaam en wachtwoord in — het is immers een leverancier denkt ze.Dat ze normaal nooit facturen van deze leverancier ontvangt, want die worden door iemand anders goed gekeurd of dat ze in moet loggen met credentials van de Universiteit bij een ander bedrijf denkt ze verder niet over na. Wat Lisa niet weet: deze e-mail was geen echte melding van haar leverancier, maar een zorgvuldig opgezette phising aanval.
Eerste toegang en activiteiten van de aanvaller
De aanvaller heeft vooraf informatie verzameld (wie werkt waar, welke e-mailadressen zijn openbaar) en een geloofwaardige boodschap gemaakt. Zodra Lisa haar gegevens invult, krijgt de aanvaller direct toegang tot haar account.Met die eerste set inloggegevens logt de aanvaller in alsof hij Lisa is.In het begin doet hij heel weinig opvallends: hij bekijkt recente e-mails, downloadt misschien een paar documenten en zoekt naar contactlijsten, vooral naar collega’s die toegang hebben tot gevoelige data of beheerdersrechten.
De aanvaller gebruikt Lisa’s identiteit om communicatie te sturen: een geloofwaardige e-mail naar een collega met het verzoek om “een onderzoeksdataset” te delen of een bijlage te openen. Omdat de mail van Lisa lijkt te komen, vertrouwt de collega de vraag. Zo wint de aanvaller stapje voor stapje meer toegang tot systemen of bestanden, zonder dat er alarmsignalen afgaan.
Escalatie en gevolgen
Tegelijkertijd zet de aanvaller ‘persistence’-mechanismen op: instellingen die hem in staat houden terug te keren (bijvoorbeeld het aanmaken van verborgen regels of forwarding in e-mail) en hij verwijdert soms sporen om ontdekking te vertragen. Nu de aanvaller toegang heeft tot belangrijke mappen en contactlijnen, kan het ernstig worden. Mogelijke acties: gevoelige gegevens downloaden, onderzoeksresultaten kopiëren of vertrouwelijke lijsten met persoonsgegevens kopieren. Soms is het doel financieel (betalingen omleiden) of reputatie-schade, soms het verkopen van data op de zwarte markt. Vaak gebeurt dit stapsgewijs, in kleine hoeveelheden, zodat het minder opvalt.
Ontdekking, herstel en signalen
Iemand binnen de organisatie merkt rare inlogmeldingen op: toegang vanaf een onbekende locatie, of er wordt een e-mailmelding gestuurd vanuit Lisa waarop zij nooit heeft gereageerd. Wanneer Lisa uiteindelijk zelf rare activiteiten opmerkt (onverwachte wachtwoordresetmelding, e-mails die zij niet herkent) wordt het duidelijk: haar account is gecompromitteerd. Wanneer de compromise ontdekt is, volgt vaak een keten van acties: het account van Lisa wordt tijdelijk geblokkeerd, wachtwoorden worden gereset, e-mailregels verwijderd en eventuele doorgestuurde data onderzocht. Soms volgt een bredere controle van systemen en een melding aan betrokkenen of, bij gevoelige persoonsgegevens, aan de toezichthouder. Het herstel duurt misschien maar een paar uur, maar de reputatieschade of datalekken kunnen langdurige gevolgen hebben.
Signalen waar je direct op moet letten
- Onverwachte e-mails vanuit je eigen adres of naar onbekenden.
- Meldingen over inlogpogingen vanaf vreemde locaties of apparaten.
- Veranderingen in e-mailregels of automatische forwards die je niet zelf hebt gemaakt.
- Waarschuwingen van collega’s dat ze vreemde verzoeken van jou hebben gekregen.
- Plotselinge beperkingen van toegang of meldingen van dataverlies.
Zie je dit soort zaken, aarzel dan niet om het security team, CERT-UT, in te schakelen. Ook bij twijfel is dit team behulpzaam. Samen houden we de universiteit veilig.