DIVD-2020-00013 - Gelekte phishing wachtwoorden / Leaked phishing credentials

English below

Samenvatting

Eind november hebben criminelen een phishing campagne uitgevoerd waarin ze gebruik gemaakt hebben van valse Zoom uitnodigingen en berichten over quarantaine van emails. TheAnalyst heeft over deze campagne getweet: bericht 1 en bericht 2

Tijdens onderzoek naar deze campagne is een onderzoeker van een partner organisatie er achter gekomen dat de server die gebruikt werd voor de phishing pagina via onvoldoende beveiligde directories lijsten met buitgemaakte email/wachtwoord combinaties lekte.

Het DIVD CSIRT heeft van de onderzoeker het Nederlandse deel van deze lijsten ontvangen met als doel de slachtoffers op de hoogte te brengen.

Wat kunt u doen?

Als je deze pagina bezoekt omdat je een email heeft ontvangen van csirt@divd.nl met je emailadres en een deel van een wachtwoord erin, dan betekent dit dat je ervanuit moet gaan dat deze informatie in handen is van criminelen.

• Ga na of je deze combinatie van email adres en wachtwoord ergens gebruikt.
• Als je deze combinatie ergens gebruikt, wijzig het wachtwoord dan onmiddellijk.
• Ga na welke gevolgen misbruik van dit wachtwoord tussen eind november en nu kan hebben.

Heeft u vragen of hulp nodig naar aanleiding van deze email, dan kunt u ons via dit email adres bereiken (csirt@divd.nl).

Wat doen wij?

Wij hebben het Nederlandse deel van de lijst van de onderzoeker ontvangen. Wij gaan, in de komende dagen, aan ieder van de email adressen op de lijst een mailtje sturen zodat de slachtoffers op de hoogte zijn van het lek.

Timeline

Meer informatie

• https://twitter.com/ffforward/status/1331960948245008388
• https://twitter.com/ffforward/status/1332073057058508800

English

Summary

At the end of November, criminals were engaged in a phishing campaign mimicking Zoom message invites an held messages. This campaign was reported on Twitter by TheAnalyst: [https://twitter.com/ffforward/status/1331960948245008388] and [https://twitter.com/ffforward/status/1332073057058508800]

While researching this phishing campaign, a researcher from a partner organisation, discovered that the phishing infrastructure leaked the captured usernames and passwords because it improperly secured certained directories.

The DIVD CSIRT has been given the Dutch part of the harvested credentials to inform potential victims.

What you can do

If you are visiting this page because you have received an email from csirt@divd.nl with your email address and part of the password in it, it means that this email/password combination has been obtained by the criminals.

• Verify if you are using this email/password combination anywhere.
• If you are, change the password immediately.
• Try to determine the consequences of abuse of this password between the end of November and now.

If you have questions about this case or need help, you can reach us on this email address (csirt@divd.nl).

What we are doing

We have received the list of email addresses and passwords. Each email address on the list will get an email over the next days to notify them of the breach.

Timeline

More information

• https://twitter.com/ffforward/status/1331960948245008388
• https://twitter.com/ffforward/status/1332073057058508800