Skip to the content.

DIVD-2020-00013 - Gelekte phishing wachtwoorden / Leaked phishing credentials

Our referenceDIVD-2020-00013
Case leadFrank Breedijk
Researcher(s)
    CVE(s)
    • n/a
    Productn/a
    Versionsn/a
    Recommendation If you have been notified that your email/password is on the list, change and stop using this particular password.
    StatusOpen

    English below

    Samenvatting

    Eind november hebben criminelen een phishing campagne uitgevoerd waarin ze gebruik gemaakt hebben van valse Zoom uitnodigingen en berichten over quarantaine van emails. TheAnalyst heeft over deze campagne getweet: bericht 1 en bericht 2

    Tijdens onderzoek naar deze campagne is een onderzoeker van een partner organisatie er achter gekomen dat de server die gebruikt werd voor de phishing pagina via onvoldoende beveiligde directories lijsten met buitgemaakte email/wachtwoord combinaties lekte.

    Het DIVD CSIRT heeft van de onderzoeker het Nederlandse deel van deze lijsten ontvangen met als doel de slachtoffers op de hoogte te brengen.

    Wat kunt u doen?

    Als je deze pagina bezoek omdat je een email heeft ontvangen van csirt@divdi.nl met je wachtwoord en een deel van een wachtwoord erin, dan betekent dit dat je ervanuit moet gaan dat deze informatie in handen is van criminelen.

    Heeft u vragen of hulp nodig naar aanleiding van deze email, dan kunt u ons via dit email adres bereiken (csirt@divd.nl).

    Wat doen wij?

    Wij hebben het Nederlandse deel van de lijst van de onderzoeker ontvangen. Wij gaan, in de komende dagen, aan ieder van de email adressen op de lijst een mailtje sturen zodat de slachtoffers op de hoogte zijn van het lek.

    Timeline

    datumOmschrijving
    29-11-2020Phishing campagne gemeld op Twitter
    8-12-2020Nederlandse lijst ontvangen door DIVD CSIRT
    8-12-2020 - 20-12-2020 Interne discussie binnen DIVD over hoe om te gaan met dit soort cases
    01-01-2021Eerste emails verstuurd

    Meer informatie

    *


    English

    Summary

    At the end of November, criminals were engaged in a phishing campaign mimicking Zoom message invites an held messages. This campaign was reported on Twitter by TheAnalyst : [https://twitter.com/ffforward/status/1331960948245008388] and [https://twitter.com/ffforward/status/1332073057058508800]

    While researching this phishing campaign, a researcher from a partner organisation, discovered that the phishing infrastructure leaked the captured usernames and passwords because it improperly secured certained directories.

    The DIVD CSIRT has been given the Dutch part of the harvested credentials to inform potential victims.

    What you can do

    If you are visiting this page because you have received an email from csirt@divd.nl with your email address and part of the password in it, it means that this email/password combination has been obtained by the criminals.

    If you have questions about this case or need help, you can reach us on this email address (csirt@divd.nl).

    What we are doing

    We have received the list of email addresses and passwords. Each email address on the list will get an email over the next days to notify them of the breach.

    Timeline

    DateDescription
    29-11-2020Phishing campaign reported on Twitter
    8-12-2020Dutch list received by DIVD CSIRT
    8-12-2020 - 20-12-2020 Internal discussion about how to handle cases like this
    31-12-2020 First emails sent

    More information