Skip to the content.

DIVD-2020-00013 - Gelekte phishing wachtwoorden / Leaked phishing credentials

Our reference DIVD-2020-00013
Case lead Frank Breedijk
Researcher(s)
CVE(s)
  • n/a
Product n/a
Versions n/a
Recommendation If you have been notified that your email/password is on the list, change and stop using this particular password.
Status Closed

English below

Samenvatting

Eind november hebben criminelen een phishing campagne uitgevoerd waarin ze gebruik gemaakt hebben van valse Zoom uitnodigingen en berichten over quarantaine van emails. TheAnalyst heeft over deze campagne getweet: bericht 1 en bericht 2

Tijdens onderzoek naar deze campagne is een onderzoeker van een partner organisatie er achter gekomen dat de server die gebruikt werd voor de phishing pagina via onvoldoende beveiligde directories lijsten met buitgemaakte email/wachtwoord combinaties lekte.

Het DIVD CSIRT heeft van de onderzoeker het Nederlandse deel van deze lijsten ontvangen met als doel de slachtoffers op de hoogte te brengen.

Wat kunt u doen?

Als je deze pagina bezoekt omdat je een email heeft ontvangen van csirt@divd.nl met je emailadres en een deel van een wachtwoord erin, dan betekent dit dat je ervanuit moet gaan dat deze informatie in handen is van criminelen.

Heeft u vragen of hulp nodig naar aanleiding van deze email, dan kunt u ons via dit email adres bereiken (csirt@divd.nl).

Wat doen wij?

Wij hebben het Nederlandse deel van de lijst van de onderzoeker ontvangen. Wij gaan, in de komende dagen, aan ieder van de email adressen op de lijst een mailtje sturen zodat de slachtoffers op de hoogte zijn van het lek.

Timeline

datum Omschrijving
29-11-2020 Phishing campagne gemeld op Twitter
8-12-2020 Nederlandse lijst ontvangen door DIVD CSIRT
8-12-2020 - 20-12-2020 Interne discussie binnen DIVD over hoe om te gaan met dit soort cases
01-01-2021 Eerste emails verstuurd

Meer informatie

*


English

Summary

At the end of November, criminals were engaged in a phishing campaign mimicking Zoom message invites an held messages. This campaign was reported on Twitter by TheAnalyst: [https://twitter.com/ffforward/status/1331960948245008388] and [https://twitter.com/ffforward/status/1332073057058508800]

While researching this phishing campaign, a researcher from a partner organisation, discovered that the phishing infrastructure leaked the captured usernames and passwords because it improperly secured certained directories.

The DIVD CSIRT has been given the Dutch part of the harvested credentials to inform potential victims.

What you can do

If you are visiting this page because you have received an email from csirt@divd.nl with your email address and part of the password in it, it means that this email/password combination has been obtained by the criminals.

If you have questions about this case or need help, you can reach us on this email address (csirt@divd.nl).

What we are doing

We have received the list of email addresses and passwords. Each email address on the list will get an email over the next days to notify them of the breach.

Timeline

Date Description
29-11-2020 Phishing campaign reported on Twitter
8-12-2020 Dutch list received by DIVD CSIRT
8-12-2020 - 20-12-2020 Internal discussion about how to handle cases like this
31-12-2020 First emails sent

More information