06.11.2014 18:17

Nepmails met zeer gevaarlijke malware


Gisteren werden wij geattendeerd op nep e-mails die van verschillende incassobureaus afkomstig zouden zijn.

De e-mail betreft een niet afgehandelde aanmaning. In werkelijkheid bevat de email een DOC-bestand, wat mogelijk in een ZIP-bestand is verstopt. Het DOC-bestand bevat een kwaadaardige macro die een bestand op de computer installeert. Dit bestand bevat ‘ransomware’ van het type torrentlocker, hetzelfde type dat enkele weken geleden werd verspreid (het ging toen over mails die van PostNL zouden komen). Ransomware versleutelt massaal bestanden op de computer en netwerkschijven. Als gevolg hiervan zijn deze niet meer door de gebruikers te openen; de criminelen hierachter vragen geld om de bestanden weer vrij te geven. Of zij dit dan ook echt doen is de vraag…

Hoe kunt u deze mails herkennen?

De mails hebben één van de volgende onderwerpen:

  • “Den Haag – Incassoburea Nederland.”
  • “Den Haag - Intrum Justitia”
  • “Den Haag – Intrum Incasso”
  • “Den Haag Incasso Nederland.”
  • “INCASSO NEDERLAND.”
  • “*INCASSO* NEDERLAND.”
  • “Heb je niet geleverde pakket”


De tot nu toe bekende afzender van deze e-mails is “bdiu[at]inkasso.nl” of “postnl[at]postnl-tracktrace.com” (bij het laatste onderwerp).

Bij deze afzender zijn de volgende afzendernamen bekend:

  • “INCASSO”
  • “TELECOM”


Let op dat onderwerpen en afzenders steeds aangepast worden, wees dus ook alert op andere mails met een voor u ‘vreemd’ onderwerp of afzender.

Hoe activeert de malware?

De malware lijkt actief te worden door het openen van een bijlage (link). Zodra de bijlage wordt geklikt start er een macro en wordt de echte torrentlocker malware opgehaald en geactiveerd.

Hoe voorkom ik besmetting?

Om te voorkomen dat u geïnfecteerd raakt adviseren wij de e-mails die een onderwerp hebben zoals hierboven genoemd niet te openen en direct te verwijderen. Open sowieso nooit bijlagen van e-mails die van een onbekende afzender komen. Voor thuis is het advies om altijd een recente back-up achter de hand te hebben.

Wat te doen als het toch mis is gegaan?

Bel meteen de RID Servicedesk (10444) en informeer de CISO (beveiligingsfunctionaris) of ICT-regisseur. De RID zal de besmetting opsporen en verwijderen en vanuit de back-up de versleutelde bestanden terugzetten. Afhankelijk van de actualiteit van de laatste back-up is het mogelijk dat wijzigingen van de laatste uren niet teruggehaald kunnen worden.

Wat doet de RID-Utrecht?

De RID monitort de systemen op het voorkomen van de hierboven genoemde kenmerken en filtert de schadelijke emails zoveel mogelijk eruit. Aangezien er steeds nieuwe onderwerp en inhoud varianten is het niet mogelijk voor ons om alles te filteren zodat wij het risico niet geheel kunnen wegnemen.

Als u nog vragen heeft?

Neem contact op met de lokale CISO of ICT-regisseur of met de RID Servicedesk.

Voor meer informatie zie:


Met vriendelijke groet,
Peter van der Els
CISO
RID-Utrecht


Webdesign, webdevelopment by: Concreet geeft vorm | Design Valley