De cybercrimineel of bende achter de overtuigende Nuon-phishingmail, via datadiefstal bij De Zaak, is al sinds juni bezig. Het NCSC verwacht niet dat dit de laatste actie is.

"Sinds juni is deze persoon of groep bezig", verklaart NCSC-woordvoerster Mary-Jo van de Velde. Zij antwoordt op vragen van Webwereld over de datadiefstal bij ondernemerstijdschrift/kennisnetwerk De Zaak. Bij die digitale inbraak is een adressenbestand is buitgemaakt waarmee direct een nepincassomailing is verstuurd, zogenaamd van Nuon.

"De verwachting is dus dat dit niet de laatste actie is." Zij vertelt aan Webwereld dat het ict-securityorgaan van de Nederlandse overheid sinds juni meldingen ontvangt. Daarnaast heeft het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie ook zelf activiteit gedetecteerd. Die detectie betreft een "toename van spamactiviteiten vanuit dezelfde bron".
Zelfde doel

De door die cybercrimineel of cyberbende verstuurde berichten hebben volgens haar hetzelfde doel. Dat betreft dan niet de ontvangers (het doelwit), maar het directe nut van de malafide mails. De afzenders willen direct n indirect geld afhandig maken.

Het eerste doen ze met de phishingmail zelf die geld aftroggelt via de namaak incasso. Het tweede doen ze met de 'extra lading' van de mail: de daarin opgenomen hyperlinks naar klaarstaande malware. De Nuon-phishingmail aan Nederlandse mkb'ers bevatte links naar de site van het zogenaamde incassobureau Proquest waar nieuwe, nog weinig gedetecteerde malware de bezoekers opwachtte.
Dubbele bedreiging

Gelijk na de Nuon-phishingmails van vorige week waarschuwde het NCSC voor de dubbele bedreiging van nep-incasso plus malware. "Deze links leiden naar een virus dat momenteel nauwelijks wordt herkend door anti-virus software." Bijkomend probleem in de opsporing en aanpak van de bron is dat de cybercrimineel of -criminelen het anonimiseringsnetwerk TOR (The Onion Routing) gebruiken.

"Dat bemoeilijkt het om ze kort te sluiten" geeft Van de Velde aan. Reguliere middelen om ip-adressen van spamverzenders of phishers uit te schakelen, gaan niet op omdat TOR de oorsprong van ip-verkeer verbergt. Normaliter dient dit om dissidenten in landen als Egypte, Syri en Iran te beschermen. Cybercriminelen hebben het nut van TOR ook ontdekt.
'Nooit accepteren'

Het NCSC benadrukt dat die betere ontwijking van opsporing niet betekent dat deze cybercriminaliteit maar moet worden geaccepteerd. "We moeten dit nooit accepteren", zegt Van de Velde. Zij wijst erop dat het NCSC naast bestrijding ook werkt aan voorlichting over dit soort malafide activiteiten. Zorgen voor bekendheid moet de impact van phishing en malware ook verminderen.