Phishing mail 02-12-2021

Gisteren 02/12/2021 vanaf 11hr00 is het ZOL betrokken geraakt in een phishing mail campagne die z’n origine vindt binnen een gelieerde externe artsenpraktijk.
Via die weg zijn interne ZOL medewerkers doel geworden van zeer credibele phishing mails.
Vanuit enkele legacy systemen, nog niet met de laatste security features en tools uitgerust, hebben deze mails zich verder verspreid vanuit 2 ZOL medewerkers naar enkele duizenden interne en externe contacten.
Intussen wordt versneld werk gemaakt van de verdere uitrol van lopende security initiatieven.

De mails in kwestie vragen de ontvanger om een link te volgen naar een branded oodo.com hosted shared malicious PDF bestand van waaruit verdere verspreiding en malware getriggered kan worden.
De interne ZOL security systemen hebben dat laatste actief geblokkeerd. De verdere verspreiding van de phishing mail is relatief snel ingeperkt, maar helaas niet helemaal tegengehouden kunnen worden.
Alle gekende ontvangers van deze mail hebben een aparte opvolgmail gekregen met een korte toelichting en te nemen stappen.

Eerste analyse lijkt erop te wijzen dat de branding van de landing page achter de link dynamisch van aard is en in lijn met de afzender in kwestie.
Wat betreft te nemen acties verwijzen we naar de lokaal van kracht zijnde incident response plannen.

Concrete bijkomende vragen kunnen worden gericht aan servicedesk@zol.be