Stad Antwerpen stuurt phishingmails uit

Pieterjan Van Leemputten

gisteren om 12:04 Bijgewerkt op: gisteren om 12:44 Bron: Data News

Het lijkt erop dat één of meerdere accounts bij de stad Antwerpen zijn gehackt. Het support adres stuurt momenteel phishingmails uit.

De kans bestaat dat je als inwoner van Antwerpen recent mails ontvangt van de stad die je proberen op te lichten. IT ondernemer Frank Louwers meldt aan Data News dat hij vanaf support@antwerpen.be een poging tot phishing ontving. De mail in kwestie is ook op X te bekijken.

Oh, is @Stad_Antwerpen phishing for MetaMask, using Stad Antwerpen's Campaign Monitor account (nieuwsbrief[.]antwerpen[.]be). Sender is support @ antwerpen[.]be and the mail *is* DKIM signed, leading me to believe @Stad_antwerpen's CM account got hacked. cc @CCBbelgium pic.twitter.com/eQqxKzb1rM
— Frank Louwers (@frank_be) October 15, 2024

De inhoud op deze pagina wordt momenteel geblokkeerd om jouw cookie-keuzes te respecteren. Klik hier om jouw cookie-voorkeuren aan te passen en de inhoud te bekijken.
Je kan jouw keuzes op elk moment wijzigen door onderaan de site op "Cookie-instellingen" te klikken."

De mail in kwestie gaat niet over Antwerpse stadsdiensten of logins, maar meldt (valselijk) dat je MetaMask wallet is geblokkeerd. Dat moet slachtoffers overtuigen om via een link in de mail in te loggen met hun MetaMask gegevens. Die gegevens kunnen dan worden misbruikt door criminelen. MetaMask is een virtuele portefeuille voor cryptomunten, toegang tot die wallet kan criminelen dus rechtstreeks geld opleveren.

Data News contacteerde Antwerpen over het incident. Daar klinkt het dat het hackingprobleem bij een externe partner ligt. ‘Het betreft geen mailadres van Stad Antwerpen’, zegt een woordvoerder. Dat klopt voor alle duidelijkheid niet. Het kan zijn dat het om een externe nieuwsbrieventool die werd gehackt, maar het adres in kwestie is support@antwerpen.be, dat is het domein van de stad Antwerpen.

Is dit een grote hack?

Antwerpen werd bijna twee jaar geleden getroffen door een grote cyberaanval waarbij verschillende diensten wekenlang onbeschikbaar waren. Dit incident is voor zover bekend veel kleinschaliger en vermoedelijk minder schadelijk.

Naar alle waarschijnlijkheid werd de Campaign Monitor account gehackt. Die is gekoppeld aan de nieuwsbrieven van de stad. Dat maakt dat criminelen met een geldige digitale handtekening (DKIM) mails kunnen uitsturen vanuit support@antwerpen.be.

Dat er geen mails worden gestuurd namens de stad Antwerpen, maar wel namens MetaMask, doet vermoeden dat het om een ‘doorsnee’ phishingpoging gaat in plaats van een gerichte aanval op de stad of haar burgers.

Waarom?

Toch is zo’n hack nog steeds ‘nuttig’ voor criminelen. De phishingmail die werd uitgestuurd komt immers van een legitiem adres. De kans is zeer groot dat die daarom vlot door spamfilters geraakt waardoor meer mensen hem ontvangen en de kans op slachtoffers veel groter is.

Het is niet ideaal, maar zulke hacks komen regelmatig voor. Zodra een medewerker op een verdachte link klikt en daar gegevens invoert, bestaat de kans dat met die gegevens diens digitale werkplek wordt overgenomen.
Vorige week nog sprak Data News met de CISO van Den Haag. Ook hij vertelde hoe er recent drie accounts korte tijd waren overgenomen, wat er op enkele minuten tijd voor zorgde dat er 15.000 phishingmails ‘namens Den Haag’ werden uitgestuurd.

Update 12.40 uur:
Artikel aangevuld met een reactie van de stad Antwerpen.

Lees meer over: