De afgelopen periode heeft HCC meerdere ernstige meldingen ontvangen van leden die phishingmails hebben gekregen die zich voordoen als berichten van ABN AMRO. Phishing die zogenaamd van een bank afkomstig is, is helaas geen nieuw verschijnsel. Wat deze situatie echter wezenlijk anders en ernstiger maakt, is dat deze phishingmails zijn verzonden via echte, geauthenticeerde HCCnet-accounts. Dat betekent dat deze e-mails technisch correct zijn verstuurd via de HCCnet-infrastructuur. Zij passeren daardoor zonder problemen beveiligingscontroles zoals SPF, DKIM en DMARC en komen vaak ongefilterd in de inbox terecht. Juist dit maakt deze aanval extra verraderlijk.
Wat is er concreet geconstateerd?
In meerdere gevallen zijn e-mails ontvangen die:
* afkomstig lijken van een HCCnet-adres (@hccnet.nl);
* zich voordoen als een dringend bericht van ABN AMRO;
* proepen tot snelle actie, zoals het klikken op een link of het “controleren” van gegevens.
Uit analyse van de e-mailheaders blijkt dat deze berichten daadwerkelijk via de reguliere HCCnet-mailservers zijn verzonden en technisch correct zijn geauthenticeerd. Tegelijkertijd is zichtbaar dat de verzending is geïnitieerd vanaf IP-adressen buiten Nederland. In ten minste één geval gaat het om een IP-adres (85.192.27.96) dat wordt gelinkt aan Aeza Group, een buitenlandse hostingpartij die internationaal bekendstaat als zogenaamde “bulletproof hoster” en recent door de Verenigde Staten is gesanctioneerd.
Dit wijst erop dat meerdere HCCnet-accounts zijn overgenomen door derden.
Geen spoofing, maar accountmisbruik
Het is belangrijk dit duidelijk te onderscheiden van klassieke e-mailspoofing. In deze gevallen is het afzenderadres niet vervalst. Er is misbruik gemaakt van echte accounts met geldige inloggegevens.
Dit betekent concreet dat:
* aanvallers beschikken over correcte gebruikersnaam-wachtwoordcombinaties;
* de verzonden e-mails technisch niet te onderscheiden zijn van legitieme mail van de betreffende gebruiker;
* ontvangers extra alert moeten zijn, zelfs als een mail “van een bekend HCC-lid” afkomstig lijkt.
Hoe kunnen accounts zijn gecompromitteerd?
Er zijn meerdere realistische oorzaken:
* Phishing van gebruikers zelf
* Een gebruiker heeft onbewust zijn HCCnet-inloggegevens ingevuld op een valse website.
Credential stuffing
Hetzelfde wachtwoord is op meerdere diensten gebruikt. Na een datalek elders worden deze combinaties automatisch uitgeprobeerd op e-maildiensten. Zwakke of oude wachtwoorden: Wachtwoorden die al jaren niet zijn gewijzigd of eenvoudig te raden zijn, vergroten het risico aanzienlijk.
Zodra een aanvaller toegang heeft tot een account, kan dit worden misbruikt zonder dat de eigenaar dit direct merkt.
Waarom zijn deze phishingmails zo gevaarlijk?
Deze e-mails:
* zijn verzonden via legitieme HCCnet-servers;
* voldoen aan alle technische e-mailstandaarden;
* lijken afkomstig van een vertrouwd adres.
Daardoor worden zij nauwelijks door spamfilters tegengehouden. Bovendien wekt een mail “van HCCnet” sneller vertrouwen, waardoor de kans groter is dat iemand toch op een link klikt of gegevens prijsgeeft.
Oproep aan alle HCC-leden
Wij vragen alle leden dringend om extra alert te zijn. Heb je een e-mail ontvangen die:
* zich voordoet als bericht van ABN AMRO (of een andere bank);
* afkomstig lijkt van een HCCnet-adres;
* urgentie suggereert (“direct handelen”, “account geblokkeerd”, “laatste waarschuwing”)?
Doe dan het volgende:
* klik niet op links en open geen bijlagen;
* verstrek geen gegevens;
* informeer, indien mogelijk, de ogenschijnlijke afzender dat zijn of haar HCCnet-account mogelijk is misbruikt;
* meld het incident bij HCC, zodat wij zicht krijgen op de omvang.
Wat kunnen getroffen afzenders doen?
Als jouw HCCnet-adres is misbruikt als afzender van phishingmails, is snelle actie noodzakelijk.
Volg de officiële procedure “Hoe laat ik mijn HCCnet-account deblokkeren” op de HCC-website. In deze procedure:
* voer je een scan uit op je apparaat en stel je de logfile veilig;
* wijzig je onmiddellijk je wachtwoord, ook als je nog toegang hebt tot je account;
* controleer je in Mijn Gegevens of je account is geblokkeerd.
* Is je account geblokkeerd, dan moet ook stap 3 van de procedure worden uitgevoerd: het insturen van het formulier.
* Is je account niet geblokkeerd, dan is het formulier niet nodig, maar blijven de scan en de wachtwoordwijziging essentieel.
Deze stappen zijn noodzakelijk om herhaling en verdere schade te voorkomen.
Wat kan HCC doen – en wat niet?
HCC neemt deze signalen zeer serieus, maar wil ook transparant zijn over de mogelijkheden.
Wat HCC wel kan doen:
* accounts laten blokkeren of resetten bij signalen van misbruik;
* leden waarschuwen bij bredere incidenten;
* algemene beveiligingsmaatregelen blijven aanscherpen.
Wat HCC niet kan:
* diepgaand forensisch onderzoek uitvoeren in SMTP-logging zoals gespecialiseerde securitybedrijven dat doen;
* met zekerheid vaststellen waar en wanneer inloggegevens exact zijn buitgemaakt.
HCC werkt grotendeels met vrijwilligers en beperkte middelen en is daarom mede afhankelijk van meldingen en alertheid van leden.
Wat kun je zelf structureel doen?
Deze situatie onderstreept opnieuw het belang van goede digitale hygiëne:
* gebruik unieke, sterke wachtwoorden voor e-mailwijzig wachtwoorden periodiek;
* wees extra kritisch op berichten die haast en dreiging suggereren;
* vertrouw niet blind op afzendernaam of domein.
Tot slot
Het misbruik van HCCnet-accounts voor phishing is zorgelijk, maar door alertheid, snelle melding en gezamenlijke actie kunnen we verdere schade beperken. HCC blijft de situatie nauwlettend volgen en zal leden informeren zodra daar aanleiding toe is.
Alertheid, transparantie en samenwerking zijn hierbij essentieel.
Met vriendelijke groet,
Wijnand van Swaaij
Voorzitter/secretaris Hoofdbestuur
