Dat schrijft Fox-IT donderdag in een blogpost. Onderzoeker Maarten van Dantzig van het Delftse beveiligingsbedrijf zegt in een toelichting dat hij vreest dat al honderdduizenden Nederlanders deze spam hebben ontvangen.
Het gaat om TorrentLocker-ransomware die ook in 2014 werd gebruikt bij valse e-mails die zogenaamd van PostNL afkomstig waren. Fox-IT vermoedt dat dezelfde groep internetcriminelen achter deze aanval zit.
De e-mails gaan over een factuur van honderden euro’s die zou klaarstaan op een website. Wie op een link in de mail klikt, komt op een valse pagina uit met het uiterlijk van de Ziggo-site.
Daar wordt een zip-bestand aangeboden die de factuur zou bevatten, maar in werkelijkheid de TorrentLocker-ransomware meedraagt die alle bestanden op de computer versleutelt. Voor het vrijgeven van de bestanden wordt een geldbedrag in bitcoin gevraagd, omgerekend 400 euro.
Sneeuwbaleffect
Van Dantzig zegt dat Fox-IT de valse facturen op 6 oktober op het spoor kwam. De aanvalscampagne neemt volgens hem snel in omvang toe. “De criminelen kunnen bij de adresbestanden van de slachtoffers. Daardoor ontstaat een soort sneeuwbaleffect. Als bijvoorbeeld een werknemer geïnfecteerd raakt, kan de impact op zijn hele bedrijf groot zijn.”
Een woordvoerder van Ziggo zegt dat het bedrijf op de hoogte is van de phishingmail en via Twitter heeft gewaarschuwd voor de aanval.
De provider is bezig met achterhalen waar de mail vandaan verzonden wordt, zodat de afzender kan worden geblokkeerd. “We waarschuwen al ruim een jaar regelmatig voor phishing. Bijvoorbeeld in nieuwsbrieven, op onze site en via sociale media. Veel van onze klanten herkennen gelukkig inmiddels uit zichzelf phishingmail al.”