Cybercriminelen kraakten het mailsysteem van de National Health Service, de openbare gezondheidszorg van het Verenigd Koninkrijk. Mailaccounts van medewerkers worden tot op heden gebruikt om phishingmails te versturen.

Er is sprake van een schandaal. Het misbruik is niet gemeld door de National Health Service (NHS), maar door de onafhankelijke securityprovider INKY. In oktober 2021 lieten enkele klanten aan de organisatie weten dat er phishingmails binnenkwamen van NHSMail, het mailsysteem van de NHS. In maart 2022 schoot het aantal meldingen omhoog.

In totaal registreerde INKY 1.157 phishingmails, afkomstig van gehackte mailaccounts van medewerkers van de NHS. INKY heeft uitsluitend zicht op mails die klanten worden ontvangen. Het totale aantal phishingmails ligt waarschijnlijk vele malen hoger.

INKY nam contact op met de NHS. Op 19 april 2022 namen de meldingen af. “Waarschijnlijk omdat de NHS initiatief nam”, deelt een woordvoerder van INKY.

Onopgelost

Alle phishingmails werden verzonden via twee IP-adressen, beide eigendom van de NHS. De grootste campagnes zijn afgeslagen, maar er komen nog altijd meldingen binnen. Volgens INKY is het zeer waarschijnlijk dat cybercriminelen nog steeds met gehackte accounts van de NHS werken. De meeste phishingmails probeerden slachtoffers naar nagemaakte Microsoft-websites te sturen om inloggegevens te stelen.

Schandaal

De NHS is vergelijkbaar met de werkzaamheden van het RIVM in Nederland. Het is dan ook opmerkelijk dat een onafhankelijk onderzoek het nieuws naar buiten heeft moeten brengen. De NHS lijkt zich niet van kwaad bewust. “We hebben processen om deze risico’s continu te monitoren en te identificeren”, verklaarde de organisatie. “We pakken ze aan in samenwerking met partners die de landelijke NHSmail-service ondersteunen en leveren.”

Het probleem met vertrouwde IP’s

Phishingmails van vertrouwde mailadressen zijn bijzonder gevaarlijk. De reden is tweeledig. Allereerst komt een cybercrimineel legitiem over op een slachtoffer. Het mailadres van de afzender is identiek aan een legitiem adres, waardoor ook oplettende ontvangers worden misleid. Ten tweede sluipt de mail door alle spamfilters heen. De IP-adressen van de NHS worden doorgaans vertrouwd, waardoor ook securitytools geen herkenning garanderen.

Tip: ‘Aantal geslaagde Nederlandse phishingaanvallen daalt met 38 procent’