Valse e-mail van Apotheek DeLeij
17 oktober 2023
Update maandag 16 oktober 2023 18.00 uur
We weten uit onderzoek naar welke e-mailadressen op 9 oktober het bewuste phishingbericht is verzonden. Vervolgens hebben wij in de mailbox van Apotheek ETZ onderzocht of bij deze mailadressen andere persoonsgegevens aanwezig waren dan alleen een mailadres of telefoonnummer.
Uit deze analyse blijkt dat dit adresgegevens, medicatiegegevens, (herhaal)recepten en burgerservicenummers (BSN) kunnen zijn. Gelet op het karakter van het incident lijkt het er niet op dat hackers deze gegevens hebben ingezien, maar de toegang tot de mailbox alleen hebben gebruikt voor het verzamelen van mailadressen voor het versturen van het phishingbericht.
Wij kunnen echter helaas niet volledig uitsluiten dat gegevens toch zijn ingezien. De personen die eerder persoonlijk met Apotheek ETZ hebben gemaild, en waarvan uit analyse blijkt dat een of meer van de op hun betrekking hebbende voornoemde persoonsgegevens in een of meerdere berichten in de mailbox aanwezig waren, hebben hierover op 13 oktober persoonlijk bericht van ons ontvangen met als onderwerp “Belangrijke info n.a.v. valse mail Apotheek ETZ 9 oktober”. Voor de volledigheid staat hieronder de inhoud van dit bericht:
Geachte,
Zoals u wellicht eerder in onze berichtgeving heeft gelezen, vond op maandag 9 oktober een ICT beveiligingsincident plaats bij Apotheek ETZ. Hackers hebben toegang weten te krijgen tot de mailbox van de apotheek en deze toegang gebruikt voor het versturen van een phishingmail (valse e-mail) met als afzender info@apotheekdeleij.nl en onderwerp ‘Factuur VRKF23105915’.
Wij willen benadrukken dat de valse e-mail géén gevolgen heeft voor patiënten van het ETZ en het gebruik van patiëntenportaal MijnETZ. Want de mailbox die Apotheek ETZ gebruikt, waar de hackers toegang toe hebben gekregen, is niet verbonden met de systemen van het ETZ.
Direct nadat wij achter de hack kwamen, zijn wij een onderzoek gestart, is de toegang tot de mailbox geblokkeerd en zijn de links in de mail uit de lucht gehaald. Ook hebben wij uit voorzorg direct een waarschuwingsbericht op de website en social mediakanalen van het ETZ geplaatst. Verder zijn aanvullende technische en organisatorische maatregelen getroffen met betrekking tot de beveiliging van de mailbox om herhaling van dit incident te voorkomen, bijvoorbeeld het direct wijzigen van wachtwoorden.
Uit het onderzoek komt naar voren dat deze phishingmail is verzonden naar het mailadres waarop u van ons dit bericht ontvangt. Mogelijk heeft u deze mail op 9 oktober ontvangen op of rondom het tijdstip van 15.22 uur. We adviseren u om de mail niet te openen, beslist niet op de link te klikken en de mail direct te verwijderen! Heeft u op de link in de e-mail geklikt en daarna een gebruikersnaam en wachtwoord ingevuld? Wijzig dan direct het wachtwoord bij deze gebruikersnaam. Controleer of de softwarebeveiliging, zoals een virusscanner, op uw apparaat up-to-date is.
Omdat de verzender van de valse e-mail toegang heeft gehad tot de mailbox van Apotheek ETZ kunnen we niet uitsluiten dat men berichten heeft kunnen inzien. Uit analyse van de berichten in deze mailbox komt naar voren dat dit kan gaan over adresgegevens, medicatie en (herhaal)recepten of burgerservicenummer (BSN). Gelet op het karakter van het incident lijkt het er niet op dat de hackers deze gegevens hebben ingezien, maar de toegang alleen hebben gebruikt voor het verzamelen van mailadressen om het phishingbericht te versturen. Wij kunnen dit echter helaas niet uitsluiten. Wij vragen u daarom met klem de komende periode alert te zijn op verdachte e-mailberichten of telefonische benadering, bijvoorbeeld via WhatsApp of een telefoontje.
Via dit nieuwsbericht kunt u onze eerdere berichtgeving en de laatste stand van zaken lezen over dit incident.
Update dinsdag 10 oktober 13.30 uur
Het ETZ doet onderzoek naar de bron en de eventuele gevolgen van de valse e-mail. Inmiddels is bekend dat de link in deze e-mail naar een website leidde, waar weer een link naar een andere website achter zat, die aangeklikt moest worden.
Heb je op de link in de e-mail geklikt en daarna een gebruikersnaam en wachtwoord ingevuld? Wijzig dan direct het wachtwoord bij deze gebruikersnaam. En controleer of de software beveiliging op je apparaat up-to-date is.
Advies is verder om de komende tijd extra alert te zijn op verdachte e-mails.
Bericht maandag 9 oktober
Aanvulling d.d. 17 oktober 16.00 uur
In onderstaand bericht staat dat het e-mailadres info@apotheekdeleij.nl niet meer actief wordt gebruikt voor het versturen en ontvangen van mail. Dit klopt niet. Dit e-mailadres wordt nog steeds gebruikt door Apotheek ETZ. Dit e-mailadres komt spoedig te vervallen, zodra de systemen van Apotheek ETZ zijn overgezet naar de IT-omgeving van het ETZ.
Het ETZ waarschuwt je voor een potentieel gevaarlijke phishing e-mail die maandagmiddag 9 oktober omstreeks 15.23 uur is verstuurd. Deze valse e-mail heeft als onderwerp "Factuur VRKF23105915". Bij de ontvanger wordt de indruk gewekt dat het bericht afkomstig zou zijn van "Info | Apotheek DeLEIJ" met het e-mailadres "info@apotheekdeleij.nl".
De e-mail sluit af met de woorden "Thank you. Best regards, Team Apotheek ETZ."
We willen benadrukken dat dit een valse e-mail is, die niet door het ETZ of de apotheek is verstuurd.
Verwijder de e-mail direct.
Inmiddels is er al voor gezorgd dat niet meer op de link in de e-mail geklikt kan worden.
Er zijn verschillende redenen waarom deze e-mail als verdacht moet worden beschouwd:
- Naam: Het ETZ heeft sinds enige tijd de naam van de apotheek gewijzigd naar "Apotheek ETZ" en gebruikt niet langer de naam "Apotheek DeLEIJ". Dit is een duidelijke aanwijzing dat de e-mail niet legitiem is.
- Facturatie: Apotheek ETZ verstuurt nooit digitale facturen per e-mail. Facturen worden nog steeds altijd op papier per post verstuurd. Het feit dat deze e-mail een digitale factuur bevat, is verdacht.
Het ETZ heeft deze phishing e-mail als datalek gemeld bij de Autoriteit Persoonsgegevens. Momenteel wordt verder onderzoek gedaan.
Onze excuses voor het eventuele ongemak.
