Onze bevindingen

We stellen vrij snel vast dat het vooralsnog om een eenmalige actie gaat. Omdat wij er bij onze klanten op aandringen dat er gebruik gemaakt wordt van MFA-beveiliging zien we – gelukkig – dat ook dit account is beveiligd. MFA staat voor meervoudige authenticatie, zie het als een aantal deuren waar je verschillende sleutels voor nodig hebt.

De persoon die het mailtje stuurde moet dus fysiek toegang hebben gehad tot een apparaat (tablet, laptop, mobiel) dat ingelogd was, een ander persoon zonder toegang kan dus niet zomaar vanuit dit account mailen. Mocht iemand dat wel proberen dan zal er een extra sleutel moeten worden gebruikt.

In de trace zien we het IP-nummer, de locatie vanwaar de e-mail is verzonden, datum en tijdstip. Het kost ons weinig moeite om te achterhalen dat het IP-nummer gelijk is aan de thuislocatie van de klant.

De dader

We nemen contact op en delen onze bevindingen. Er komt vrij snel een verdachte in zicht. De e-mail betreft namelijk een ziekmelding naar school. In eerste instantie ontkent de verdachte krachtig maar met het gedetailleerde overzicht uit de message trace heeft ontkennen echt geen zin meer.

Hartstikke onschuldig dus eigenlijk. Wie heeft er nou nooit een briefje van zijn ouders zelf geschreven om zijn snor bij gym te drukken? Wij zijn blij dat het met een sisser afliep maar we zijn ook blij dat we zo snel in staat zijn om eventuele onhebbelijkheden in de IT-security van onze klanten zo snel te kunnen tackelen.