Anatomie van een phishing-incident
De meeste inbraken beginnen nog steeds met iemand die op een link klikt. Dit is een geschoonde uitwerking van een credential-phishingzaak en de tijdlijn die ertoe deed.
De tijdlijn
Incident response staat of valt met een accurate tijdlijn. Reconstrueer hem voordat je gaat theoretiseren:
- 08:42 — gebruiker meldt een “mailbox vol”-e-mail
- 08:55 — dezelfde template gezien door twaalf andere ontvangers
- 09:10 — één set inloggegevens ingevuld op het neppe portaal
- 09:13 — succesvolle login vanaf een buitenlandse ASN
Het doel van triage is niet om alles te vinden. Het is om snel één vraag te beantwoorden: is er daadwerkelijk iets gelukt?
De headers ophalen
Begin bij de ruwe e-mail. Authenticatie-resultaten scheiden spoofs van look-alike-domeinen:
# Haal de relevante authenticatie-headers uit een opgeslagen .eml
grep -iE 'authentication-results|received-spf|dkim|return-path|^from:' message.eml
Containment-checklist
| Actie | Eigenaar | Wanneer |
|---|---|---|
| Actieve sessies intrekken | IT / IAM | direct |
| Wachtwoordreset forceren | IT / IAM | direct |
| Afzender + URL blokkeren | Mail / proxy | binnen 1u |
| Zoeken naar inbox-regels | SOC | dezelfde dag |
Aanvallers maken vaak een verborgen inbox-regel aan die antwoorden automatisch verwijdert om hun sporen te wissen. Controleer altijd op nieuwe regels — de voordeur sluiten heeft geen zin als er nog een raam openstaat.