De cyberaanval op het Europees Geneesmiddelenbureau (EMA) in Amsterdam afgelopen jaar, was mogelijk door phishing en een onderschept token. Het ging om een token voor het inschakelen van de tweestapsverificatie.
De Volkskrant heeft dit afgelopen zaterdag gepubliceerd op basis van anonieme bronnen. Volgens de krant verzonden de hackers verschillende spearphishingmails naar EMA-medewerkers die van een collega afkomstig leken te zijn.
Tweestapsverificatie
Zodra de medewerkers op de mail klikten, werd er malware geïnstalleerd. Via de malware konden de hackers het e-mailverkeer onderscheppen. EMA had het inloggen tot het interne netwerk voorzien van tweestapsverificatie. Hierdoor kregen de aanvallers in eerste instantie geen toegang.
Token
De criminelen slaagden er echter in om een zip-bestand met een token te onderscheppen. Dit token heeft een medewerker van het Geneesmiddelenbureau nodig om de tweestapsverificatie in te schakelen: een voorwaarde om in te loggen op het interne netwerk. Met het onderschepte bestand konden de criminelen hun eigen apparaat toevoegen. Volgens de Volkskrant had EMA een optie uitgeschakeld die voorkomt dat er meerdere tokens voor dezelfde gebruiker worden gegenereerd.