Hackers kraken e-mailaccount van softwarebedrijf
AIMMS is een softwarebedrijf met het hoofdkantoor in Haarlem en vestigingen in Seattle en Singapore. Het bedrijf viel in 2020 ten prooi aan cybercriminelen, die op slinkse wijze de tweefactorauthenticatie omzeilden en toegang kregen tot een e-mailaccount en openstaande facturen. Jan-Willem van Crevel is bij AIMMS verantwoordelijk voor onder meer software ontwikkeling en informatiebeveiliging en deelt het verhaal over de aanval op zijn LinkedIn-pagina. Hij is enigszins beschaamd over de gebeurtenis, maar hij kiest er bewust voor om zijn verhaal te vertellen: "Hopelijk kunnen andere ondernemers leren van deze beangstigende ervaring.”
Een waakzame klant
Het verhaal begint op een vrijdagavond in mei 2020 als Van Crevel een sms ontvangt van een collega van het kantoor in Seattle. “Ze communiceert met klanten over betalingen en liet me weten dat een van onze Amerikaanse klanten een e-mail had ontvangen van ons info-mailadres met haar e-mailhandtekening. Klanten werden in deze e-mail op de hoogte gebracht van een wijziging van de bankrekening en hen werd gevraagd om het openstaande factuurbedrag over te maken naar die nieuwe bankrekening.” Maar deze e-mail had zij helemaal niet verstuurd. Het was een e-mail verstuurd door cybercriminelen, ontdekte Van Crevel.
Dankzij de waakzaamheid van de klant en het bericht van de collega in Seattle kan Van Crevel gelijk in actie komen en hij zet met zijn collega’s een incident response plan in gang. Ze ontdekken dat er vanuit het info-account mails gestuurd zijn naar een tiental klanten die grote openstaande facturen hebben. Al deze klanten worden verzocht de openstaande facturen naar nieuwe bankrekeningen over te maken die niet van AIMMS zijn. Van Crevel en zijn team blokkeren onmiddellijk de desbetreffende mailaccounts zodat de cybercriminelen geen toegang meer hebben.
Van Crevel: “Ze hadden duidelijk voorkennis. Die berichten waren naar andere e-mailaccounts gestuurd vanuit een domeinnaam die erg op die van ons leek, aimrns.com, maar met namen van AIMMS-medewerkers zoals accountmanagers (dit is ook wel bekend als typosquatting, red.). Kopieën van deze berichten in de map ‘Verzonden’ zijn handmatig verplaatst naar een andere, vrijwel ongebruikte map, om te voorkomen dat ze werden gezien. De IP-adressen van de aanvallers werden getraceerd naar Nigeria en verschillende locaties in de VS.”
Iedereen op de hoogte stellen
AIMMS stelt een lijst op van alle klanten met openstaande facturen en stuurt ze een bericht waarin het bedrijf hen informeert dat de bankgegevens niet zijn gewijzigd en waarin gevraagd wordt contact op te nemen als ze berichten van AIMMS hierover hebben ontvangen of gaan ontvangen. Later die dag stuurt het bedrijf een soortgelijk bericht naar alle overige klanten.
De cybercrimeverzekering van AIMMS wordt ingelicht, die vervolgens de hulp inschakelt van het specialistisch onderzoeksbureau Northwave. Van Crevel: “Hun experts kwamen tot de conclusie dat we alle juiste stappen hadden ondernomen om de aanval af te weren. We konden ons concentreren op de volgende stap: het identificeren van de schade en onderzoeken hoe de aanval was gebeurd. We hebben de aanval gemeld bij de Nederlandse politie en de politie van de staat Washington.” Ook meldt AIMMS het datalek bij de Nederlandse Autoriteit Persoonsgegevens.
De cybercriminelen zetten hun aanval voort
Hoewel het info-account van AIMMS inmiddels niet meer toegankelijk is, vinden de cybercriminelen toch een manier om hun aanval voort te zetten. Ze sturen herinneringse-mails afkomstig van het domein aimrns.com naar de klanten van AIMMS waarin ze aandringen op spoedige betaling. “Samen met Northwave hebben we de uitgevende partij van de domeinnaam waar aimrns.com was geregistreerd, verzocht om het domein te verwijderen. We hebben nooit een reactie gekregen.”
Als het weekend voorbij is, lichten Van Crevel en zijn team alle zakenrelaties en AIMMS-medewerkers in over de aanval. “We brachten ze op de hoogte van mogelijk verlies van persoonlijke gegevens, aangezien twee e-mailaccounts waren gehackt en aanvallers mogelijk de namen van contactpersonen, e-mailadressen en telefoonnummers hadden gestolen. Dit was ook bedoeld om onze AVG-verplichtingen na te komen.” Tot opluchting van Van Crevel nemen in de loop van de week de meldingen van frauduleuze e-mailberichten af. Daarop besluit AIMMS de twee e-mailaccounts weer in gebruik te nemen, uiteraard voorzien van nieuwe wachtwoorden. Het bedrijf onderhoudt nauw contact met klanten die vragen hebben naar aanleiding van de aanval. Medewerkers van AIMMS worden via interne communicatie uitgebreid op de hoogte gehouden van de situatie.
Gelekt wachtwoord
Dankzij adequaat handelen kan AIMMS voorkomen dat klanten de dupe worden van deze cyberaanval. Daarmee wordt mogelijk veel financiële schade voorkomen. Maar een belangrijke vraag is nog niet beantwoord. Hoe konden de hackers zo binnendringen op het account van een medewerker, terwijl ze gebruik maken van tweefactorauthenticatie? Volgens het onderzoeksrapport van Northwave gebruikte de medewerker een zwak wachtwoord, dat bovendien al voor verschillende accounts gebruikt werd. Dat wachtwoord was door een eerder datalek op internet te vinden. Vervolgens hebben de hackers de tweefactorauthenticatie kunnen omzeilen. Op dit account stond de telefonisch 2FA-optie aan, een automatische robotcall naar het telefoonnummer van de gebruiker, waarna de gebruiker door simpelweg op hekje (#) te drukken de inlogpoging kan goedkeuren. De hackers bleven de authorisatie aanvragen net zolang (8 keer) tot de gebruiker dacht dat de laptop deze authenticatie nodig had en dus op # (hekje) drukte. Zo verschafte de medewerker onbedoeld de aanvallers toegang tot het e-mailaccount. Deze aanvalstechniek wordt ook wel MFA fatigue of MFA spamming genoemd.
Daarna konden de cybercriminelen rustig hun gang gaan. In de mailboxen van de medewerker konden ze informatie vinden over klanten met openstaande facturen. Ook had de medewerker toegang tot de info-mailbox waardoor de criminelen klanten niet van echt te onderscheiden e-mails kon versturen. De e-mails leken authentiek omdat er cc’s werden verstuurd naar nepadressen van collega’s. De mails werden vervolgens verstopt in e-mailmappen die bijna niet gebruikt werden.
Het verhaal loopt met een sisser af. De klanten van AIMMS zijn er niet ingetuind. Er is gelukkig geen grote financiële schade geleden. Maar geschrokken is Van Crevel wel: “Het was een paar dagen lang heel beangstigend en hectisch. Een cyberaanval lijkt iets abstracts, maar het werd voor ons opeens heel echt en bedreigend. We zijn er een paar dagen heel druk mee geweest.” Van Crevel heeft verschillende lessen getrokken uit de situatie, die hij hieronder deelt. Ook de medewerkers van AIMMS zijn erg geschrokken, zijn alerter dan tevoren en hebben actie ondernomen om de beveiliging nog beter te maken.
Je wordt pas bewust hoe belangrijk veilig digitaal ondernemen is, wanneer je zelf het slachtoffer van een cyberaanval bent.
Lessen van AIMMS
Om andere ondernemers voor een soortgelijk incident te behoeden, deelt Jan-Willem van Crevel hieronder enkele tips:
- Zorg dat je medewerkers sterke en unieke wachtwoorden gebruiken.
- Blokkeer het gebruik van voice-respons voor tweefactorauthenticatie. Verplicht het gebruik van codes via een app of hardware key, geen codes via sms.
- Creëer aparte e-mailadressen voor facturatie en correspondentie over betalingen en beperk toegang tot deze mailbox zoveel mogelijk.
- Maak het helder aan je klanten hoe je ze informeert over nieuwe betalingsgegevens, zoals een nieuw bankrekeningnummer. Zie ook de pagina Spookfacturen.
- Toch het slachtoffer van een cyberaanval? Schakel een extern cybersecuritybedrijf in voor professionele afhandeling en onderzoek.
- Stel een Cyber Incident Response plan op, waarin duidelijk is wie verantwoordelijk is voor het afweren van een aanval en zet daarin ook de contactgegevens van belangrijke partijen.
Gebruiken jouw medewerkers sterke wachtwoorden?
Lees meer over het gebruik van sterke wachtwoorden. Op die manier houd je kwaadwillenden buiten de deur.
Ondernemend Nederland vertelt
Het Digital Trust Center streeft naar een digitaal veilig ondernemend Nederland. Dit doen wij door kennis en informatie te bieden waar ondernemers zelf mee aan de slag kunnen. Net zo belangrijk zijn verhalen van ondernemers uit de praktijk. Wat kun jij leren van ondernemers die met een cyberaanval te maken hebben gehad?
Starten met cybersecurity
Heb je nog geen kennis en ervaring? Pak het dan praktisch en gefaseerd aan met de CyberVeilig Check voor zzp en mkb. Weet binnen 5 minuten wat je vandaag te doen staat om je bedrijf beter te beschermen tegen cyberaanvallen. Download je eigen actielijst en ga vandaag nog aan de slag met onze praktische instructies en tips.