Zo kwam Giro555 in actie tegen nepmails
"Wij dachten nog naïef: de goededoelensector zullen ze toch wel besparen?", zegt Titia Wenneker, coördinator online en innovatie van de Stichting Samenwerkende Hulporganisaties (SHO). Maar inmiddels weet ze beter. Cybercriminelen maken op geen enkel vlak onderscheid. Dat ondervond SHO – beter bekend als Giro555 - vlak na de start van hun inzamelingsactie voor de mensen uit Oekraïne. Binnen korte tijd gingen er nepmails uit hun naam rond. Met een e-mailadres van Giro555 als afzender en de oproep om spullen af te geven op een kantoor of een donatie te doen op een rekeningnummer die niet van Giro555 is.
Stappen bij nieuwe actie
Titia blikt er op terug: "Wij hebben een website die het hele jaar live staat, maar met name rondom onze acties veel bezocht wordt en alleen dan een donatiemogelijkheid kent. Dus elke keer als er een nieuwe actie start, nemen we de beveiliging goed door. Zo ook deze keer. We hebben de website bij Cloudflare gezet. Zij bieden een systeem dat bescherming biedt tegen allerhande online bedreigingen zoals DDoS-aanvallen. En we hebben ons e-mailsysteem extra beveiligd met SPF-validatie om te voorkomen dat spammers e-mails uit onze naam kunnen verzenden, zogenaamde spoofing."
Alerte ontvangers
Ondanks al deze maatregelen, lukte het cybercriminelen om het e-mailadres info@giro555.nl te misbruiken. Titia: "Gelukkig werden we er snel op gewezen door meerdere mensen die die e-mail hadden ontvangen. De meeste mensen weten dat het IBAN-nummer van Giro555 op 555 eindigt, dus elk ander bankrekeningnummer is al snel verdacht. Bovendien vragen wij nooit mensen spullen te komen doneren. En het telefoonnummer dat vermeld was in de e-mail klopte ook niet."
Direct in actie
Het incident response plan dat Giro555 te allen tijde klaar heeft liggen voor dit soort incidenten werd gelijk uit de kast getrokken. Titia: "Daarin staat precies wie waarvoor verantwoordelijk is en met welke partijen we waarvoor moeten schakelen. Bovendien hebben we meteen contact gezocht met de bank van de nep Giro555-rekening. Die hebben direct actie ondernomen en de rekening geblokkeerd. Zelf hebben we nog een bericht geplaatst op onze online kanalen en dat werd overgenomen door verschillende media. Gelukkig bleef de schade zo minimaal (1 donatie van 100 euro), maar voor de betrokkenen donateurs en onze hulpverlening blijft het heel naar natuurlijk."
Nieuwe poging
Ook de SPF-filter heeft waarschijnlijk bescherming geboden, vermoedt Titia. "Ik heb gehoord dat SPF wel wat veiligheid biedt. Daardoor zijn waarschijnlijk heel wat nep e-mails bij mensen in de spambox terecht gekomen. Daarnaast werd de nepmail pas een hele tijd na onze landelijke actiedag van 7 maart gestuurd. De meeste mensen die wilden doneren hadden dat waarschijnlijk al gedaan." Toch weerhield dat de cybercriminelen niet om nog een stap verder te gaan, door vervolgens een nieuwe nepmail rond te sturen, met weer een ander bankrekeningnummer. Van een Duitse bank dit keer. Ook daar nam Giro555 snel actie op en ook deze bankrekening werd onmiddellijk geblokkeerd.
Nauwkeurigheid
Titia vindt het schrikbarend hoe nauwkeurig de cybercriminelen te werk zijn gegaan in het vervalsen van de e-mail. "Ik heb het idee dat die fraudeurs steeds beter worden. Vroeger stonden dit soort mails bol van de spelfouten. Deze mail was niet alleen taalkundig correct, de schrijfstijl kwam ook best wel overeen met hoe wij met onze doelgroep communiceren. Maar wij krijgen snel vragen als mensen ons bekende bankrekeningnummer niet herkennen. Vroeger was het natuurlijk echt 555. Door die IBAN is het nu iets langer, maar nog steeds herkenbaar, omdat het nummer eindigt op 555."
Aangifte
Giro555 heeft na afloop aangifte gedaan bij de politie. Titia: "Uiteraard. We vinden het heel belangrijk om dit tegen te gaan. Zeker omdat het om publiek geld gaat. Dan is het extra belangrijk. En alleen door aangifte te doen, kunnen we dit soort misdaad indammen. De politie is nog met het onderzoek bezig. We hopelijk natuurlijk dat er sporen gevonden worden die leiden naar deze cybercriminelen."
Extra beveiligingsmaatregelen
Verder heeft Giro555 met hun leveranciers nogmaals goed gekeken naar de veiligheid en techniek van de e-mailsystemen. Titia: "We hebben twee aanvullende beveiligingsmaatregelen getroffen. Namelijk DKIM en DMARC. Daarmee is ons e-mailadres nog beter beveiligd tegen misbruik door derden. Misschien hadden we dat al eerder moeten invoeren, maar het dilemma van te strikte maatregelen is dat je legitieme mail ook niet meer aankomt, en dat is natuurlijk ook niet de bedoeling."
Bewustwordingsacties
Behalve technische maatregelen probeert Giro555 ook via verschillende content de bewustwording bij donateurs te vergroten. Zo staan er verschillende blogs op de website over hoe je veilig geld kunt overmaken naar Giro555. Deze informatie is nog extra aangevuld sindsdien. Maar helemaal voorkomen dat cybercriminelen je goede naam misbruiken voor het vullen van hun eigen bankrekening, die illusie heeft Titia niet.
Waarschuwen
Titia vindt het belangrijk om dit verhaal zoveel mogelijk te delen. Waar sommige bedrijven nog weleens uit schaamte of angst voor indirecte gevolgschade een incident zoveel mogelijk verzwijgen, wil Titia juist bedrijven waarschuwen. "Ze maken echt geen onderscheid. Groot. Klein. Cybercriminelen kijken geheel willekeurig welke organisaties de slechtste beveiliging heeft en proberen daar misbruik van te maken. Dus laat het bij iedereen hoog op de agenda staan. Zorg dat je je digitale beveiliging op orde hebt. En blijf het aandacht geven. De ontwikkelingen gaan heel hard. Als je stil gaat staan, loop je alweer snel achter."
Brandverzekering
"Weet je wat ik verbazingwekkend vind?", besluit Titia. "Iedereen heeft een brandverzekering. Terwijl de kans op een brand relatief klein is. De kans op een cyberaanval daarentegen is behoorlijk reëel. Dus mijn tip aan ondernemers: ga brandoefeningen doen op cybervlak. Maak een responseplan en stel een crisisteam samen. Want de vraag is niet of het je gaat overkomen, maar wanneer het je gaat overkomen."
Cybercriminelen kijken geheel willekeurig welke organisaties de slechtste beveiliging heeft en proberen daar misbruik van te maken.
Lessen van Titia Wenneker:
Een hack of cyberincident gaat jouw organisatie hoe dan ook een keer overkomen, zegt Titia. Een aantal tips om je te beschermen:
- Neem regelmatig de beveiliging van je website en andere IT-systemen goed door.
- Zorg voor een incident responseplan en stel een crisisteam samen.
- Communiceer snel en adequaat over wat er gebeurd is.
- Doe altijd aangifte bij de politie.
- Creëer bewustwording over cyberrisico's intern bij je medewerkers, maar ook extern. Bij je leveranciers, klanten, of in het geval van Giro555, je donateurs.
Zijn de e-mailinstellingen van jouw bedrijf veilig?
Lees alles over hoe je het beste jouw bedrijf kunt beschermen tegen misbruik van jouw e-mailadres.
Ondernemend Nederland vertelt
Het Digital Trust Center streeft naar een digitaal veilig ondernemend Nederland. Dit doen wij door kennis en informatie te bieden waar ondernemers zelf mee aan de slag kunnen. Net zo belangrijk zijn verhalen van ondernemers uit de praktijk. Wat kun jij leren van ondernemers die met een cyberaanval te maken hebben gehad?
Starten met cybersecurity
Heb je nog geen kennis en ervaring? Pak het dan praktisch en gefaseerd aan met de CyberVeilig Check voor zzp en mkb. Weet binnen 5 minuten wat je vandaag te doen staat om je bedrijf beter te beschermen tegen cyberaanvallen. Download je eigen actielijst en ga vandaag nog aan de slag met onze praktische instructies en tips.