Sluit
Zo werd Giro555 slachtoffer van cybercriminelen

Zo werd Giro555 slachtoffer van cybercriminelen

‘Wij dachten nog naïef: de goede doelensector zullen ze toch wel besparen?’, zegt Titia Wenneker, coördinator online en innovatie van de Stichting Samenwerkende Hulporganisaties (SHO). Maar inmiddels weet ze beter. Cybercriminelen maken op geen enkel vlak onderscheid. Dat ondervond SHO – beter bekend als Giro555 - vlak na de start van hun inzamelingsactie voor de mensen uit Oekraïne. Binnen korte tijd gingen er nepmails uit hun naam rond. Met info@Giro555.nl als afzender en de oproep om spullen af te geven op een kantoor of een donatie te doen op een rekeningnummer die niet van Giro555 is.

Stappen bij nieuwe actie

Titia blikt er op terug: ‘Wij hebben een website die het hele jaar live staat, maar met name rondom onze acties veel bezocht wordt en alleen dan een donatiemogelijkheid kent. Dus elke keer als er een nieuwe actie start, nemen we de beveiliging goed door. Zo ook deze keer. We hebben de website bij Cloudflare gezet. Zij bieden een systeem dat bescherming biedt tegen allerhande online bedreigingen zoals DDoS-aanvallen. En we hebben ons e-mailsysteem extra beveiligd met SPF-validatie om te voorkomen dat spammers e-mails uit onze naam kunnen verzenden, zogenaamde spoofing.’

Alerte ontvangers

Ondanks al deze maatregelen, lukte het cybercriminelen om het e-mailadres info@giro555.nl te misbruiken. Titia: ‘Gelukkig werden we er snel op gewezen door meerdere mensen die die e-mail hadden ontvangen. De meeste mensen weten dat het IBAN-nummer van Giro555 op 555 eindigt, dus elk ander bankrekeningnummer is al snel verdacht. Bovendien vragen wij nooit mensen spullen te komen doneren. En het telefoonnummer dat vermeld was in de e-mail klopte ook niet.’

Giro555 illustratie 3

Direct in actie

Het incident response plan dat Giro555 te allen tijde klaar heeft liggen voor dit soort incidenten werd gelijk uit de kast getrokken. Titia: ‘Daarin staat precies wie waarvoor verantwoordelijk is en met welke partijen we waarvoor moeten schakelen. Bovendien hebben we meteen contact gezocht met de bank van de nep Giro555-rekening. Die hebben direct actie ondernomen en de rekening geblokkeerd. Zelf hebben we nog een bericht geplaatst op onze online kanalen en dat werd overgenomen door verschillende media. Zo hebben we veel financiële schade kunnen voorkomen. Er is maar één donatie op deze rekening binnengekomen.’

Nieuwe poging

Ook de SPF-filter heeft waarschijnlijk bescherming geboden, vermoedt Titia. ‘Ik heb gehoord dat SPF wel wat veiligheid biedt. Daardoor zijn waarschijnlijk heel wat nep e-mails bij mensen in de spambox terecht gekomen. Daarnaast werd de nepmail pas een hele tijd na onze landelijke actiedag van 7 maart gestuurd. De meeste mensen die wilden doneren hadden dat waarschijnlijk al gedaan.’ Toch weerhield dat de cybercriminelen niet om nog een stap verder te gaan, door vervolgens een nieuwe nepmail rond te sturen, met weer een ander bankrekeningnummer. Van een Duitse bank dit keer. Ook daar nam Giro555 snel actie op en ook deze bankrekening werd onmiddellijk geblokkeerd.

Nauwkeurigheid

Titia vindt het schrikbarend hoe nauwkeurig de cybercriminelen te werk zijn gegaan in het vervalsen van de e-mail. ‘Ik heb het idee dat die fraudeurs steeds beter worden. Vroeger stonden dit soort mails bol van de spelfouten. Deze mail was niet alleen taalkundig correct, de schrijfstijl kwam ook best wel overeen met hoe wij met onze doelgroep communiceren. Maar wij krijgen snel vragen als mensen ons bekende bankrekeningnummer niet herkennen. Vroeger was het natuurlijk echt 555. Door die IBAN is het nu iets langer, maar nog steeds herkenbaar, omdat het nummer eindigt op 555.’

Giro555 illustratie 2

Aangifte

Giro555 heeft na afloop aangifte gedaan bij de politie. Titia: ‘Uiteraard. We vinden het heel belangrijk om dit tegen te gaan. Zeker omdat het om publiek geld gaat. Dan is het extra belangrijk. En alleen door aangifte te doen, kunnen we dit soort misdaad indammen. De politie is nog met het onderzoek bezig. We hopelijk natuurlijk dat er sporen gevonden worden die leiden naar deze cybercriminelen.’

Extra beveiligingsmaatregelen

Verder heeft Giro555 met hun leveranciers nog eens goed gekeken naar de veiligheid en techniek van de e-mailsystemen. Titia: ‘We hebben twee aanvullende beveiligingsmaatregelen getroffen. Namelijk DKIM en DMARC. Daarmee is ons e-mailadres hopelijk nog beter beveiligd tegen misbruik door derden. Misschien hadden we dat al eerder moeten invoeren, maar implementatie van dit soort maatregelen vraagt goede monitoring en veel kennis en energie. En het is natuurlijk wel de bedoeling dat onze eigen e-mails blijven aankomen.’

Bewustwordingsacties

Behalve technische maatregelen probeert Giro555 ook via verschillende content de bewustwording bij donateurs te vergroten. Zo staan er verschillende blogs op de website over hoe je veilig geld kunt overmaken naar Giro555. Deze informatie is nog extra aangevuld sinds afgelopen maart. Maar helemaal voorkomen dat cybercriminelen je goede naam misbruiken voor het vullen van hun eigen bankrekening, die illusie heeft Titia niet. ‘We zijn ook maar een kleine organisatie met drie mensen die hier structureel werken. We kunnen gelukkig leunen op de expertise van de aangesloten hulporganisaties. We staan in nauw contact met elkaar en vullen elkaar goed aan waar nodig.’

Giro555 illustratie 1

Waarschuwen

Titia vindt het belangrijk om dit verhaal zoveel mogelijk te delen. Waar sommige bedrijven nog weleens uit schaamte of angst voor indirecte gevolgschade een incident zoveel mogelijk verzwijgen, wil Titia juist bedrijven waarschuwen. ‘Ze maken echt geen onderscheid. Groot. Klein. Cybercriminelen kijken geheel willekeurig welke organisaties de slechtste beveiliging heeft en proberen daar misbruik van te maken. Dus laat het bij iedereen hoog op de agenda staan. Zorg dat je je digitale beveiliging op orde hebt. En blijf het aandacht geven. De ontwikkelingen gaan heel hard. Als je stil gaat staan, loop je alweer snel achter.’

Brandverzekering

‘Weet je wat ik verbazingwekkend vind?’, besluit Titia. ‘Iedereen heeft een brandverzekering. Terwijl de kans op een brand relatief klein is. De kans op een cyberaanval daarentegen is behoorlijk reëel. Dus mijn tip aan ondernemers: ga brandoefeningen doen op cybervlak. Maak een responseplan en stel een crisisteam samen. Want de vraag is niet of het je gaat gebeuren, maar wanneer het je gaat gebeuren.’

Giro555 Titia Wenneker

Cybercriminelen kijken geheel willekeurig welke organisaties de slechtste beveiliging heeft en proberen daar misbruik van te maken.

Lessen van Titia Wenneker:

Een hack of cyberincident gaat jouw organisatie hoe dan ook een keer overkomen, zegt Titia. Een aantal tips om je te beschermen:

  • Neem regelmatig de beveiliging van je website en andere IT-systemen goed door.
  • Zorg voor een incident responseplan en stel een crisisteam samen.
  • Communiceer snel en adequaat over wat er gebeurd is.
  • Doe altijd aangifte bij de politie.
  • Creëer bewustwording over cyberrisico's intern bij je medewerkers, maar ook extern. Bij je leveranciers, klanten, of in het geval van Giro555, je donateurs.

Zijn de e-mailinstellingen van jouw bedrijf veilig?

Lees alles over hoe je het beste jouw bedrijf kunt beschermen tegen misbruik van jouw e-mailadres.

Lees meer ondernemersverhalen

Hoogovenrenovatiebedrijf scherpt back-upplan aan na ransomware

Hoogovenbedrijf slachtoffer van ransomware

Toen een medewerker van Prison Refractories enkele bestanden downloadde, ging het mis. De bestanden op twee pc's waren versleuteld. Gelukkig kon er al snel een back-up teruggeplaatst worden.

Autobedrijf werkt samen in de keten aan digitale veiligheid

Autobedrijf werkt samen aan digitale veiligheid

Volgens Bert de Kroon van Vallei Auto Groep moeten auto-ondernemers goed met elkaar samenwerken tegen cyberincidenten. Hij ziet helaas dat veel ondernemers te weinig maatregelen treffen.

Unieke ervaring met de notificatiedienst van het DTC

Unieke ervaring met DTC-notificatiedienst

Kees Flipsen van BF Systemen ontving vele waarschuwingen van de DTC-notificatiedienst vanwege een kwetsbaarheid in de LDAP-service. Hij was blij over de meldingen, maar waarom zoveel e-mails?