Hackers stelen Nederlandse data voor aanval op mkb

Cybercriminelen hebben data gestolen bij ondernemerstijdschrift annex kennisnetwerk De Zaak. Vervolgens vuurden ze een overtuigende phishingmail met malware af op Nederlandse ondernemers.


"Het gaat om een bestand in de webshop, met 38.000 records. Dat zijn e-mailadressen", bevestigt algemeen directeur Harry Steenkamp van Small Business Publishing. Die uitgeverij zit achter De Zaak, zowel het tijdschrift voor ondernemers als het gelijknamige kennisnetwerk op de website. De daadwerkelijke inbraak is naar schatting vorige week gepleegd.

Microsoft-waarschuwing

"Wij kregen [vorige week - red.] dinsdagmiddag een beveiligingswaarschuwing, van Microsoft", vertelt Steenkamp aan Webwereld. Het ging om een malwaremelding, over de inhoud van een website: de eigen website van De Zaak. De directeur geeft aan dat er bij het bedrijf zelf aanvankelijk niet duidelijk was waar de melding precies betrekking op had. "We konden niet 1-2-3 ontdekken wat er aan de hand was."

Dus is contact gezocht met Microsoft, wat niet direct tot antwoorden leidde. Ondertussen gingen de eigen technische mensen op onderzoek uit. In de nacht van dinsdag op woensdag, vorige week, werd de gestolen data echter al benut. Toen kwam er plots een phishingmail aan bij vele Nederlandse ondernemers. "Niet een 'Nigeriaanse mail, even vlug met Google vertaald", geeft Steenkamp aan.

Sluw opgesteld

Het was een taalkundig correcte mail, die op zakelijke toon de ontvangers aanmaant een achterstallige betaling aan energiebedrijf Nuon te voldoen. Dit uit naam van een incassobureau. Daarbij ging het om een opvallend bescheiden bedrag, van nog geen 180 euro, de zogenaamd verschuldigde som. Bovendien dachten de phishers naast girobetaling ook aan iDeal.

"Wij hebben getracht contact met u op te nemen met betrekking tot de openstaande vordering van Nuon. Dit is helaas niet gelukt", begint de overtuigende phishingpoging. "Wij verzoeken u dringend om het totaalbedrag van EUR 179.45 binnen *5 dagen* over te maken op rekening 49.67.42.817 t.n.v. Stichting Derdengelden Proquest Incasso. Kunt u bij betaling het volgende betalingskenmerk vermelden: <*44498216 *>."

Complex uitgevoerd

De mail is compleet met contactgegevens voor eventuele vragen en sluit "Hoogachtend" af in naam van het niet-bestaande incassobureau Proquest. Het in de phishingmail aangereikte Haagse telefoonnummer is een nummer van een wel echt incassobureau: Cannock Chase, dat ook voor Nuon incasso's doet.

Het bellen van dat 070-nummer levert inmiddels een voicemailbericht op waarin wordt gewaarschuwd dat de mail nep is. De melding van Cannock Chase geeft ontvangers van de phishingmail ook het advies om hun computers te scannen. Bezoeken van de links in de nepmail kunnen namelijk malware hebben binnengebracht.

Vanuit TOR

Ook het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie waarschuwt hiervoor. "Deze links leiden naar een virus dat momenteel nauwelijks wordt herkend door anti-virus software." "Daarnaast maakt het virus gebruik van het Tor-netwerk waardoor het moeilijk is te detecteren en aan te pakken". Anonimiseringsnetwerk TOR verbergt de oorsprong van ip-verkeer, wat bedoeld is voor gebruik door dissidenten in dictaturen.

Het NCSC-waarschuwing van vorige week is echter alleen voor de toen verstuurde Nuon-incassomail. Het valt te betwijfelen of de daders achter deze doelgerichte cyberinbraak, professionele phishingcampagne, en technisch geavanceerde malwarebedreiging het hierbij laten. Zij hebben een waardevol mailbestand in handen waar mogelijk meer uit valt te halen.