Hoe De Zaak is gehackt voor gerichte mkb-aanval

Een sluwe inbraak bij ondernemerssite De Zaak diende als opstap voor een professionele phishingcampagne en een complexe malware-aanval. Hoe Nederlandse mkb'ers in gevaar zijn gekomen.


"De besmetting zat diep verborgen in onze webshop. Op een bestelpagina, voor een pocket", zegt algemeen directeur Harry Steenkamp van Small Business Publishing. Hij vertelt over de cyberinbraak bij ondernemerstijdschrift annex kennisnetwerk De Zaak, één van de titels van zijn uitgeverij. Daar is vorige week malware geplaatst op de website, waarbij een databestand van de webshop is gestolen.

38.000 adressen

In die buit zitten 38.000 mailadressen van Nederlandse ondernemers. De Zaak stuurde al die klanten afgelopen maandag een waarschuwing per mail. "Wellicht heeft u er in de afgelopen dagen over gelezen op andere websites of heeft u zelf een verdachte e-mail ontvangen, waarin een incassobureau u opdraagt een openstaande vordering van Nuon te voldoen. Deze e-mail is het werk van internetcriminelen."

De getroffen webshop is offline gehaald en wordt nu geheel vernieuwd en beter beveiligd. Dit gebeurt op aanwijzen van beveiligingsbureau Fox IT dat vorige week woensdag door De Zaak is ingeschakeld. Dat inhuren van die specialisten is gedaan nadat vorige week dinsdag de malware op de eigen site werd gedetecteerd en datdat er die nacht direct een overtuigende phishingmail werd afgevuurd op Nederlandse ondernemers.

Dubbelloopsmail

Die aanmaning van het niet-bestaande Proquest Incasso zogenaamd namens energiebedrijf Nuon heeft zelf een dubbele lading. Enerzijds wordt de ontvangers gesommeerd om een bescheiden achterstallig bedrag over te boeken op een rekeningnummer bij ABN Amro. Anderzijds leiden enkele van de links in de phishingmail naar malware.

Deze besmetting is volgens het het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie "een virus dat momenteel nauwelijks wordt herkend door anti-virus software". Bovendien gebruikt die kwaadaardige code het anonimiseringsnetwerk TOR, wat 'detectie en aanpak bemoeilijkt', aldus het NCSC in een waarschuwing naar aanleiding van de Nuon-phishingmail.

Tijdslijn: dinsdag detectie, woensdagnacht phishingcampagne, leidend naar een dinsdag aangevraagde domeinnaam, met link naar de Bahamas. Ondertussen nieuwe webshopsoftware installeren.

Spoor volgen

De website van Proquest schotelt momenteel een zogeheten placeholder-pagina voor, gevuld met automatisch ingelaste ads. Het domein is officieel geschorst. Volgens de Whois-records is de domeinnaam op 6 november aangevraagd, de dag van de inbraakdetectie bij De Zaak. Zowel de registrant als de beheerder van de domeinnaam staan op naam van een adres in de Bahamas. Het daarbij horende telefoonnummer is opgegeven als +1.23456789.

De domeinnaam is geregistreerd bij prijsvechter Internet.bs. Dat Amerikaanse bedrijf laat zich er op voorstaan dat het goedkoper is dan het beruchte GoDaddy. Het ip-adres van Proquest Incasso leidt naar het Duitse webbedrijf Team Internet, dat onder meer een dienst voor domainparking aanbiedt.

Toevallig is de website van De Zaak momenteel slecht bereikbaar. Dat is volgens uitgever René Hoogendoorn niet gerelateerd aan de datadiefstal van vorige week. "Er is nu een kleine technische storing", vertelt hij aan Webwereld. De oorzaak zou schuilen in een probleem in de koppeling tussen de twee servers waar dezaak.nl op draait.

Prioriteitenlijst van Fox IT

Het door De Zaak in de arm genomen Fox IT heeft de datadiefstal nog in onderzoek. "De besmette pc is ingeleverd bij Fox IT", vertelt directeur Steenkamp. Het beveiligingsbureau heeft de uitgeverij al wel een lijst met prioriteiten gegeven om de beveiliging te verbeteren. Steenkamp noemt het verbeteren van de wachtwoorden, die volgens hem niet slecht waren maar wel beter konden.

Daarnaast heeft Fox IT ook technische aanbevelingen gegeven, waar De Zaak een team programmeurs in India op heeft gezet. "Die zijn daar het hele weekend mee bezig geweest", zegt Steenkamp. In dat weekend is ook "de communicatie voorbereid", wat is geresulteerd in onder meer de mailing van maandagmiddag aan de getroffen webshopklanten.

Daarin biecht de uitgeverij op dat de cyberinbrekers niet alleen mailadressen maar ook naw-gegevens (naam, adres en woonplaats) hebben buitgemaakt. Op basis daarvan is de zogenaamde Nuon-incassomail verzonden. "De Zaak heeft ondertussen aangifte gedaan van computervredebreuk en alles in het werk gezet om de website en de servers weer veilig te maken", aldus de waarschuwingsmail met daarin ook een Q&A.

Oudere webshopsoftware

Directeur Steenkamp vertelt aan Webwereld dat de gehackte webshop de software Magento draait en dat daarvan nu de nieuwste versie wordt geïnstalleerd. Welke versie van dat e-commercepakket eerst draaide en hoe oud die was, weet hij niet. "We draaiden niet een héle oude versie", voegt hij toe. Het is volgens hem nog te vroeg om te concluderen dat de hackers zijn binnengekomen via die webshopsoftware.

Steenkamp vertelt dat zijn organisatie net bezig was met de nieuwe Magento-versie. De Zaak gebruikt hierbij echter ook eigen maatwerk, wat de invoering van een nieuwe versie bemoeilijkt, legt de directeur uit. Hij schat in dat de webshop begin volgende week weer online komt. Fox IT verschaft daarvoor nog advies hoe dan om te gaan met de log-ins van gecompromitteerde klanten.

'Waarschuwing voor anderen'

"Hier worden wij heel boos over", zegt de algemeen directeur. "Kijk naar die mail, de cybercrimineel heeft het goed gedaan: niet een 'Nigeriaanse' mail, even vlug met Google vertaald." Steenkamp verzucht dat deze zaak "een waarschuwing is voor alle andere uitgevers, plus bedrijven met persoonsgegevens, dat ze hun beveiliging moeten verbeteren".