In de FERM-serie over Storage Spoofing hebben we inmiddels vier artikelen gepubliceerd om een licht te schijnen op deze vorm van cybercrime en om het bewustzijn bij ondernemers in het havengebied te verhogen. Ons voornaamste doel is proactieve preventie.
[this article in English? Click here]
‘Storage spoofing’: een verzamelterm die we bedacht hebben voor alle vormen van verkoop van niet-bestaande opslagcapaciteiten en voorraden van grondstoffen en materialen in terminals in het Rotterdamse havengebied. De doelgroep van deze variant van fraude zijn de (inter)nationale bedrijven die in het havengebied opslag hebben óf zoeken en alle potentiële kopers van de handel die onder valse voorwendselen vanuit die terminals aangeboden wordt, maar in de praktijk niet blijkt te bestaan.
Na een algemeen inleidend artikel keken we daarom samen met een ondernemer naar concrete voorbeelden en gingen we onder meer aan tafel bij het Openbaar Ministerie om de perspectieven vanuit justitie nader te bekijken. Voor deze nieuwe aflevering spraken we met Michael Noorlander, die vanuit zijn rol als Information Security Manager bij het internationale tankopslagbedrijf Vopak de nodige ervaring heeft met het onderwerp.
Hoe actueel storage spoofing is en hoe serieus de dreiging kan zijn, met name voor internationale handelaars, hoef je Michael Noorlander niet uit te leggen. In de periodieke haven-ISAC, een cyberplatform met een sterk vertrouwelijk karakter in de haven, heeft hij zich min of meer opgeworpen als ambassadeur omdat hij een tool maakte om ontwikkelingen op het vlak van storage spoofing in de gaten te kunnen houden – waarover later meer.
IMAGOSCHADE
,,Zoals een brancheorganisatie als BOVAG niet blij is wanneer er malafide monteurs actief zijn, zo kan het havengebied inderdaad ook geraakt worden door aanhoudende voorvallen van storage spoofing,” zegt Noorlander. Voorbeelden zijn namelijk talrijk. Van gedupeerde klanten van onze klanten die 10.000 euro overboeken en andere ‘Nigeriaanse toestanden’ om een verkoop in gang te zetten tot situaties waarin namen en gegevens van bestaande bedrijven misbruikt worden om een deal op te zetten.
Vooral dat laatste is de reden dat we voor deze jongste aflevering in onze serie bij Vopak aanklopten. Noorlander en zijn collega’s hebben in de voorbije jaren de nodige documentatie voorbij zien komen waarbij criminelen de naam van het opslagbedrijf misbruikten. Dat gaat in een aantal gevallen best ver, zo laat het bewaarde materiaal zien. Het betreft hele correspondenties tussen potentiële kopers en tussenpersonen die zich voordoen als medewerkers of relaties van Vopak, die desgevraagd bevestigen dat het om bestaande opslag en producten gaat, om vervolgens niet of nauwelijks bereikbaar te zijn of volledig met de noorderzon te verdwijnen. ‘I am out of office, so I cannot assist you.’ Of ‘Due to my hectic schedule, I may not respond so fast’…
VERVALSINGEN
Op een van de vervalste documenten prijkt de url vopakterminal.com, op een andere zien we de website vopakterminaleuropoort.nl. Want ook Vopak heeft, net als bedrijven die in een eerdere aflevering aan bod kwamen, te maken gekregen met een nagemaakte website. Vopak deed aangifte en wist de website uiteindelijk uit de lucht te krijgen.
Noorlander is tevreden over de ondersteuning van het OM, maar kritisch over de beperkte mogelijkheden om in de praktijk iets aan valse websites te kunnen doen. Het is logisch dat het internationaal lastig is, maar Nederlandse domeinnamen zouden beter aangepakt moeten kunnen worden. ,,Het registreren van domeinen is heel laagdrempelig, terwijl het opheffen ervan juist extreem lastig is. En als je je naam of identiteit misbruikt wordt, dan stopt de incident response bij de landsgrenzen. Tegen buitenlandse criminele beheerders van websites kunnen politie en instanties blijkbaar weinig uitrichten. Dat frustreert.”
,,Een instituut als het SIDN (de beheerder van domeinnaamregistraties) zou via een verkorte bezwaarprocedure kunnen optreden als duidelijk is dat er misbruik gemaakt wordt van bedrijfsnamen. Nu hebben criminelen na bezwaar nog vele weken de tijd om misbruik te maken.”
KOSTEN/BATEN
Er moet geen hek om het internet, maar strengere regels voor het aanmaken van een nieuwe domeinnaam zijn geen slecht idee. Dat is nauwelijks een beperking van internetvrijheid te noemen, maar kan wel voor een extra check zorgen, een controle dat het betreffende bedrijf daadwerkelijk achter de te lanceren domeinnaam zit. Dat is nog altijd geen garantie, maar het maakt spoofing van websites een stuk minder laagdrempelig en het vrije internet een stuk veiliger.
FERM stuurt aan op het doen van aangifte, om redenen die je ook in het voorgaande artikel kunt lezen, maar moeten onderkennen dat er in termen van kosten-baten nog wel wat terrein te winnen valt. Het gehele traject tot aan de verwijdering van een website met slechts de hoop dat er niet direct elders een nieuwe opduikt kost veel tijd en geld.
VOPAK-AANPAK
Eerder in het artikel haalden we een tool aan die Noorlander ontwikkelde om korter op de bal te kunnen spelen. ,,Naar aanleiding van de opgedoken websites hebben we besloten om met een serie relevante termen proactief domeinnamen te checken. Denk aan voor de hand liggende zoektermen als ‘Vopak’ en ‘Terminal’, maar ook aan diverse productnamen of –groepen zoals LNG en Chemie en terminalnamen als Botlek en Europoort. Het tooltje maakt van de opgestelde woordenlijst combinaties die domeindatabaseregistraties internationaal naloopt.”
DNS-TOOL
Noorlander laat de resultaten van zo’n ‘scan’ zien. Een eenvoudige speurtocht op ‘vopak’ levert al een hele lijst resultaten op, inclusief DNS en land van herkomst. We zien alles van fopak- en vipak.com tot voapk- en ovpak.com. ,,Die laatste twee zijn geregistreerd in Roemenië, terwijl we daar niet actief zijn. Dan weet je dat het mis is.”
,,Intern kunnen we dan van alles doen, zoals blokkeren op onze firewall en proxy en op alle e-mail filters. Daarnaast zien we in de praktijk dat er maanden tussen het registreren van een domeinnaam en het daadwerkelijk lanceren van een website zitten. Dat betekent dat je ze al van ver aan kunt zien komen en actie zou kunnen ondernemen.”
,,Het is een start, maar uiteindelijk beschermt het alleen Vopak zelf. Een praktisch idee is om de tool daarom ook open te stellen voor alle FERM-leden, zodat we er gezamenlijk gebruik van kunnen maken.”
Concreet kunnen we nadenken over een feed op de FERM-website waarin die informatie binnenloopt. Alle aangesloten bedrijven kunnen hun beveiliging dan updaten met informatie om die onbetrouwbare websites binnen een veel groter netwerk buiten te sluiten.
Als startpunt hebben we daartoe een blacklist opgesteld van alle verdachte websites, aanvullend op de brochure Facts & Figures van het Havenbedrijf waar alle bestaande bedrijven en terminals geregistreerd staan om de legitimiteit te kunnen checken.
,,Genoeg ideeën om praktisch aan de slag te gaan om van FERM het beoogde platform voor samenwerking te maken. Een kick-off sessie voor deze tooling zou een goed startpunt kunnen zijn, waarbij we informatie kunnen delen en de samenwerking breed kunnen bespreken.”
INFORMATIE DELEN
In de basis gaat het inderdaad vooral om het delen van relevante informatie. Er zit enorm veel verschil in bedrijven in de haven, van de grote internationals tot kleine lokale spelers, en ook de kleinere bedrijven moeten erkennen dat ze kwetsbaar zijn. Dus ook bij dezen de oproep: herken je elementen uit deze vorm van cybercrime en heb je waardevolle informatie die je nog niet in deze serie terug gezien hebt, weet ons dan te vinden. De oplossing is vooral te vinden in bewustwording in de keten en initiatieven voor de juiste response.
Hoe dan ook blijft er een belangrijk vraagstuk in de lucht hangen: hoe bereiken we de internationale handelaren, de potentiële slachtoffers? Zij hebben er last van, bedrijven als Vopak leiden geen directe financiële schade als hun naam misbruikt wordt maar willen er alles aan doen om de klanten van onze klanten te beschermen. Het zijn onder de streep vooral die internationale ondernemers die moeten weten wat hier speelt. We nemen met FERM een goed initiatief en we zullen ons inzetten om de bewustwording ook buiten onze gemeenschap te versterken.
Sluit je aan bij FERM
Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.
Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.
En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics
