Storage Spoofing

Beware: Storage Spoofing (1) - inleiding

- 23 November 2017

Bij FERM duiken we regelmatig dieper in een actueel onderwerp rond cybersecurity in de Rotterdamse haven. Zowel bij onze periodieke bijeenkomsten als op onze website, ferm-rotterdam.nl.

[this article in English? Click here]

Je leest er bijvoorbeeld over phishing en andere digitale dreigingen voor het MKB, of over CEO-fraude, aanhoudend populair bij cybercriminelen. In een nieuwe serie artikelen behandelen we het concept ‘storage spoofing’, een vorm van cybercrime die helaas steeds vaker opduikt. De reeks trappen we af met een gesprek met Ronald Backers, adviseur Business Intelligence bij Havenbedrijf Rotterdam.

STORAGE SPOOFING

Laten we beginnen met een definitie van ‘storage spoofing’: een verzamelterm die we bedacht hebben voor alle vormen van verkoop van niet-bestaande opslagcapaciteiten en voorraden van grondstoffen en materialen in terminals in het Rotterdamse havengebied. De doelgroep van deze variant van fraude zijn de (inter)nationale bedrijven die in het havengebied opslag hebben óf zoeken en alle potentiële kopers van de handel die onder valse voorwendselen vanuit die terminals aangeboden wordt, maar in de praktijk niet blijkt te bestaan. In het havengebied staat deze tactiek ook bekend onder een tweede term, Terminal Spoofing. 

WERKWIJZE
Storage spoofing is niet nieuw. “Het speelt al zeker een jaar of vijf, zes,” vertelt Ronald Backers. “Er verschijnt een neporder op internet, bijvoorbeeld van een aanbieder van JP54, die claimt 1 of 2 miljoen barrels in opslag te hebben.” JP54 is een specifieke vorm van kerosine, brandstof voor vliegtuigen. “Vervolgens wordt er nadrukkelijk aangestuurd op een vorm van vooruitbetaling om de slachtoffers te misleiden en zijn de daders al gauw weer met de noorderzon vertrokken.” Wanneer de klant in de haven verschijnt om de goederen op te halen, blijkt de terminal het product helemaal niet op te slaan, of zelfs de genoemde opslag überhaupt niet te bestaan.

“We zien vaak dat daar allerhande documenten aan te pas komen, waar dan vervalste stempels en certificaten bij betrokken zijn. Ook worden websites van bestaande terminals vervalst om slachtoffers richting verkoop te lokken.” Kopieën van websites van havenbedrijven die net zo snel verdwijnen als dat ze opduiken, omdat ze na een aantal pogingen of een succesvolle transactie weer opgedoekt worden om het elders en onder een andere naam opnieuw te proberen.

WAT KUN JE DOEN?

Het is in de praktijk lastig om storage spoofing te voorkomen, omdat er vooral internationaal veel organisaties zijn die niet voldoende bekend zijn met het bedrijfslandschap in het havengebied en daarom gemakkelijker slachtoffer kunnen worden van een ‘goed’ aanbod.

‘’Het is volhardend, het blijft maar de kop opsteken,” zegt Backers. Tegelijkertijd staan we niet machteloos. “In de brochure Facts & Figures van Havenbedrijf Rotterdam vind je bijvoorbeeld alle bestaande bedrijven en terminals om de legitimiteit van een aanbod te checken.” Dat is alvast een begin. Maar met alle kopieën en vervalsingen van bedrijfsnamen en websites is dat niet voldoende, want de fraudeurs vissen veelal uit diezelfde lijst met name om hun fictieve onderneming op te baseren. Zo waarschuwde het gerenommeerde bedrijf Koole eind 2016 dat er van een dochteronderneming – het in 2014 overgenomen NOVA – een valse kopie op internet rondwaarde, zoals ook terug te lezen is op de nieuwspagina van Koole.com.

WAAR MOET JE OP LETTEN?

Zijn er kenmerken van pogingen in het verleden die we als concreet lesmateriaal kunnen gebruiken? “We zien inderdaad overeenkomende karakteristieken,” zegt Backers. “Ten eerste gaat het meestal om een aanbod van 1 of 2 miljoen barrels, vaak van JP54 maar ook van bijvoorbeeld D2, een type diesel. Daarnaast is er in praktijk regelmatig sprake van een Russische connectie.” Denk dan aan een afzender uit Rusland, of .ru in de domeinnaam van de website of de e-mail.

Backers krijgt zelf regelmatig van dergelijke mails, doorgaans vanuit Gmail en andere kanalen die afwijken van officiële bedrijfscommunicatie. De afzender geeft aan dat ze product X op voorraad hebben en doet een aantrekkelijk voorstel. “Ik bewaar ze wel in een archief, maar reageer er doorgaans niet op. Tenzij er een bestaande terminal genoemd wordt, dan neem ik uiteraard contact op met de betreffende terminal om ze op de hoogte te stellen.” Daarnaast krijgt hij ook mails binnen met de vraag of er ergens JP54 te koop is, of waarbij ze zelf op zoek zijn naar opslag voor dat product. Dat kan een indicatie zijn dat ze vissen naar bedrijven die er in handelen om die vervolgens te kunnen vervalsen om onwetende klanten te benaderen.

VERVOLG

Het geeft hoe dan ook aan dat storage spoofing volop actief is, waardoor we er de komende periode meer aandacht aan zullen besteden om handvatten te kunnen bieden en daarmee het risico dat bedrijven slachtoffer worden van deze vorm van fraude te verlagen. Vanuit FERM richten we ons op de ontwikkeling en trends binnen deze vorm van oplichting met een specifieke focus op preventie. Dat doen we onder meer door de situatie vanuit verschillende perspectieven te benaderen, waaronder (getroffen) bedrijven, het Openbaar Ministerie en de Zeehavenpolitie, en door concrete tips en adviezen te delen.

Op ferm-rotterdam.nl vind je binnenkort de volgende artikelen binnen deze serie. De serie zal ook in het Engels beschikbaar komen voor een internationaal publiek. Tevens inventariseert FERM momenteel de bij ons bekende 'valse' websites voor de publicatie van een blacklist. De actuele lijst vind je op ferm-rotterdam.nl/blacklist, die we bovendien aan zullen vullen met een overzicht van de officiële websites en domeinnamen van bedrijven in het havengebied die ter controle ingezien kan worden. Wordt vervolgd!

LEES HET TWEEDE ARTIKEL IN DE SERIE HIER