Tank Storage Spoofing
News 17 maart 2020

Update: Storage Spoofing en de wildgroei aan gekaapte bedrijfsnamen | Interview District Zeehavenpolitie – Digitale Expertise

In de voorbije maanden zijn opnieuw diverse ondernemers in het Rotterdamse havengebied getroffen door cyberfraudeurs. Vlak voor de kerstvakantie kwam er een zaak aan het licht waarbij een slachtoffer voor ruim 100.000 euro gedupeerd raakte, door een aanbetaling te doen op een in Rotterdam aangeboden voorraad die in de praktijk niet bleek te bestaan. Ook werden er twee deals, waarbij maar liefst 70 miljoen Amerikaanse dollar gemoeid was, net op tijd gestopt. “Daarnaast begint het kapen van niet-geregistreerde bedrijfsnamen uit de hand te lopen”, vertelt Martin van den Bosch van District Zeehavenpolitie – Digitale Expertise. We schuiven aan voor een update uit de wereld van storage spoofing.

Storage Spoofing – een stapje terug

Storage Spoofing is een verzamelterm die we bedacht hebben voor alle vormen van verkoop van niet-bestaande opslagcapaciteiten en voorraden van grondstoffen en materialen in terminals in het Rotterdamse havengebied.

De doelgroep van deze variant van fraude zijn in de eerste plaats de (inter)nationale bedrijven die in het havengebied opslag hebben óf zoeken en alle potentiële kopers van de handel die onder valse voorwendselen vanuit die terminals aangeboden wordt, maar in de praktijk niet blijkt te bestaan. Daarnaast zijn bedrijven die zelf opslagterminals in het havengebied hebben potentieel slachtoffer van deze vorm van fraude, omdat hun naam en netwerk door cybercriminelen misbruikt kan worden.

Misbruik van bedrijfsnamen

Vooral dat laatste is een zeer actueel onderwerp, legt Martin uit. “Een voorbeeld: bij de KVK wordt onder de hoofdvestiging een aantal bedrijfsnamen geregistreerd, allemaal legitieme organisaties. Maar deze onderliggende bedrijfsnamen worden vervolgens niet als domeinnaam geregistreerd bij een domeinhoster, met als gevolg dat wij nu een toename zien van gekaapte bedrijfsnamen. Ze zijn daar immers nog beschikbaar. Indien een buitenlandse investeerder dan navraag doet bij de KVK ziet hij/zij dat het gekaapte domein gelieerd is aan een legitiem bedrijf.” Met andere woorden: er is geen aanleiding om aan te nemen dat er iets niet pluis is, zelfs niet na een check bij de Kamer van Koophandel.

Daarnaast geldt dat Google te eenvoudig indexeert. “Een kopie duikt op en krijgt zomaar legitimiteit. Het SIDN (Stichting Internet Domeinregistratie Nederland, red.) wil daar graag in samenwerken, dus een .nl-fake is gelukkig al veel lastiger door een kritische check aan de deur. En achteraf kunnen ze je helpen met het offline halen. Maar er wordt nergens een check gedaan: waar wordt de website voor gebruikt?

                 Lees ook wat je kunt doen om een fake website offline te krijgen

Aanbod veel groter dan capaciteit

Wat betekent de recente hausse aan valse websites en misbruikte bedrijfsnamen? Er staan ook de laatste tijd weer regelmatig ondernemers aan de poort van een opslag- of ander bedrijf, om de situatie zelfs eens te checken. “Vaak hebben ze nog geen aanbetaling gedaan voor de niet-bestaande deal, maar hebben ze dan wel kosten gemaakt om de zaken van dichterbij te inspecteren, en mogelijk ook al juridische ondersteuning ingeschakeld.”

Ondernemers die wel serieus in hun portemonnee geraakt zijn, waren de twee Italianen die al wel een aanbetaling deden – van ongeveer 100.000 euro. Zij waren in het havengebied op zoek gegaan naar een ondernemer en kwamen simpelweg bij een foute club uit. “Mogelijk zijn ze in hun eigen land al gecontacteerd via e-mail, want wie weet hoe agressief ze over de grens benaderd worden.”

De aanpak vertoont nog altijd veel overeenkomsten met de eerdere gevallen; een aanbod van een type brandstof – producenten zoals JP54, D2 of D6 –, reeds opgeslagen in een terminal in Rotterdam, voor een aantrekkelijke prijs. ‘Bewijs’ zoals websites, facturen en allerlei andere valse papieren worden overlegd. Dan de factuur, die natuurlijk per direct overgemaakt moet worden. Bedragen van 100.000 tot 450.000 dollar worden er voor dit soort opslagfacilitering gevraagd. Een Duitse ondernemer wist bovendien te vertellen dat het virtuele aanbod van brandstoffen in het Rotterdamse havengebied ongeveer vier keer zo groot is als de daadwerkelijke capaciteit van alle opslagfaciliteiten. Dat zijn absurde verhoudingen, die een goed beeld geven van het verrassende aantal deals dat internationaal wordt aangeboden. De orde van grootte van al die frauduleuze handel zegt bovendien ook iets over de mate waarin de naam van het Havengebied wordt besmeurd.

Betrouwbare bronnen

Wie er achter al dat virtuele aanbod zit? Dat is mogelijk één grote criminele organisatie, want naast alle ‘simpele’ handelingen is er ook veel interne kennis. “Ze zijn bekend met de handel, de goederen, en hoe de lijntjes lopen. Waar komen al die contracten bijvoorbeeld vandaan?” Maar zekerheid kunnen we daar niet over geven. Zonder kennis van deze handel probeer je dit in ieder geval niet, dus de kans dat we met een zolderkamerhacker te maken hebben is klein – los van de wel degelijk aanwezige ICT-kennis. Klonen, hosten, goed verbergen, VPN, transacties, noem maar op – dit zijn professionals.

De grootste gemene deler? Het aanbod is vaak te mooi om waar te zijn. Maar dat is niet het voornaamste probleem. Dat ligt namelijk in het feit dat de ondernemers die het doelwit zijn doorgaans niét weten hoe de lijntjes lopen. Er is behoefte aan een concreet beeld van waar er wel en vooral niet gehandeld mag worden, want dat is er (nog niet). “Wat we eigenlijk moeten doen, is een tegenhanger van de bestaande blacklist opstellen."

Het is niet zinloos om een lijst van verdachte websites op te stellen als middel om ondernemers te kunnen waarschuwen voor frauduleuze ondernemingen, maar een betere oplossing is om gezamenlijk tot een overzicht te komen van bedrijven waar je wèl in het volste vertrouwen zaken mee kunt doen. “Er is geen duidelijk zicht, ook niet vanuit het Havenbedrijf. Je moet al onderdeel zijn van het netwerk om te weten waar je (veilig) zaken kunt doen.” Het zou daarom gemakkelijker gemaakt moeten worden om buitenlandse ondernemers te ondervangen, in een portal of funnel waar legitimiteit is gewaarborgd. “Er moet iets komen waar buitenlandse investeerders kunnen zien waar ze wèl terecht kunnen, naast het feit dat we nu waarschuwen waar ze vooral niet moeten zijn.”

Voorlichting

Nogmaals: als je als buitenlandse ondernemer echt niet weet waar je moet zijn, dan is erg lastig. Als je in Hong Kong zit en je bent op zoek naar een leuke deal, dan ben je een relatief eenvoudig doelwit. “Wij kijken natuurlijk verder; wanneer is de website geregistreerd, door wie is-ie gehost, waar gaat de mailserver heen, wat is de achterliggende link met bijvoorbeeld pagina’s aan de achterkant. Buitenlandse investeerders kijken alleen naar een website en telefoonnummer en denken ‘ach, dat zit wel goed’.”

Awareness en goede voorlichting zijn daarom de sleutel om deze vorm van fraude tegen te gaan, waarin ook de Kamer van Koophandel een rol zou kunnen spelen. “Je zou eigenlijk bij de KVK al uitgelegd moeten krijgen waar je op moet letten als je een bedrijfsnaam registreert; zorg namelijk dat je ook de domeinnaam vastlegt, om deze en andere vormen van fraude preventief te ondervangen.”

“Daarnaast maakt lang niet ieder bedrijf melding wanneer er weer iemand aan de poort staat.” Mogelijke argumenten zijn Imago, capaciteit, ‘er wordt toch niets mee gedaan’, dat idee. “Maar dat is een gemiste kans, want wij kunnen die input goed gebruiken. Ook voor verdere preventie, en zeker om te laten zien welke variatie er in aanpak is.” Plus: hoe meer meldingen hoe meer slagkracht, want dan krijgen we het gezamenlijk hoger op de agenda.