Bol.com trapte in phishingmail en maakte 750.000 euro over naar oplichters

Bol.com heeft 750.000 euro overgemaakt naar oplichters nadat het bedrijf in een phishingmail was getrapt, las ik bij Tweakers. De rechtbank Midden-Nederland oordeelde recent dat men argwanender had moeten zijn. Weliswaar klopte het afzendermailadres (door een computerhack) en leken ook layout en namen correct, maar het taalgebruik was van het niveau Google Translate halfbakken Engels en dat is voor twee jarenlang samenwerkende Nederlandse bedrijven bepaald gek.

Op 25 november 2019 werd een e-mail aan ‘supplierfinance@bol.com’ gestuurd met onder meer de volgende inhoud: ‘Bijgevoegd vindt u onze nieuwe betalingsroute zoals opgedragen door het management, doe het nodige voor de volgende betaling. Alvast bedankt!’. Afzender: meneer [A], wiens mailbox was gehackt “via de cloud”. Het vonnis bevat een printscreen van de gehele mail. De strekking: een verzoek om betalingen voortaan niet meer over te maken aan de bij Bol.com bekende bankrekening van Brabantia Netherlands maar aan een Spaanse bankrekening die ten name van ‘Brabantia International B.V.’ zou staan.

De oplichter bleek hardnekkig want de navolgende dagen werd een keurige reminder gestuurd (“Kunt u bevestigen dat uw crediteurenadministratie is bijgewerkt als bijgevoegd.“) Uiteindelijk werd daarop gereageerd, maar die mail bleef buiten het zicht van de gehackte Brabantia-medewerker. Daarna dacht Bol.com alles geregeld te hebben en werden de verkoopopbrengsten keurig overgemaakt naar het nieuwe nummer. Na zo’n 750.000 euro niet te hebben gekregen, trok het Brabantse bedrijf aan de bol, sorry bel, en kwam de fraude uit.

Wie draait daar voor op? Het begon dus bij een overgenomen mailbox van een medewerker van Brabantia, en ook kon men bij het briefpapier-template van Brabantia, zodat het op zich echt doen lijken van de berichten mogelijk was. De inhoud van de mails gaf echter te denken:

Om te beginnen bevat deze merkwaardige fouten als ‘Houd he [?] rekening mee’ en de frase ‘een wijziging in onze bankrekeninggegevens hebben voor incaende [?] betalingen’, waarbij ‘incaende’ meer dan een gewone typefout lijkt. Bovenal roept de frase ‘moten all incoming betalingen have been overgemaakt’ onmiddellijk grote vraagtekens op, zelfs als een zekere mate van gebrekkig taalgebruik of een overmatig gebruik van het Engels voor lief wordt genomen.
Bol.com moest begrijpen dat dergelijke frases praktisch niet van directeuren van Brabantia Netherlands afkomstig kunnen zijn of door hen kunnen zijn goedgekeurd. Dat met de daarop volgende Engelstalige passage ‘niets mis is’, zoals Bol.com benadrukt, doet hier niet aan af, nog afgezien van het feit dat het gebruik van de Engelse taal in deze context op zich zelf al tot twijfel had moeten leiden.

Vanwege al deze omstandigheden is de conclusie voor de rechter helder: Bol.com had beter op moeten letten, en zij heeft dus wanprestatie gepleegd jegens Brabantia door die 750k niet te betalen op de rekening waar die hoorde te komen.

Het enige vind ik steekhoudende tegenargument is dat Bol.com dus had gereageerd naar Brabantia (het gehackte mailadres) en dat men daar het niet opgepakt had. Dat kwam omdat de crimineel mails met als afzender Bol.com in het mapje “RSS Feeds” (zo’n standaardmap van Outlook die niemand wil) had laten komen en automatisch als gelezen gemarkeerd. Zo kon die keurig reageren maar zou de medewerker die waarschijnlijk niet zien. Je zou dan zeggen: die berichten zijn bij Brabantia aangekomen, het niet checken van dat mapje is voor rekening van dat bedrijf dus die hadden het moeten zien. Alleen:

Bij de vraag of Bol.com te goeder trouw was bij de betalingen, is bepalend of zij had moeten twijfelen (zie hiervoor in 3.11). Hiervoor heeft de rechtbank vastgesteld dat Bol.com door de brief van 25 november 2019 ernstig moest twijfelen. Die ernstige twijfel wordt naar het oordeel van de rechtbank niet weggenomen doordat Brabantia Netherlands de bevestiging van Bol.com onbeantwoord heeft gelaten.
Bol.com had al moeten twijfelen vóórdat ze een reply stuurde, laat staan voordat ze het rekeningnummer aanpaste. En dan kun je dus niet zeggen “jullie hebben nooit gereageerd op ons bericht dat we het nummer aangepast hebben”. Ook het sturen van betalingsaankondigingen hielp haar niet, als leverancier hoef je daar niet naar te kijken en al helemaal niet te denken, wat raar dat ze vier weken na de aankondiging nog niet betaald hebben.

Ook een argument van Bol.com was dat Brabantia haar mailboxen beter had moeten beveiligen, bijvoorbeeld met tweefactorauthenticatie. Dan was de inbraak waarschijnlijk niet gelukt, en had dit alles voorkomen kunnen worden. Een terechte klacht, en dit had ook zeker de doorslag gegeven als de mail perfect Nederlands was geweest en een Nederlands IBAN was gebruikt. Maar dat was dus niet zo, en precies  daarom had Bol.com argwanender moeten zijn. Als de afzender klopt maar de inhoud bizar is, dan is er iets mis. En dan ligt de bal écht bij jou als ontvanger.

Arnoud

28 reacties

  1. Wat ik me nu sterk afvraag is of bol.com deze e-mailafhandeling aan buitenlanders (cq mensen die de Nederlandse taal niet machtig zijn) heeft overgelaten. Enig scannen van de brief en alle alarmbellen gaan af, maar alleen bij het Nederlandse deel. En ja; bij een tweetalige brief met zo’n bericht check je snel) of in beide talen hetzelfde staat. Zolang is die brief ook weer niet.

    1. Ik had ooit de schone taak om de waarde van structured notes vast te stellen. Een serie notes was uitgegeven in het duits; er was echter ook een vertaling in het engels beschikbaar waar iedereen tot dat moment van uitging bij de waardebepaling.

      Ik ontdekte dat er twee verschillen waren tussen de engelse en de duitse tekst: 1. De engelse tekst bevatte een extra alinea met de strekking dat bij verschillen of twijfel de duitse tekst leidend was. 2. De trigger conditie voor uitbetaling was verschillend, de engelse versie was een stuk gunstiger.

      Dit was een product uitgeven door een grote, bekende partij, gekocht door professionele beleggers. Niemand had in de meer dan een jaar sinds uitgifte de moeite genomen om verder te kijken dan de engelse tekst.

      Een tweede voorbeeld van slecht lezen: Een structured note van enkele miljoenen euro waarvan de onderliggende waarde “” was. Juist, iemand had de template niet voledig ingevuld en dit was de officiele tekst. Als rendement zou de positieve koerswijziging van de onderliggende waarde met een maximum van 6% en minimum van 0% uitbetaald worden. Veel succes met vaststellen van het rendement. Een institutionele belegeer had deze note voor miljoenen gekocht; daar had dus ook niemand de tekst gelezen!

      Er is een reden dat phishing werkt: zelfs als het om miljoenen gaat kunnen werknemers de moeite niet nemen om fatsoenlijk te lezen!

  2. Dat mailboxen gehackt worden, is “niet ongebruikelijk” helaas. Maar wijzigingen naar een rekening in een ander land als eerst, moet altijd de alarmbellen af laten gaan. Telefonische controle is dan wenselijk en zou m.i. mogelijk moeten zijn, want een zakelijke overeenkomst hebben zonder dat soort informatie is op zijn minst onpraktisch. Ik ben zelf in de administratie werkzaam geweest, zelfs nog voor het gebruik van e-mail e.d. In die tijd was het ook normaal om even te controleren of dit soort wijzigingen wel kloppen. En dat je, wanneer de aanvrager zelf een nummer voor controle geeft, zelf toch het hoofdtelefoonnummer van het bedrijf opzocht en zo zeker stelde, dat hier geen fraude mee gepleegd werd. Uiteindelijk komen dit soort veranderingen maar sporadisch voor.

    1. zelf toch het hoofdtelefoonnummer van het bedrijf opzocht

      Uiteraard. Alleen: er bestaan websites die telefoonnummers vermeldden van helpdesks van banken e.d., waarbij die telefoonnummers in werkelijkheid van phishers zijn. Ook dat nog.

      Aan de andere kant: bij relaties tussen grote bedrijven waarbij dit soort bedragen passeren, mag je verwachten dat mensen van boekhoud- of contractafdelingen elkaar wel eens vaker aan de lijn hebben gehad, en dus weten wie ze moeten hebben.

  3. Ik vind het “nederlands IBAN” argument niet heel sterk. Ik heb (particulier) ook een ES iban (openbank), en een LT iban (revolut). Dat heeft iets met de EU te maken, dat is een ding dat dat zomaar kan. En dus zou brabantia best kunnen bankieren bij een Spaanse bank – zo goed, betrouwbaar, correct zijn die NL banken namelijk ook weer niet (waarmee ik niet wil zeggen dat de ES banken dat wel zijn) Dus alles valt of staat met het brakke taalgebruik. Personlijk zou ik het meer een 50/50 schuld vinden

    1. Brak taalgebruik is ook al lang niet bepalend meer, want de huidige stand van zaken is, dat als je een bericht in desnoods niet geheel vlekkeloos Engels opstelt, er best vaak heel redelijk Nederlands rolt uit DeepL, Google Translate, Bing Translator en misschien zelf Facebook (die hun vertaalmachine inmiddels open source gemaakt hebben).

    2. Ik dacht even aan IBAN-discriminatie, het verschijnsel dat veel partijen een buitenlands rekeningnummer niet accepteerden. Artikel 9 van Verordening (EU) 260/2012 verbiedt dat (lid 1 vanuit de betaler, lid 2 vanuit de begunstigde bezien) en DNB deelt hier sinds een jaar boetes voor uit. In het verlengde hiervan, en in het kader van een verenigd Europa, voelt het daarom vreemd aan dat je op basis van deze uitspraak nu verplicht je wenkbrauwen moet fronsen als je een buitenlandse bankrekening tegenkomt.

      Kennelijk is dit niet in strijdt met art. 9 van de verordening. Recent is de (Europese) parlementaire vraag gesteld of je extra controles mag uitvoeren bij een buitenlandse rekening:

      Mogen betalingsbegunstigden voor het opzetten van buitenlandse automatische afschrijvingen andere procedures gebruiken dan voor binnenlandse automatische afschrijvingen door aanvullende procedurele stappen te verlangen, bijvoorbeeld de ondertekening van aanvullende formulieren of het overleggen van recente bankafschriften?
      Het antwoord houdt in dat deze controles zijn toegestaan:
      EU-wetgeving bepaalt niet dat de procedures voor het opzetten van buitenlandse automatische afschrijvingen dezelfde moeten zijn voor binnenlandse en buitenlandse automatische afschrijvingen. Als de nationale procedures er echter daadwerkelijk toe zouden leiden dat een betaler niet in staat is een buitenlandse automatische afschrijving op te zetten, zou dit een inbreuk op de SEPA-verordening kunnen vormen.

    3. De mail is nog slechter geschreven dan in de begindagen van de eerste oplichtingsmails. Maar goed nieuws voor Bol.com: binnenkort komt een paar miljoen van de ‘Prins van Nigeria’ vrij. Omdat hij geen erfgenamen heeft, schrijft hij Bol.com aan.

  4. Prima uitspraak. De reactie van Bol dat men vrijgesteld is van alsnog de betaling aan Brabantia te voldoen is ook curieus; hoe zou men het bij Bol vinden als elke klant zo’n instelling heeft? Ik hoef niet meer te betalen, want ik heb het bedrag al aan een ander overgemaakt. Korte rondvraag leert trouwens dat men ALTIJD een telefonische of andersoortige verificatie doet van dit soort wijzigingen.

    1. Ter verdediging van Bol, het argument “er is aan een ander betaald” gaat natuurlijk samen met “en het is jouw schuld dat die ander z’n IBAN in ons systeem stond”. Als Brabantia legitiem had gezegd “vanaf nu betalen aan IBAN27ES… want vanwege de btw werken wij met een SL tegenwoordig” en dan het verkeerde Spaanse nummer, dan had Bol wél bevrijdend betaald aan de Spaanse mevrouw die ineens 750k op haar rekening kreeg.

    2. Ik zou het ook niet vreemd gevonden hebben als de rechter een klein deel van de schuld (10% of zo) bij Brabantia gelegd zou hebben, vanwege de gehackte mailbox. Belangrijkste factor blijft dat Bol eind 2019 al gewaarschuwd had moeten zijn voor dit type oplichting en dat met een telefoontje de legitimiteit van de rekeningwijziging gecontroleerd had kunnen worden.

      1. De essentie van de uitspraak is dat eigen schuld van Brabantia geen verweer kan vormen bij een vordering tot nakoming tegen Bol.com Bol.com had een tegenvordering moeten indienen en dan had Brabantia eigen schuld van Bol.com als verweer kunnen voeren. Zie overweging 3.19.

  5. De afbeelding van de brief in het vonnis (zie 2.3) leert mij dat de brief hoogstwaarschijnlijk in HTML code is verzonden en in dat geval is het aan te bevelen om zowel de weergegeven afzender te vergelijken met de afzender zoals in die ASCII is verzonden. Die twee kunnen namelijk verschillen.

    1. De afzender was écht Brabantia, afgaande op de DMARC informatie in de mail. Er was geen technische truc die je had kunnen inzetten om te zien dat de mail niet van Brabantia kwam. Daarom ook de discussie over 2fa: Brabantia had volgens Bol haar mailaccounts beter moeten beveiligen, want de aanvaller kon nu te makkelijk de mailbox overnemen en mails versturen die niet van echt te onderscheiden zijn.

      1. Volgens mij heeft het helemaal niets uitgemaakt dat Brabantia gehackt was. De medewerker die op basis van deze emails het rekeningnummer heeft aangepast was écht niet tech-savvy genoeg om een gespooft afzenderadres te herkennen als dat aan de orde was geweest.

          1. Daarom schreef ik ook “als dat aan de orde was geweest”. Misschien is dat heden ten dage wat theoretisch, maar Brabantia zou net zo goed geen DKIM/SPF/whatever kunnen hebben gehad. De medewerker van Bol heeft dat waarschijnlijk niet gecontroleerd, en dan zegt het alsnog niks dat het bericht ongeschonden door je spamfilter komt.

    1. «Op basis van de frase ‘ Het enige vind ik steekhoudende tegenargument ’ in deze blogpost concludeer ik dat dit een gehackte phising blog is…»

      Is goeie spreektaal vind ik veel mensen praten zo een keertje het ook zo opschrijven verlevendigt een blog daarom is dat wel legitiem als je mij om m’n meing vraagt en anders ook en kijk maar uit anders betrek ik je in rechten [ziq]!

  6. Brabantia maakt degelijke producten en zou zo’n lor als werknemer aannemen? Dan moeten die Glöckchen toch gaan klingeln. Maar werkelijk schandalig is bij de rechter proberen onder de betaling aan de rechtmatige crediteur uit te komen. Domme pech en gewoon een tweede keer betalen.

  7. Rekeningnummers altijd verifiëren. Je belt toch ook naar de notaris voor je geld overmaakt naar de bankrekening die je van ‘hun’ web-site haalt? En dan bellen naar het telefoonnummer dat je op een andere manier dan via de web-site hebt verkregen. Ik krijg dan vaak een heel verbaasde telefonist/e aan de lijn. Zou ik de enige zijn?

    1. Op de factuur van mijn keukenboer een ander rekeningnummer zien staan dan op hun eigen website, bovendien is dat nummer nergens op internet te vinden. Als ik vervolgens opbel om na te gaan of ik het correcte nummer heb, wordt ik wel netjes geholpen maar het was duidelijk dat ze het wel heel raar vonden dat ik belde. Controleren mensen het nou écht niet voordat ze grote bedragen overmaken?

  8. Het zwakste argument in de verdediging van Bol is dat men de wijziging heeft doorgevoerd omdat er niet op hun mails gereageerd werd. Als je twijfelt, anders stuur je meestal geen mail – of geen bevestiging krijgt – dan wacht je rustig af. De andere kant wil z’n geld zien. Die gaan vanzelf wel piepen.

    Daarnaast kennen mensen elkaar vaak van de telefoon als het over grotere debiteuren/crediteuren gaat. Ondanks alle techniek is even bellen vaak het makkelijkst.

    “Volgende week een paar dagen met de kinderen weg, factuur X doe ik die maandag erop.”

    “OK, bedankt voor je belletje en veel plezier. Hoop dat je lekker weer hebt.”

    Maar zoals een lezer reageert: Brabantia had ook moeten zorgen voor een betere beveiliging. Die zouden ook wel een gedeelte van het verlies mogen dragen. Samen op de blaren zitten, lijkt me in dit geval terecht.

    1. Ben ik niet met je eens, zelfs in ons kleine mkb bedrijfje is de standaard voor elke wijziging van klant gegevens: Verzoek komt schriftelijk, dan telefonisch verifiëren bij de vaste contact persoon. Verzoek komt telefonisch van vaste contact persoon, schriftelijk bevestigen. Verzoek komt telefonisch van een onbekend persoon bij de klant, schriftelijk en telefonisch verifiëren bij een bekend contact persoon.

      Klanten doen wel eens moeilijk of al dat gedoe nu wel nodig is, vanaf nu verwijs ik ze naar deze blogpost of het tweakers artikel.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.