Onze serie over storage spoofing zijn we gestart met Ronald Backers, adviseur Business Intelligence bij Havenbedrijf Rotterdam. Dat heeft al veel losgemaakt: bedrijven weten ons te vinden met meldingen van fraudegevallen, de blacklist met valse websites wordt vrijwel dagelijks aangevuld en het onderwerp is opgepakt in de media. In het tweede artikel focussen we op een aantal overeenkomsten van storage spoofing-pogingen aan de hand van praktijkvoorbeelden van de oprichter en CEO van een handelsbedrijf in het havengebied, die aan deze aflevering als bron meegewerkt heeft.

[this article in English? Click here]

DEEL 2: ‘TOO GOOD TO BE TRUE’

In het eerdere artikel wezen we onder meer op de aanbieders van de fictieve voorraden tegen aantrekkelijke prijzen, en op de specifieke producten die ze pretenderen te bezitten. Het duidelijkst herkenbare signaal dat je met een poging tot oplichting te maken hebt, zit ‘m volgens onze bron in het soort deal dat je wordt voorgelegd en de manier waarop de ‘verkoper’ daar mee omgaat.

SIGNALEN VAN OPLICHTING

Een concreet voorbeeld: er komt een aanbieding van een Russische onderneming. Producten zoals JP54, D2 of D6, reeds opgeslagen in Rotterdam, voor een aantrekkelijke prijs. ,,Het aanbod van de zogenaamde verkoper wordt vervolgens wat specifieker. Het product is wel te koop, maar moet in andere tanks opgeslagen worden. En dan komt er ineens ‘een vriendje’, die nog wel ergens wat opslagcapaciteit heeft voor ‘3 tot 5 dagen’…”

,,Bewijs zoals websites, facturen en allerlei andere valse papieren worden overlegd. Dan de factuur, die natuurlijk per direct overgemaakt moet worden. Bedragen van 100.000 tot 450.000 dollar worden er voor dit soort opslagfacilitering gevraagd. De gebruikte banken zijn obscure banken in vreemde landen. En hiermee is de spoof geboren: De kopers denken een superdeal te hebben gemaakt. Met een geringe investering hebben ze een vracht om op de markt aan te bieden. Maar het fysieke product is nergens te bekennen.”

,,Als ik een auto via internet te koop aanbied, dan zeg ik ‘luister, hij staat op het Weena, kom vooral een kijkje nemen’. Dat is bij al die pogingen van storage spoofing pertinent niet het geval. Er worden wel semi-officieuze documenten aangeboden, maar zodra je doorvraagt over het bedrijf, de locatie of de herkomst van de producten, dan wordt het vaag of geven ze niet thuis. Zijn ze ineens een paar dagen toevallig niet bereikbaar. Of sturen ze de tankcoördinaten, een link naar een zelfgemaakte website of vervalste papieren. “

,,Wij hebben een DD-department (of ‘due diligence’, waar transacties met gepaste zorgvuldigheid nagelopen worden), die alles uitvoerig checken. Dealen in olie is vooral vanuit ‘bank compliance’, tenzij je Shell of Exxon heet, waarbij alles heel duidelijk in overeenstemming met de geldende wet- en regelgeving verloopt, vanuit officiële kanalen. Wat we bij storage spoofing vaak zien, zijn Gmails en Yahoos, en dan weet je wel dat er iets aan de hand is. Dat is een eerste signaal. En hetzelfde geldt voor de documenten die ze opsturen. We hebben bovendien een Port Intelligence-afdeling, waar we alles wat er in- en uitgaat kunnen tracken. Het verhaal is vaak simpel lek te prikken met een eenvoudige check.”

,,Sowieso gaat het steeds om Russische eigenaren, en Russische tankfarms. Die bestaan dus helemaal niet!” Maar als je die achterliggende zaken niet weet, dan is navigatie door het aanbod van deals in het havengebied het een stuk lastiger. Weet je niet hoe het eigenlijk hoort, of hoe de lijnen liggen en welke partijen er zijn, dan is de kans veel groter dat je slachtoffer wordt van oplichting. Dat maakt storage spoofing vooral ook internationaal een groot risico: bedrijven die niet weten hoe de vork in de steel zit in het havengebied. Een reden dat we deze reeks artikelen ook in het Engels aan zullen bieden. Want er schuilt een tweede gevaar in het concept storage spoofing: het idee dat het een negatieve business case wordt voor het havengebied. ,,Dan krijg je dat men denkt ‘joh, er zijn alleen maar oplichters in Rotterdam’.”

NIET-PLUIS GEVOEL

,,Weet je wat het óók is met storage spoofing,” zegt onze bron: ,,de rol van hebzucht. Als het ‘too good to be true is’, dan is dat waarschijnlijk ook zo.” Hetzelfde zien we met pogingen om je via phishing of CEO-fraude op te lichten. Je kent dat wel: het lijkt allemaal te kloppen, maar toch voelt er iets raar. Te beginnen met de bijzondere prijsstelling van de aangeboden deal.

Check daarom altijd de zogenaamde ‘red flags’: een vreemd e-mailadres van de afzender, een overdreven (positieve) boodschap, veel taalfouten of rare vertalingen, een merkwaardige URL onder een linkje of een afwijkende, onpersoonlijke aanhef. En onthoud: te mooi om waar te zijn is vaak te mooi om waar te zijn.

,,We hadden vorige week iemand die precies dat gevoel volgde.” Het ging om een aanbod van de brandstof JP54, hetzelfde product dat Backers herhaaldelijk bij pogingen van storage spoofing voorbij ziet komen. Een product wat sowieso niet bestaat. Opnieuw een auto-analogie (,,dat begrijpt iedereen”): ,,Stel je voor dat er iemand een Mercedes Z30 aanbiedt. Jij en ik weten dat dat geen bestaand model is, maar wie geen verstand heeft van BMW’s of Mercedessen kan zich zomaar laten oplichten, verblind door een aantrekkelijke deal.”

,,Een ander voorbeeld: Ferrari maakt zo’n 300 auto’s per maand, met de hand. Als er dan ineens ergens 3.000 modellen aangeboden worden, is er iets goed mis. Wij zijn natuurlijk traders, die vaker mensen krijgen die het gouden ei denken te hebben. Maar er zijn genoeg signalen waardoor er een belletje zou moeten rinkelen. En dan doen ze ook nog alles in barrels, terwijl wij hier gewoon in tonnen of kubieke meters werken.“ Of, om in de analogie met auto’s te blijven: ,,als er een gloednieuwe Ferrari voor 50.000 euro aangeboden wordt, dan is er iets aan de hand.”

STORAGE SPOOFING

Lees ons eerste artikel hier en check de actuele blacklist van valse websites. Tips, ervaringen of een geval van spoofing gespot? Deel het via storagespoofing@ferm-rotterdam.nl.

LEES OOK ONS DERDE ARTIKEL

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode verbonden.

En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht