Storage Spoofing (5) – hoe herken je fake websites

Om te beginnen zijn er diverse onderdelen op nep-websites die gebruikt worden voor storage spoofing die meteen in het zicht springen. Zo zijn de websites vaak ‘under construction’, of ogen in ieder geval alsof ze nog niet afgerond zijn: pagina’s worden gekenmerkt door slordige opmaak, slechte fotografie, afleidende beelden en video’s, logo’s die eruit zien alsof ze in Paint gemaakt zijn en een algehele indruk dat het bedrijf geen serieus werk gemaakt heeft van deze digitale etalage. Lees: een officieel bedrijf zou zijn activiteiten niet zo amateuristisch uitstallen.

In de extreemste gevallen, waarin de ‘valsheid’ dus erg opvalt, zien we ook slecht gephotoshopte afbeeldingen, bijvoorbeeld met een foto van een opslagtank waarbij het logo van het bedrijf zo over de afbeelding geplakt in plaats van over de tank zelf. Dan weet je dat er nergens in Rotterdam daadwerkelijk een opslag is waar je dat logo terugvindt.

Kijken we wat dieper, dan zien we veelal gebrekkige grammatica, of een bedrijfsnaam die niet correspondeert met het adres van de website. Met andere woorden, een naam op de homepage die niet overeenkomt met de naam in de browserbalk. Een detail waar je wat nauwkeuriger voor moet kijken, is het feit dat de naam van het voorgestelde bedrijf soms doorheen de websites niet consequent hetzelfde is. Een concreet voorbeeld is http://alliance-marine.ru/: zowel in de URL als bovenin de landingspagina heet het bedrijf Alliance Marine, maar links onderin diezelfde homepage zien we ineens ‘Alienance Marine’ staan.

Een trend die we de laatste tijd wat vaker zien, is dat fraudeurs zich bedienen van bestaande bedrijfsnamen die bij de betreffende organisatie niet meer in gebruik zijn. Zo zagen we in het eerste artikel in deze serie dat de naam van een dochteronderneming van het gerenommeerde bedrijf Koole in 2016 misbruikt wordt. De naam, het logo en zelfs de huisstijl van Nova Terminals, een paar jaar eerder overgenomen door Koole, werd op http://novaterminalsbv.com gebruikt voor oplichting. Die website is gelukkig niet meer in de lucht.

Staan er hyperlinks op de website? Klik niet zomaar en kijk op verdachte websites altijd eerst waar de link heengaat. Dat doe je door de cursor over de link te plaatsen om te zien waar je heen geleid wordt. Een url die je van het bestaande domein vandaan verwijst kan verdacht zijn, zeker wanneer het een betaallink betreft.

Contactgegevens zijn vaak heel generiek, maar kunnen toch een indicatie geven dat er iets niet pluis is. Het verdient dus de moeite om alles even te checken, van adres, e-mail en telefoonnummer tot KvK-details. Dat laatste check je eenvoudig op https://www.kvk.nl/zoeken. Daarnaast is de locatie vaak een hint dat je met een fake website te maken hebt. De website claimt bijvoorbeeld dat het bedrijf of de opslag in Rotterdam gevestigd is, terwijl het bijbehorende telefoonnummer geen 010-nummer is. Of de exacte locatie van de opslag blijkt in het centrum van de stad te zijn, wat niet heel waarschijnlijk is voor tankopslag of -terminals.

Dat laatste valt gemakkelijk te checken met Google Maps. Daarnaast is social media een goed platform om contactgegevens te verifiëren, met name LinkedIn.

Wanneer je met een Nederlandse domeinnaam (.nl) te maken hebt, kun je de authenticiteit gemakkelijk nakijken door de url in te voeren in https://www.sidn.nl/, de website van de Stichting Internet Domein Registratie. Daar kun je hosting details inzien, zoals de datum van registratie (opvallend recent?) en het land vanuit waar de website geregistreerd is (India? Rusland). Ook kun je contact- en adresgegevens vergelijken met die op de website zelf.

VOORBEELD
Bovenstaande kunnen we nog wat verduidelijk met een voorbeeldje. Neem bijvoorbeeld het als fake website gekenmerkte http://www.beaconterminals.nl (zie https://ferm-rotterdam.nl/blacklist voor de actuele lijst van verdachte websites), zogenaamd van Beacon Terminals BV. Als je die url (let op: geen https!) op sidn.nl invoert, dan zie je dat de website al geregistreerd is. Klik vervolgens op ’toon mij de gegevens’. Dan zie je al snel dat de website pas in november 2017 geregistreerd is, vanuit een onbekende organisatie in India. Bovendien is er een onwaarschijnlijk e-mailadres van de administratieve contactpersoon aan gekoppeld is: globalink56@gmail.com.

*Update: de url http://www.beaconterminals.nl is inmiddels verwijderd. Goed nieuws!

Overigens, wie niet per e-mail maar telefonisch benaderd wordt voor een opmerkelijke deal, doet er goed aan om te verzoeken terug te mogen bellen. Is het opgegeven nummer bereikbaar, met de juiste land- of regiocode?

Een beveiligde website heeft een Secure Sockets Layer of SSL-certificaat, wat betekent dat er een veilige verbinding is tussen de server en de bezoeker. De url van websites met een SSL-certificaat begint met HTTPS – in tegenstelling tot alleen HTTP – en heeft een klein symbooltje in de vorm van een slotje in de linkerbovenhoek van de browser (in de url-balk).

Zoals je kunt zien in onze huidige zwarte lijst van valse websites beginnen bijna alle verdachte website met HTTP en de weinige domeinen die wèl HTTPS hebben, missen dat kleine slotje.

Dat wil overigens niet zeggen dat HTTP altijd onbetrouwbaar is, en dat alle HTTPS-omgevingen per definitie wèl veilig zijn. Het kan zijn dat een organisatie nog niet toegekomen is aan de overstap op HTTPS, al wordt die kans steeds kleiner. Daarnaast kunnen SSL-certificaten tegenwoordig op de zwarte markt worden gekocht. Met andere woorden, ook websites met HTTPS en een slot zijn niet honderd procent uit te sluiten als onbetrouwbaar; let altijd op de combinatie met andere variabelen die we hier bespreken.

Naast indicatoren op de website en opvallende overeenkomsten in de manier waarop er contact gelegd wordt, is er nog een belangrijk detail waar je oplichting aan zou kunnen herkennen: de deal zelf. Sterker nog, dat is de voornaamste insteek van ons tweede artikel in deze serie. Is het aanbod, zowel in volume als in de prijs, te mooi om waar te zijn? Dan is dat waarschijnlijk ook zo!

Hebben de verkopers haast en vragen ze vooraf om een aanbetaling per bankoverschrijving om de zaak te bespoedigen? Volg je onderbuikgevoel. En wees te allen tijde bewust van de mogelijkheid dat je met oplichting te maken hebt; cybercriminelen zijn creatief en lezen deze artikelen óók. Dat betekent dat ze constant nieuwe methoden en tactieken aanwenden om hun ‘handel’ aan de man te brengen.

Twijfels? Pak het Facts & Figures-overzicht van Havenbedrijf Rotterdam erbij, je vindt er de officiële bedrijfsnamen en websites van alle relevante bedrijven in het havengebied. En check op de FERM blacklist of de betreffende website al onderdeel is van onze activiteiten om oplichters te ontmaskeren.

Er zijn in de basis twee manieren waarop een persoon of organisatie benadeeld kan worden door oplichterij uit de hoek van storage spoofing: je bent ofwel financieel benadeeld omdat je een aanbetaling hebt gedaan voor een deal die niet bleek te bestaan, of je persoons- en/of bedrijfsgegevens zijn misbruikt op valse websites en in correspondentie over valse deals.

Een valse website offline halen of ondersteuning krijgen vanuit het Openbaar Ministerie voor financiële verliezen, start bij een aangifte. De eerste stap is daarom contact met de politie, ook als je enkel een situatie wil melden zonder daadwerkelijk aangifte te doen. Ga je over tot aangifte, dan brengt de politie je in contact met het OM. Daarnaast verzoeken we je om contact op te nemen met FERM – ook als je een valse deal of website ontdekt hebt zonder dat je er zelf door benadeeld bent. Meld je bij ons via storagespoofing@ferm-rotterdam.nl, zodat we de situatie op kunnen volgen.