'De bibliotheek voor de bestrijding van digitale criminaliteit'

Home » Cybercrime » Brabantia in gelijk gesteld in phishing zaak Bol.com

Brabantia in gelijk gesteld in phishing zaak Bol.com

Gepubliceerd op 4 mei 2021 om 15:00

BOL.com

Een phishingmail is Bol.com duur komen te staan. De online retailer dacht een bericht van Brabantia te hebben ontvangen met het verzoek om het bankrekeningnummer aan te passen. In werkelijkheid was de e-mail afkomstig van cybercriminelen. Door de oplichtingstruc schreef Bol.com ruim 750.000 euro bij op hun rekening. De rechter oordeelt dat de webwinkel alsnog het bedrag moet overmaken aan Brabantia. Bol.com overweegt om in hoger beroep te gaan.

Valse en misleidende berichten

Phishing is een fenomeen dat steeds vaker voorkomt in ons land. Daarbij proberen cybercriminelen mensen op te lichten door valse en misleidende berichten naar ze te sturen. Oplichters doen alsof ze een grote bank of andere bekende partij zijn en vragen nietsvermoedende slachtoffers om vertrouwelijke gegevens door te geven. Maar ook bijvoorbeeld om hun wachtwoord te veranderen of geld tijdelijk over te sluizen naar een 'veilige kluisrekening'. In werkelijkheid proberen ze op deze manier geld te stelen van hun slachtoffers. Hieronder een voorbeeld van de omvang van phishing, het onderstaande voorbeeld betreft enkel phishing uit naam van de belastingdienst.

De Nederlandse Vereniging van Banken en Betaalvereniging Nederland berekenden dat phishing in 2020 een schadepost opleverde van 12,8 miljoen euro. Een jaar eerder kwam de schade door phishing nog uit op 7,9 miljoen euro. Kortom, in een jaar tijd steeg het schadebedrag met 62 procent.

Spear cyberaanval

Niet alleen particulieren, maar ook grote bedrijven zijn regelmatig het doelwit van cybercriminelen die via phishing een zakcentje proberen bij te verdienen. Dat bewijst de zaak tussen Bol.com en Brabantia. Een spear phishing aanval is een gerichte aanval, meer info over spear phishing lees je hier.

Het vonnis

In het vonnis van de rechtbank lezen we dat in het najaar van 2019 de mailbox van een medewerkster van de boekhoudafdeling van Brabantia werd gehackt door één of meerdere oplichters. Eind november verstuurde de oplichter via dit e-mailadres een bericht naar Bol.com met het verzoek om betalingen niet langer naar Brabantia Netherlands over te maken, maar naar een Spaanse rekening op naam van ‘Brabantia International B.V.’

De fraudeur vroeg vervolgens een aantal keer per e-mail of Bol.com kon bevestigen dat de wijziging was doorgevoerd. Twee weken nadat het eerste bericht was verzonden, reageerde Bol.com dat het nieuwe bankrekeningnummer bij haar bekend was.

Brabantia, die met regelmaat producten levert aan Bol.com, had al enige tijd geen betalingen meer ontvangen van Bol.com. Het bedrijf deed daarom half januari navraag bij Bol.com waarom ze geen sinds december geen geld meer had ontvangen van Bol.com. Rond 22 januari constateerden beide bedrijven dat zij het slachtoffer waren geworden van fraude. Ook wel BEC fraude genoemd.

Fraude of niet, Brabantia eist dat Bol.com alsnog een bedrag van 745.624 euro betaalt, exclusief rente en gemaakte kosten. Bol.com meent dat het geen fouten heeft gemaakt in deze zaak en dat haar werknemers alle reden hadden om aan te nemen dat de e-mail daadwerkelijk van Brabantia afkomstig was: het e-mailadres klopte en de lay-out van de e-mail en ondertekeningen van de directie leken authentiek.

Gezonde argwaan

De rechter is het niet eens met het verweer van Bol.com. Hij stelt dat er alarmbellen hadden moeten afgaan toen Brabantia vroeg om het bankrekeningnummer te wijzigen. “Waarom zou een in Nederland gevestigde onderneming alle betalingen van een andere in Nederland gevestigde onderneming willen ontvangen op een Spaanse bankrekening? Dat is in ieder geval op het eerste oog merkwaardig”, zo oordeelt de rechtbank. Het verzoek had op z’n minst ‘gezonde argwaan’ moeten wekken.

Ook het taalgebruik moet zijn opgevallen. Niet alleen stond het verzoek boordevol met spel- en schrijffouten, maar was het bericht tevens een mengelmoesje van Nederlands en Engels. Voor een bedrijf dat in Nederland is gevestigd en uitsluitend in het Nederlands communiceert, had Bol.com kunnen weten dat er iets niet in de haak was. In de e-mail waarin ‘Brabantia’ vroeg om het bankrekeningnummer te wijzigen, stond het volgende:

“Houd he rekening mee dat we vanaf vandaag een wijziging in onze bankrekeninggegevens hebben voor incaende betalingen. Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje. We het op prijs as u uw gegevens kunt bijwerken.”

“Bol.com moest begrijpen dat dergelijke frases praktisch niet van directeuren van Brabantia Netherlands afkomstig kunnen zijn of door hen kunnen zijn goedgekeurd”, zo schrijft de rechtbank in haar vonnis.

De rechter verwerpt het verweer van Bol.com en eist dat de retailer een bedrag van 751.127,12 euro betaalt aan Brabantia, plus rente en kosten. Bovenop dat bedrag moet de webshop ook de proceskosten vergoeden, die 10.646,99 euro bedragen.

Brabantia

Brabantia zegt tegenover het Financieele Dagblad blij te zijn met de uitspraak van de rechter. “We nemen de veiligheid van onze klanten en systemen altijd zeer serieus”, aldus een woordvoerder. Hij benadrukt tevens dat het bedrijf een goede relatie heeft met Bol.com en deze wil behouden. Bol.com is teleurgesteld in de uitkomst en overweegt om in hoger beroep te gaan. De retailer zegt nog steeds producten van Brabantia te verkopen.

ECLI NL RBMNE 2021 1528
PDF – 196,6 KB 76 downloads

Bron: fd.nl, rechtspraak.nl, vpngids.nl

Meer info over BEC fraude lees je hier

Meer info over phishing lees je hier

Meer info over spear phishing lees je hier

Tips of verdachte activiteiten gezien? Meld het hier.

Gerelateerde berichten


 »