Kloosterman BV slachtoffer van inbraak in de mailbox

“Hebben we de trekker betaald?” Het was de vraag waarmee Carlo, een van de eigenaren van Kloosterman BV, bij Leontien de alarmbellen liet afgaan. “Carlo betaalt geen rekeningen en correspondentie daarover gaat niet via zijn inbox”, legt ze uit. “Hij mailt alleen over projecten en ik wist zeker dat de trekker van tevoren was betaald. Toch ga je twijfelen en controleer je of het klopt wat je denkt.”

Leontien ging navraag doen. Vervolgens merkte Carlo een spelfout op in de bedrijfsnaam in de vermoedelijk valse e-mail. “Daar stond geen Intratech, maar Intartech”, zegt hij. Toen Intratech bevestigde wat ze bij Kloosterman ondertussen al wisten, kwam de opluchting. “We zeiden tegen elkaar: dat hebben we goed gedaan.”

Het IT-bedrijf ontdekte dat iemand van buiten het bedrijf in de mailbox van Carlo had weten te komen

Vreemd mailverkeer

Dit speelde eind maart. Ondanks de goede afloop zat het Leontien niet lekker. “Waar was die e-mail vandaan gekomen? “Ik wilde zeker weten dat er niets anders aan de hand was en nam daarom contact op met onze IT-aanbieder”, vertelt ze. “Dat is een aanbieder die hier in de omgeving een groot aantal bedrijven van software voorziet en is dus geen kleine speler. Gelukkig kon die me geruststellen.”

Achteraf vraagt Leontien zich af of ze zich te graag gerust wilde laten stellen. “Er waren echter geen nieuwe aanwijzingen die wezen op een inbraak. Ook hebben we allemaal tweestapsverificatie, iets wat onze IT-aanbieder zelf kwam installeren. Voor ons werkt dat goed, omdat iedereen hier op kantoor werkt. Je hoeft dan maar één keer de tweede verificatie te doen en daarna is het goed. Door de minimale handeling verdwijnt het toch ook weer snel naar de achtergrond.”

Ongeveer twee weken later ging Leontien aan de slag met het debiteurenbeheer. Ze kwam toen toch weer iets vreemds tegen. “Het ging om een klant waar we al een tijdje een project voor doen. Normaal betaalt die altijd op tijd, maar deze keer was de periode van veertig dagen verstreken. Om na te gaan wat er aan de hand was, belde ik de klant. Toen die vervolgens vertelde dat hij de factuur had betaald, kreeg ik het warm”, zegt Leontien. Het ging om een fors termijnbedrag van duizenden euro’s en dat bedrag was verdwenen.

De klant legde aan Leontien uit dat hij, nog voor de termijn was verstreken, van Carlo een e-mail had gekregen met een betalingsherinnering. In diezelfde mail wees de zogenaamde Carlo de klant erop dat hij het geld naar een ander bankrekeningnummer moest overmaken. Vandaar de extra herinnering, zo legde de crimineel uit toen de klant er een vraag over stelde. “De e-mails zagen er niet verdacht uit. De klant maakte het geld daarom op tijd over naar het ‘nieuwe’ rekeningnummer.”

Hulp van fraudeteam

Zowel de klant als Kloosterman deed hierop aangifte bij de politie in Goes en het Meldpunt datalekken. “Ook bij de bank maakten we melding van de diefstal. Die gaf de zaak intern door aan zijn fraudeteam. Hier hoorden we vervolgens een tijd niets meer van.”

Leontien wilde ook antwoord op de vraag hoe dit had kunnen gebeuren. “Ik ben weer gaan bellen met onze IT-leverancier”, zegt ze. Naar haar gevoel reageerde die nog steeds vrij laconiek. Toch bleef Leontien deze keer aandringen dat de IT-leverancier moest komen, omdat er iets aan de hand was. “Pas na een halve dag kwam het bedrijf langs. Toen moesten we ook nog zelf vragen om de outboxen van Carlo te controleren.”

Toen de klant vervolgens vertelde dat hij de factuur had betaald, kreeg ik het warm

Daarnaast keken ze bij Kloosterman naar de eigen manier van werken. “We stelden onszelf de vraag of we het hadden kunnen voorkomen. Ik lag er ’s nachts van wakker”, aldus Leontien. Tot het IT-bedrijf een logbestand vond dat alles duidelijk maakte. “Hierin kon het bedrijf zien dat iemand van buiten het bedrijf in de mailbox van Carlo had weten te komen. Dat kon omdat alleen Carlo destijds geen tweestapsverificatie kreeg. De indringer had vervolgens een regel toegevoegd waarmee de mail van deze klant naar de RSS werd gestuurd, een inbox waar niemand in kijkt. Zo kon hij ongezien meelezen en mailen met wie hij wilde. Zover wij hebben kunnen nagaan, gebeurde dat alleen bij deze klant.”

Carlo kreeg tweestapsverificatie. Daarna ontving hij in elk geval nog zeven keer de vraag of hij ergens vanuit Nederland probeerde in te loggen. “Dat was de indringer”, zegt Leontien. “Helaas kun je op basis daarvan niet de naam van de inbreker ontdekken.”

Opletten nodig

Gelukkig liep het allemaal met een sisser af. “We hebben het geld weer terug”, zegt Leontien blij. Net voor het lange pinksterweekend stortte de bank het geld op de rekening van het bedrijf. Kloosterman had geluk, want de bank ontdekte waar het geld was gebleven en bevroor het tegoed van de rekeninghouder. “Daarna kreeg die rekeninghouder nog de kans om bezwaar te maken. Toen die termijn zonder reactie verliep, haalde de bank het geld terug.”

Leontien wilde graag haar verhaal vertellen om andere ondernemers bewust te maken van het risico dat ze kunnen lopen. “We lazen en hoorden wel eens wat over digitale gijzelingen, maar dit was alleen iets heel anders.”

Wat hen overkwam, heeft haar aan het denken gezet. “Waarschijnlijk gaan we toch duidelijker melden dat we niet van bankrekeningnummer veranderen. Ook melden we altijd al dat klanten met vragen ons kunnen bellen. Daar gaan we nog nadrukkelijker de voorkeur aan geven. Zo kunnen we het sneller achterhalen als er iets niet goed gaat. Een laatste verandering is dat ik veel meer op debiteurenbeheer ben gaan zitten dan voor de inbraak.”

Uiteindelijk liep het met een sisser af, want vlak voor pinksteren was het geld terug

Wat ze ondanks alles toch nog doet, is vertrouwen op de softwareleverancier. “Ik moet wel. We hebben een bedrijf waar we druk mee zijn, dus is er geen ruimte om de IT’er te gaan controleren. Het moet wel werkbaar blijven. Tegelijkertijd wil ik dat die me de volgende keer meteen serieus neemt”, zegt ze. Andere ondernemers raadt ze aan hun IT’ers op hun verantwoordelijkheid aan te spreken. “Ze hebben een zorgplicht.”