Mail van een postbode uit de hel

Bij een computerinbraak in de VS zijn de gegevens van een kwart miljard consumenten gestolen. Het gevolg: nog meer malicieuze mail.

Honderden miljoenen internetters, ook in Nederland, kunnen de komende weken veel elektronische post verwachten. Van een opdringerige postbode die elke minuut aanbelt. Eentje die meer reclamefolders bezorgt dan liefdesbrieven. Die zijn neus niet ophaalt voor ranzig drukwerk. Die ook brieven bezorgt van Nigeriaanse ex-prinsen die banktegoeden in Zwitserland willen vrijmaken.

Het is de postbode uit de hel.

Hij is ontketend door een computerinbraak bij een Amerikaans bedrijf, waarvan de naam internetters niets zal zeggen. Epsilon is een specialist in marketing via e-mail. Namens vaak grote klanten stuurt het bedrijf elk jaar 40 miljard digitale reclamefolders en nieuwsbrieven rond.

De inbrekers kwamen binnen via een elektronische sluiproute. Volgens Epsilon, dat zwijgt over de toedracht, stalen ze de verzendlijsten van vijftig bedrijven. Dat is 2 procent van de 2.200 ondernemingen die Epsilon tot zijn cliëntèle rekent.

Epsilon wil nog niet zeggen welke bedrijven het schip zijn ingegaan. Maar omdat de getroffen ondernemingen hun klanten begonnen te waarschuwen voor mogelijk foute mail, is er een aardig beeld ontstaan van de reikwijdte van de inbraak. Tot de slachtoffers behoren JPMorgan Chase en Citigroup (de tweede en derde grootste bank van de VS), Kroger (de grootste supermarktexploitant in de VS) en Best Buy (de grootste elektronicaketen).

Nederlandse klanten die weleens iets bestellen via internet of hotels boeken, moeten ook op hun tellen passen. De hotelketens Hilton en Marriott bevinden zich in hetzelfde schuitje, net als de onlineboekhandel Abe Books, die ook hier klanten heeft. Ooit Disney Parijs bezocht en een e-mailadres opgegeven om aanbiedingen te ontvangen? Iets bij Marks & Spencer gekocht? Maak de borst maar nat.

Epsilon zweert bij hoog en laag dat de hackers alleen over de namen en de e-mailadressen beschikken van consumenten. 'Ze bagatelliseren het door te zeggen dat de hackers in ieder geval geen financiële informatie achterhaalden', zegt directeur Neil Schwartzman van Coalition Against Unsolicited Commercial Email (Cauce), dat commerciële mailhinder bestrijdt. 'Wat ze in handen hebben, is genoeg om die gegevens te kunnen ontfutselen.'

Oplichters kunnen op naam gestelde e-mails versturen uit naam van de beroofde bedrijven om daarmee te hengelen naar vertrouwelijke gegevens. De kans van slagen is bij deze vorm van bedrog groter dan bij de anonieme bulkpost die internetters normaal in hun inbox vinden. Bij phishing werpt een hacker een groot net uit, met grove mazen, om slachtoffers te vangen. Bij spear fishing slaat hij gericht toe - met een harpoen.

De vraag is bovendien of de inbrekers bij Epsilon niet met meer gegevens aan de haal zijn gegaan. Bedrijven in deze sector sprokkelen informatie bijeen als e-mails worden verstuurd. Klanten die kiezen voor een html-versie (waardoor het bericht oogt als een webpagina) kunnen in de gaten worden gehouden. De mailmarketeers gaan na of ze het bericht of de folder lezen en welke links ze daarin aanklikken. Op zijn website meldt Epsilon informatie te hebben over meer dan 250 miljoen klanten, 'hun leefstijl, smaak en gedrag'.

Cauce suggereert dat de inbrekers bij Epsilon zijn binnengedrongen via spear fishing. Ze zouden e-mails met verborgen codes naar werknemers van het marketingbedrijf hebben gestuurd. Die codes hebben achterdeuren in het netwerk opengezet.

X-Force, de computerbeveiligingstak van IBM, meldt in zijn jongste jaaroverzicht dat dit soort gerichte aanvallen scherp toeneemt. Het aantal phishing-berichten is gekrompen tot een kwart van wat er twee jaar geleden werd verzonden. Hackers stellen kennelijk kwaliteit (de buit) boven kwantiteit (de bulk).

Een doelgerichte aanpak kan vruchten afwerpen. Deze week werd bekend dat mediabedrijf Condé Nast is opgelicht door een man die zich in e-mails voordeed als een drukkerij waarmee het Amerikaanse bedrijf zaken doet. De man stuurde Condé Nast facturen voor drukwerk.

Pas toen de echte drukkerij begon te klagen, ging er een belletje rinkelen bij de uitgever. Niet nadat er al 8 miljoen dollar naar de fraudeur was overgemaakt.

Hoe voorkom je fraude?

Tegen misbruik van een e-mailadres valt weinig te beginnen. Het is voor fraudeurs een koud kunstje om uit naam van een bank of winkel een authentiek ogende e-mail te sturen. Filters bij internetaanbieders houden al veel ongewenste reclame (spam) en frauduleuze berichten tegen. Om te voorkomen dat je het slachtoffer wordt van fraude door een mail die langs deze poortwachters glipt, is het aan te raden om niet te klikken op weblinks in een bericht. Stuur nooit je wachtwoord, pincode of andere financiële gegevens in een antwoord op een e-mail.

undefined

Meer over