Het is een reguliere werkdag op kantoor bij marketingbureau Yelflow. Tijdens het salesoverleg wordt een interessante nieuwe aanvraag besproken. Een Amerikaanse organisatie wil graag uitbreiden naar Nederland en zoekt daarvoor een bureau dat hen kan helpen met de marketing.
Ik had echt nooit gedacht dat dit mij zou overkomen. Ik heb er wakker van gelegen
Het contact verloopt enkel via de mail en blijkt uiteindelijk een manier van criminelen om binnen te sluipen in het netwerk van Yelflow. “Ik had echt nooit gedacht dat dit mij zou overkomen”, zegt Corné Hoogendoorn, oprichter en eigenaar van het Utrechtse bureau. “Ik heb er wakker van gelegen”.
Rode vlaggen werden niet gezien
“Terugkijkend naar het cyberincident waren er wel een aantal rode vlaggen waardoor we hadden kunnen weten dat het niet in de haak was”, vertelt Corné. Maar over het algemeen waren er helemaal geen gekkigheden in het contact met het Amerikaanse bedrijf. “Er was wat mailcontact over en weer over de aanvraag. Uiteindelijk stuurden ze ons een Request for Proposal (RFP) in een Dropbox-omgeving. Deze omgeving was beveiligd met een wachtwoord. Achteraf gezien was dat dus één van die rode vlaggen, maar tegelijkertijd zien we dit ook wel vaker. In RFP’s wordt vaak vertrouwelijke bedrijfsinformatie gedeeld.”
Foute boel: wachtwoorden gestolen
Dat de RFP gedeeld werd in een valide Dropbox-omgeving is een slimme manier om standaard endpoint-beveiliging te omzeilen. De RFP leek op een gewoon PDF-bestand, maar bleek een screensaver te zijn. Door het te openen werd er software geïnstalleerd en een script uitgevoerd. Hierdoor waren de criminelen in staat om in no time alle wachtwoorden te verzamelen. “Vrij kort na het openen van het bestand roken we onraad, maar ondernamen we nog niet direct actie. Pas later, toen mails niet meer aankwamen en de site van het merk plotseling uit de lucht was, belden we HOB ICT Security. Zij kwamen meteen in actie en al snel bleek dat het foute boel was. We hadden te maken met een hack. Ik voelde me machteloos en alle scenario’s schieten op dat moment door je hoofd: hebben ze ook ingebroken bij mijn klanten? Kunnen ze bij mijn bankgegevens? Welke schade gaan we oplopen? Zelfs het faillissementsscenario schoot door mijn hoofd”, vertelt Corné.
Specialisten van HOB waren redders in nood
Uiteindelijk leek de schade zich te ‘beperken’ tot het stelen van onze wachtwoorden. Corné: “Dat was relatief simpel op te lossen door alle wachtwoorden te veranderen. Een monnikenwerk, maar te doen. Ik ben heel erg blij met alle hulp van HOB. Zij hebben ons incident met topprioriteit opgepakt en ons in het hele proces continu op de hoogte gehouden. HOB heeft een knap staaltje reverse engineering laten zien. Dat machteloze gevoel werd daardoor snel minder, ik was met echte specialisten aan het werk. Ik nam voor dit incident al wat basis ICT-diensten af bij HOB, maar snapte eerlijk gezegd eigenlijk niet altijd waar ik die factuur nu precies voor betaalde. Nu doe ik dat iedere keer met liefde. Zonder hen was de schade vele malen groter geweest.”
De facturen van HOB betaal ik nu met liefde. Ze hebben ons echt gered
Openhartig over hack
Niet alle ondernemers willen of kunnen zo openhartig zijn over een cyberincident als Corné. “Achteraf bleek dat het om een aanval bleek te gaan op de gehele sector. Er moeten dus meer bureaus geweest zijn die in de val zijn gelokt. Dat heeft mijn ogen geopend. Door hier open over te zijn wil ik awareness creëren en voorkomen dat het nog een keer gebeurt. Bij Yelflow of bij andere bedrijven: het is een enorme wake-up call geweest. Met onze internet en ICT-kennis dacht ik dat het ons nooit zou overkomen. Dat we toch te maken hebben gehad met een hack had ik nooit verwacht.”
Dit cyberincident is een belangrijke wake-up call. Niet allen voor mij, maar hopelijk ook voor andere ondernemers
Corné Hoogendoorn
Founder - Yelflow