Oplichting

Het Rijksmuseum Twenthe is niet de eerste die werd opgelicht via e-mail

Beeld Censuur

Rijksmuseum Twenthe betaalde 2,66 miljoen euro na onderhandeling per mail. Met cybercriminelen bleek.

Als je het Arnoud Odding vraagt, dan vindt hij nog steeds dat hij een werk van de Britse schilder John Constable heeft aangekocht. De directeur van Rijksmuseum Twenthe ontmoette de kunsthandelaar die het schilderij verkocht op een kunstbeurs, onderhandelde via de e-mail over de prijs en maakte uiteindelijk 2,66 miljoen euro over. 

Juridische strijd

Maar niet naar de rekening van de kunsthandelaar, bleek later. Waarschijnlijk had Odding te maken met oplichters, die zich in het geniep in de e-mailconversatie wisten te mengen. Het museum en de Britse kunsthandelaar voeren nu een juridische strijd over wiens fout dit is. 

Cybercriminelen die een e-mailwisseling overnemen, wordt ook wel ‘conversatie kaping’ genoemd. Een toenemend fenomeen, zegt Stefan van der Wal van cybersecuritybedrijf Barracuda. “Er valt veel te halen via e-mail. Zo wordt het steeds normaler om facturen via de mail te ontvangen en te betalen.”

Technisch hoeft het niet heel ingewikkeld te zijn om in iemands account te komen, zegt hij. Zo liggen door datalekken regelmatig bergen e-mailadressen en wachtwoorden op straat, die vervolgens te koop worden aangeboden op internet. Het kan zijn dat criminelen het hele account overnemen. Ze kunnen bijvoorbeeld ook doen alsof ze vanaf een account mailen, en berichten automatisch laten doorsturen. Van der Wal: “Waar het om gaat is dat e-mail in de kern onveilig is. Het is een open communicatiemiddel, waar het makkelijk is om te doen alsof het bericht eigenlijk ergens anders vandaan komt.”

Volgens Odding ligt het probleem niet bij het museum. “Onze IT-systemen zijn volledig op orde.” Ook weet hij zeker dat het e-mailadres waar hij contact mee had de hele tijd hetzelfde was. Volgens Van der Wal moeten de oplichters ergens in één van de systemen hebben gezeten, als dat niet bij het museum is dan mogelijk bij de kunsthandelaar. Waarschijnlijk al langer, want vaak lezen ze eerst een tijdje mee om te kijken hoe de gesprekken verlopen, om vervolgens op het juiste moment toe te slaan. 

Tweestapsverificatie

Hoe kun je dat voorkomen? Door technische maatregelen te nemen, zegt Van der Wal. Zoals het monitoren van in- en uitgaand verkeer en zogeheten ‘tweestapsverificatie’ te gebruiken, waardoor een extra handeling nodig is om in te loggen op een account. “Maar uiteindelijk gaat het ook over bewustzijn. Er wordt zo vertrouwd op e-mail. Je kunt je afvragen of je bepaalde zaken wel via de mail moet afhandelen.” 

Lees ook: 

Nepmails zijn onderhand niet meer van echt te onderscheiden

Kun je nog verwachten dat de consument niet klikt?

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden