De Mercuur Groep werd in januari 2023 slachtoffer van cyberfraude. Die gevolg? A verlies van 35.000 euro. Directeur Thijs Rutten: “Ik dacht altijd: dit zal mij niet overkomen. Maar zoals bij veel collega-ondernemers: het gebeurde wel.” Rutten vertelt over de geraffineerde werkwijze van de daders en hoe hij en een aantal van zijn medewerkers te goeder trouw in de val liepen.
De Mercuur Groep is een verzameling van drie verschillende transportbedrijven: Mercuur Transport, Schiffer en Voltrans BV. Ieder met hun eigen specialisatie, maar vooral gericht op de logistieke dienstverlening voor de food- en agrobranche. Daarbij gaat het om producten als bloemen, planten, champignons, verse maaltijden en in de herfst wortelen en bieten. Wir verzorgen transport vanaf de kwekers in Noord-Limburg en het Duitse Niederrheingebied en de veiling in het Duitse Herongen naar het Westen van Nederland en vice versa. Das gebeurt in totaal met 40 trucks en 90 personeelsleden. Sinds een jaar is het bedrijf gevestigd op de Manegeweg in Venlo. Daar ondergaat het pand de komende maanden een grondige renovatie. "Wir gaan alles volledig upgraden,” aldus Rutten. “Rond Kerstmis is hopelijk alles klaar. Diese terrein was voorheen eigendom van de familie Verheijen. Voor Mercuur Groep een ideale vestigingsplek omdat het gebied heel dicht bij Duitsland ligt. Wir zijn van hier uit zo bij de veiling in Herongen.”
‘De hackers waren dus al doorgedrongen tot ons systeem’
Nieuw bankrekeningnummer
Terug naar de cybercrime. Die hack gebeurde toen het transportbedrijf nog gevestigd was op Fresh Park. Daar huurde Rutten een pand van het Amerikaanse bedrijf Hines. "Wir kregen een factuur per mail over de betaling van de huur. Deze oogde in principe hetzelfde als hun eerdere mails, alleen bestond deze uit twee delen. Unter het eerste deel stond dat het bankrekeningnummer was veranderd. Die tweede stuk van de mail bevatte de gebruikelijke factuurgegevens.” De tekst van dat tweede deel was daadwerkelijk afkomstig van Hines, maar de hackers hadden zelf een kleine aanpassing doorgevoerd. "A ding zagen we over het hoofd: het e-mailadres in het eerste bericht was iets anders: twee extra letters. A paar dagen later kregen we opnieuw een mail met het verzoek om het geld naar het nieuwe bankrekeningnummer over te maken. Nach het eerste bericht was de betaling al ingepland. Natuurlijk hadden we alles uitvoerig en sowieso door middel van navraag bij een van onze vaste contactpersonen moeten checken, maar een bankaccount in Engeland en de wijze waarop de mail was opgesteld, zorgde in eerste instantie niet voor heel veel argwaan.”
Nadat een medewerker van de Mercuur Groep probeerde het geld over te maken naar het nieuwe bankrekeningnummer bleek dat echter onjuist; er ontbrak een cijfer. Die medewerker stuurde een bericht naar het e-mailadres dat op de factuur stond – en dus in het bezit was van de hackers – en daarop kreeg ze antwoord met het juiste rekeningnummer. Das werd opgeslagen in het systeem en daar maakte zij vervolgens ook de volgende huursom aan over.”
Gehackte goedkeuring
De valse e-mails bleken echter niet het enige probleem. Dort was meer aan de hand. Rutten legt het uit. “Natuurlijk had mijn medewerker op enig moment argwaan. Sie stuurde mij een mail met daarin de uitleg over het nieuwe en het verkeerde rekeningnummer. Daarop kreeg ze antwoord: ‘alles is geverifieerd. Die klopt.’ En vervolgens maakte zij het geld over. Echter na twee maanden kregen wij van Hines zelf een mail met de opmerking dat we twee maanden achter waren met het de huur. Unter totaal 35.000 euro. Daarop gingen alle alarmbellen af. Langzaam werd duidelijk wat ons was overkomen. Was bleek? Die mail die de medewerker naar mij had gestuurd voor goedkeuring over de betaling, is nooit bij mij terechtgekomen en dus ook nooit door mij beantwoord. Das deden de hackers. Sie waren dus doorgedrongen tot ons systeem. Ich heb het IT-bedrijf mijn complete mailverkeer van die weken laten verifiëren en inderdaad: haar mail en mijn antwoord waren nergens te traceren.”
‘Ik zeg nu: dit overkomt mij nooit meer. Maar tevens weet ik: zeg nooit, nooit.’
Wijze les
Rutten nam direct contact op met de politie in Venlo, maar kreeg al snel te horen: ‘Helaas mijnheer de ondernemer, u heeft pech gehad’. Pijnlijk voor Rutten om te horen. "Wir waren niet het eerste bedrijf dat dit overkwam en zullen ook zeker niet het laatste zijn. Nee, dat geld kun je nergens terugkrijgen,
niet via een verzekering of waar dan ook. Und de bankrekening waarnaar wij het overgemaakt hadden, was inmiddels volledig leeggehaald. Pijnlijk, maar wel een wijze les. Criminelen acteren steeds geniepiger. Die les is dat alleen ik verantwoordelijk ben voor alle betalingen. Unter elke verdenking doen we niets meer per mail, maar checken dit alleen telefonisch.” Veel andere ondernemers krijgen met dezelfde problematiek te maken. Volgens Rutten is er veel schaamte. “Ondernemers voelen zich al snel dom. Die kan echter iedereen overkomen.”
Inmiddels heeft de Mercuur Groep hun volledige IT uitbesteed aan ZeroPlex. Sie verzorgen speciale aware-trainingen, waar-bij medewerkers ook tijdens hun werk regelmatig getest worden. “ZeroPlex stuurt soms e-mails met daarin onveilige koppelingen. Sie houden per medewerker een score bij. Tijdens de trainingen komen filmpjes en voorbeelden aan bod waar onze mensen leren over phishing en andere manieren van hacken. Inmiddels zijn wachtwoorden veranderd en hebben we nog een aantal aanvullende maatregelen genomen. Ja, het schaadt je vertrouwen. Ihr werkt hard, een paar criminelen denken even snel geld te verdienen en slagen daar soms ook nog in. Ich zeg nu: dit overkomt mij nooit meer. Maar tevens weet ik: zeg nooit, nooit.”
Text: Rob Buchholz - Fotografie: Bram Becks
