De Mercuur Groep werd in januari 2023 slachtoffer van cyberfraude. Het gevolg? Een verlies van 35.000 euro. Directeur Thijs Rutten: “Ik dacht altijd: dit zal mij niet overkomen. Maar zoals bij veel collega-ondernemers: het gebeurde wel.” Rutten vertelt over de geraffineerde werkwijze van de daders en hoe hij en een aantal van zijn medewerkers te goeder trouw in de val liepen.
De Mercuur Groep is een verzameling van drie verschillende transportbedrijven: Mercuur Transport, Schiffer en Voltrans BV. Ieder met hun eigen specialisatie, maar vooral gericht op de logistieke dienstverlening voor de food- en agrobranche. Daarbij gaat het om producten als bloemen, planten, champignons, verse maaltijden en in de herfst wortelen en bieten. Wij verzorgen transport vanaf de kwekers in Noord-Limburg en het Duitse Niederrheingebied en de veiling in het Duitse Herongen naar het Westen van Nederland en vice versa. Dat gebeurt in totaal met 40 trucks en 90 personeelsleden. Sinds een jaar is het bedrijf gevestigd op de Manegeweg in Venlo. Daar ondergaat het pand de komende maanden een grondige renovatie. “We gaan alles volledig upgraden,” aldus Rutten. “Rond Kerstmis is hopelijk alles klaar. Dit terrein was voorheen eigendom van de familie Verheijen. Voor Mercuur Groep een ideale vestigingsplek omdat het gebied heel dicht bij Duitsland ligt. We zijn van hier uit zo bij de veiling in Herongen.”
‘De hackers waren dus al doorgedrongen tot ons systeem’
Nieuw bankrekeningnummer
Terug naar de cybercrime. De hack gebeurde toen het transportbedrijf nog gevestigd was op Fresh Park. Daar huurde Rutten een pand van het Amerikaanse bedrijf Hines. “We kregen een factuur per mail over de betaling van de huur. Deze oogde in principe hetzelfde als hun eerdere mails, alleen bestond deze uit twee delen. In het eerste deel stond dat het bankrekeningnummer was veranderd. Het tweede stuk van de mail bevatte de gebruikelijke factuurgegevens.” De tekst van dat tweede deel was daadwerkelijk afkomstig van Hines, maar de hackers hadden zelf een kleine aanpassing doorgevoerd. “Een ding zagen we over het hoofd: het e-mailadres in het eerste bericht was iets anders: twee extra letters. Een paar dagen later kregen we opnieuw een mail met het verzoek om het geld naar het nieuwe bankrekeningnummer over te maken. Na het eerste bericht was de betaling al ingepland. Natuurlijk hadden we alles uitvoerig en sowieso door middel van navraag bij een van onze vaste contactpersonen moeten checken, maar een bankaccount in Engeland en de wijze waarop de mail was opgesteld, zorgde in eerste instantie niet voor heel veel argwaan.”
Nadat een medewerker van de Mercuur Groep probeerde het geld over te maken naar het nieuwe bankrekeningnummer bleek dat echter onjuist; er ontbrak een cijfer. De medewerker stuurde een bericht naar het e-mailadres dat op de factuur stond – en dus in het bezit was van de hackers – en daarop kreeg ze antwoord met het juiste rekeningnummer. Dat werd opgeslagen in het systeem en daar maakte zij vervolgens ook de volgende huursom aan over.”
Gehackte goedkeuring
De valse e-mails bleken echter niet het enige probleem. Er was meer aan de hand. Rutten legt het uit. “Natuurlijk had mijn medewerker op enig moment argwaan. Zij stuurde mij een mail met daarin de uitleg over het nieuwe en het verkeerde rekeningnummer. Daarop kreeg ze antwoord: ‘alles is geverifieerd. Het klopt.’ En vervolgens maakte zij het geld over. Echter na twee maanden kregen wij van Hines zelf een mail met de opmerking dat we twee maanden achter waren met het de huur. In totaal 35.000 euro. Daarop gingen alle alarmbellen af. Langzaam werd duidelijk wat ons was overkomen. Wat bleek? De mail die de medewerker naar mij had gestuurd voor goedkeuring over de betaling, is nooit bij mij terechtgekomen en dus ook nooit door mij beantwoord. Dat deden de hackers. Ze waren dus doorgedrongen tot ons systeem. Ik heb het IT-bedrijf mijn complete mailverkeer van die weken laten verifiëren en inderdaad: haar mail en mijn antwoord waren nergens te traceren.”
‘Ik zeg nu: dit overkomt mij nooit meer. Maar tevens weet ik: zeg nooit, nooit.’
Wijze les
Rutten nam direct contact op met de politie in Venlo, maar kreeg al snel te horen: ‘Helaas mijnheer de ondernemer, u heeft pech gehad’. Pijnlijk voor Rutten om te horen. “Wij waren niet het eerste bedrijf dat dit overkwam en zullen ook zeker niet het laatste zijn. Nee, dat geld kun je nergens terugkrijgen,
niet via een verzekering of waar dan ook. En de bankrekening waarnaar wij het overgemaakt hadden, was inmiddels volledig leeggehaald. Pijnlijk, maar wel een wijze les. Criminelen acteren steeds geniepiger. De les is dat alleen ik verantwoordelijk ben voor alle betalingen. Bij elke verdenking doen we niets meer per mail, maar checken dit alleen telefonisch.” Veel andere ondernemers krijgen met dezelfde problematiek te maken. Volgens Rutten is er veel schaamte. “Ondernemers voelen zich al snel dom. Het kan echter iedereen overkomen.”
Inmiddels heeft de Mercuur Groep hun volledige IT uitbesteed aan ZeroPlex. Zij verzorgen speciale aware-trainingen, waar-bij medewerkers ook tijdens hun werk regelmatig getest worden. “ZeroPlex stuurt soms e-mails met daarin onveilige koppelingen. Zij houden per medewerker een score bij. Tijdens de trainingen komen filmpjes en voorbeelden aan bod waar onze mensen leren over phishing en andere manieren van hacken. Inmiddels zijn wachtwoorden veranderd en hebben we nog een aantal aanvullende maatregelen genomen. Ja, het schaadt je vertrouwen. Je werkt hard, een paar criminelen denken even snel geld te verdienen en slagen daar soms ook nog in. Ik zeg nu: dit overkomt mij nooit meer. Maar tevens weet ik: zeg nooit, nooit.”
Tekst: Rob Buchholz • Fotografie: Bram Becks