7
Speciaal team van Belastingdienst strijdt tegen cybercriminaliteit
Phishing uit naam
van de Belasting
dienst: het gebeurt
sinds de coronacrisis
steeds vaker. In
het zwaarbewaakte
Security Operations
Center proberen
de medewerkers
cybercriminelen
steeds een stap voor
te blijven. Deze krant
kreeg een exclusief
inkijkje.
'Geachte meneer of mevrouw, uw
openstaande schuld met kenmerk
BJM9020 is na meerdere herinnerin
gen nog niet voldaan. Op 19 oktober
2020 zal de gerechtsdeurwaarder
overgaan tot executoriale beslagleg
ging. U kunt beslaglegging voorko
men door het gehele bedrag direct te
voldoen.' Dit mailtje met als titel
'Aanmaning van de Belasting
dienst in uw Berichtendienst op
Mijn Overheid' troffen duizenden
Nederlanders vorige maand in
hun mailbox aan. Direct na de
dreigende tekst volgde een iDeal-
link waarmee in enkele klikken
betaald kon worden.
In het Security Operations Cen
ter (SOC) aan de rand van de Apel-
doornse bossen, op een steenworp
van paleis Het Loo poogt een team
van enkele tientallen knappe kop
pen te voorkomen dat dergelijke
phishingmailtjes bij belasting
plichtigen belanden. Ook worden
de systemen van de Belasting
dienst er veilig gehouden. De
ict-helden van de fiscus huizen
diep weggestopt in het enorme
pand. Om het ommuurde zenuw
centrum te bereiken moet eerst
een doolhof van steriele gangen
worden doorgewandeld, met om
de zoveel meter een afgesloten
sluis of deur.
Eenmaal aangekomen zien we
een grote zaal vol metershoge
schermen met cijfers, grafieken en
tabellen. We krijgen uitleg van Jan
Polkerman, Chief Technology Of
ficer (CTO) van de Belastingdienst
en Karl Lovink, Lead van het SOC.
Op één van de schermen worden
indicatoren van een mogelijke
DDoS-aanval getoond die de sys
temen van de fiscus zou kunnen
platleggen. ,,Groen is oké, oranje
betekent dat er wat aan de hand is
en bij rood is de drempelwaarde
overschreden", zegt Lovink.
Het team bestudeert onder meer
of het internetverkeer van de fis
cus zo veel mogelijk netjes via Ne
derland wordt afgehandeld en niet
ineens via landen als Pakistan of
Iran. Momenteel is het beeld rus
tig. „Voorlopig maken we ons geen
zorgen, maar bij rood schakelen
we onmiddellijk KPN en Tele2 in,
dat zijn onze providers." Het SOC
houdt ook regelmatig DDoS-oefe-
ningen om echte aanvallen te
voorkomen.
Zijn DDoS-aanvallen pas te be
strijden als ze gebeuren, bij phis-
hingpogingen uit naam van de
Belastingdienst poogt het SOC in
te grijpen vóór ze plaatsvinden.
Een soort Minority Report avant la
lettre. ,,De eerste twee uren na een
Digitale boeven zijn
beter geschoold
en investeren forse
bedragen
phishingmail zijn cruciaal: dan
klikken mensen het snelst", stelt
Lovink. „Daarom moet je ver
dachte sites meteen uit de lucht
halen. Na drie dagen heeft het
weinig zin meer."
Polkerman wijst naar één van de
andere schermen met daarop een
lijst aan domeinnamen. ,,Via een
speciale dienst van onder andere
Google kunnen we live zien welke
nieuwe certificaten worden aange
vraagd voor pas geregistreerde
websites met de naam 'Belasting
dienst' erin of iets dat daarop
lijkt." Iedere site moet een derge
lijk officieel certificaat bezitten.
Zo heeft net iemand de domein
naam Belastingdienst-ideal.nl ge
registreerd, valt op het scherm te
zien. ,,Die is niet van ons, maar
van cybercriminelen. De proce
dure is nu: aankloppen bij de be
treffende provider en vragen of die
de website uit de lucht haalt, voor
dat deze online komt."
Adres gelekt
Lovink en Polkerman zien compu
tercriminelen steeds geraffineer
der te werk gaan. ,,Phishing is een
economie op zichzelf, waarbij
groepen mensen samenwerken",
zegt Lovink. Er is een persoon
die de software schrijft, plus een
ander die de campagne daadwer
kelijk uitvoert. Zo arresteerde
de politie begin deze maand een
19-jarige man uit Almelo die
phishingsoftware schreef. Hij had
daar 100.000 euro mee verdiend.
Dan zijn er uiteraard e-mail-adres-
sen nodig. ,,Inmiddels zijn miljoe
nen e-mailadressen gehackt of uit
databases gelekt, je kunt ze op het
dark web kopen voor een paar
knaken." Lovink waarschuwt de
lezer: ,,Ga er vanuit dat ook uw
adres gelekt is."
Samen met andere gelekte per
soonlijke gegevens - zoals geboor
tedatum - worden Nederlanders
met steeds persoonlijkere phis-
hingmailtjes bestookt. De tijd van
gebrekkig Nederlands is daarbij al
lang voorbij. Het verklaart waarom
mensen blijven betalen. Neem
het aan het begin beschreven
phishingmailtje: bij een vergelijk
baar bericht maakten onlangs
maar liefst 400 Nederlanders 46
euro over, in totaal ruim 18.000
euro, vertelt Lovink. Het ge
vraagde bedrag was niet voor niets
laag gekozen. ,,Criminelen wisten
dat ze bij betalingsproviders tot
maximaal 50 euro anoniem in bit-
coins kunnen omzetten."
Soms gebruiken criminelen
zelfs een echt e-mailadres van de
Belastingdienst. ,,Een aantal we
ken terug werden er ineens 10.000
mails van het adres 'no-reply@be-
lastingdienst.nl' verzonden", ver
telt Polkerman. ,,Omdat wij echter
zoveel maatregelen treffen, belan
den die standaard in je spambox."
Digitale boeven weten handig
op de actualiteit in te spelen. Die
actualiteit is normaliter de aangif
tecampagne in het voorjaar, maar
tegenwoordig uiteraard corona.
,,Vanaf maart-april zagen we
ineens talloze coronagerelateerde
phishingmails opduiken." Aan
vankelijk gebeurde dat nog weinig
geraffineerd: aan de bestaande
mailtjes werd simpelweg 'wegens
corona' toegevoegd.
Die trend heeft zich na de eerste
lockdown voortgezet. Cybercrimi
nelen weten dat mensen veel meer
achter hun pc zitten en versturen
miljoenen phishingberichten via
mail of- wat steeds vaker voor
komt - SMS en WhatsApp. Dat
weet de Belastingdienst, omdat
Nederlanders verdachte e-mails
of appjes kunnen melden via het
e-mailadres 'valse-email@belas-
tingdienst.nl'. Dat adres is inmid-
dels behoorlijk bekend. Kreeg de
fiscus drie jaar geleden 7700 mel
dingen, in 2019 waren dat er al
35.000. En dit jaar kwamen er al
150.000 meldingen binnen. ,,En
dat is alleen tot november."
8 miljoen euro
Het betekent dat de schade door
phishing dit jaar dankzij corona
flink zal oplopen, verwacht Be-
taalvereniging Nederland. In 2019
wisten cybercriminelen 8 miljoen
euro van burgers af te troggelen.
Om het bedrag zo laag mogelijk te
houden werkt de Belastingdienst
actief samen met internetprovi-
ders, OM, politie, toezichthouder
ACM, banken en Betaalvereniging
Nederland.
Inmiddels heeft het SOC dank
zij zijn grote ervaring een goed
beeld waar de cybercriminelen
vandaan komen. Vaak is dat nog
uit het buitenland, zoals Oost
Europa. ,,Een deel komt echter
absoluut uit Nederland, weten we
via de signalen die we uit ons in
formatienetwerk binnenkrijgen",
zegt Lovink.
Al met al lukt het de Belasting
dienst steeds beter om computer
criminelen voor te blijven. Het
blijft echter een kat-en-muisspel.
,,Digitale boeven zijn steeds beter
geschoold en investeren forse be
dragen in hun illegale activitei
ten", zegt Polkerman. ,,Moeten ze
een euro investeren om er twee te
verdienen dan doen ze dat." Daar
bij blijft het aloude adagium gel
den: massa is kassa. ,,Hoe meer
mailtjes je verstuurt, hoe meer
mensen zullen betalen. Ook wij
moeten fors blijven investeren om
dat te voorkomen."
zaterdag 28 november 2020
GO
'De eerste twee uur zijn cruciaal'
David Bremmer
Apeldoorn
In het Security Operations Center wordt onder meer het internetverkeer in de gaten gehouden. fotos pim ras
- Jan Polkerman, SOC