Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Bol.com trapte in phishingmail en maakte 750.000 euro over naar oplichters

Bol.com heeft 750.000 euro overgemaakt naar oplichters nadat het bedrijf in een phishingmail was getrapt. Het geld was bedoeld voor maker van huishoudelijke producten Brabantia. De rechter heeft geoordeeld dat de webwinkel de prullenbakkenmaker moet compenseren.

Volgens de uitspraak ontving Bol.com in 2019 een e-mail van een adres van Brabantia. Daarin stond in gebrekkig Nederlands met een snufje Engels "Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje. We het op prijs as u uw gegevens kunt bijwerken". Bol.com volgde de instructie op en maakte in totaal 751.493,09 euro over naar de oplichters. Later bleek dat op het Brabantia-mailadres was ingebroken door de oplichters.

Bol.com is van mening dat het geen fout heeft gemaakt: het adres, de lay-out en de handtekeningen van de directie leken allemaal overtuigend. De rechtbank is echter van mening dat de webwinkel al argwanend had moeten zijn bij het verzoek om een wijziging van het rekeningnummer, omdat dit een veelgebruikte tactiek van oplichters is. Het taalgebruik, het feit dat het rekeningnummer Spaans is en dat de twee bedrijven al jaren in het Nederlands corresponderen, komen daar nog als factoren bij. De rechtbank vindt dat een telefoontje naar Brabantia op zijn plaats was geweest.

Bol.com laat tegenover het FD weten teleurgesteld te zijn met het vonnis en overweegt een hoger beroep. Wel wil het Brabantia-producten blijven verkopen. Brabantia zegt los van deze zaak een goede werkrelatie met Bol.com te hebben en deze ook te willen behouden.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Mark Hendrikman

Nieuwsposter

02-05-2021 • 13:07

479 Linkedin

Submitter: janvanrijswijk

Reacties (479)

-14790450+1233+224+32Ongemodereerd138
Wijzig sortering
Op Nu.nl en het FD staan ook al stukken waar cruciale informatie mist. Tevens wordt het geheel in mijn mening hard opgeblazen.

Kort samengevat (zoals ook in het vonnis te lezen) gaat het om het volgende.
Mailbox van een leverancier wordt gehackt. Van daaruit wordt een bankrekeningnummer doorgegeven bij een afnemer, die de wijziging verwerkt en als gevolg daarvan aan oplichters betaalt. Bevrijdend betaald o.g.v. artikel 6:34 BW? Onzorgvuldige schuldeiser?
Artikel 6:34 BW
De schuldenaar die heeft betaald aan iemand die niet bevoegd was de betaling te ontvangen, kan aan degene aan wie betaald moest worden, tegenwerpen dat hij bevrijdend heeft betaald, indien hij op redelijke gronden heeft aangenomen dat de ontvanger der betaling als schuldeiser tot de prestatie gerechtigd was of dat uit anderen hoofde aan hem moest worden betaald.
De feiten:
1. De Office 365 omgeving van Brabantia wordt gehackt, criminelen kunnen meekijken met de emails van Brabantia en zien dat er een hoop facturen verkeer is tussen Brabantia en Bol.com.

2. De criminelen sturen vanuit de mailbox van Brabantia (dus het gaat niet om spoofing) een mail naar Bol.com met het verzoek om het rekeningnr. te veranderen.

3. Er wordt heen en weer gemaild waardoor Bol.com de indruk krijgt dat het een legitiem verzoek is.

4. Bol.com vindt dat Brabantia zelf onzorgvuldig is geweest en daardoor Bol.com geen schuld treft. Op zijn beurt vindt Brabantia natuurlijk dat Bol.com onzorgvuldig is geweest want ze hadden op z'n minst even kunnen bellen.

Het gaat hier om een simpel zakelijk conflict. Bol.com heeft een mening en op zijn beurt heeft Brabantia ook een mening. Zoals in het stuk ook te lezen is willen ze beiden door met hun samenwerking. Aangezien beide meningen haaks op elkaar staan lijkt mij bemiddeling ook niet mogelijk. Wat je dan doet is, je stapt naar de rechter met de vraag om een toetsing, zo werken die dingen in de zakenwereld.

Als de rechter dan eenmaal zegt hoe het in elkaar zit dan leggen beide partijen zich erbij neer en gaan door met de orde van de dag.

Bol.com wordt in alle stukken in een negatief daglicht gezet en de hack van de Brabantia accounts wordt nergens genoemd. Dat de hack van de Brabantia accounts zo lang on opgemerkt bleven kan ook het een en andere over gezegd worden. Het gaat om een simpel zakelijk conflict waar ze nu beide een antwoord op hebben.

[Reactie gewijzigd door TechSupreme op 3 mei 2021 02:29]

Dit klinkt idd anders. Slechte zaak dat de mailbox van Brabantia zo slecht beveiligd blijkt. Als er idd meer emailverkeer is geweest tussen Bol en Brabantia over deze zaak kan ik me voorstellen dat Bol ter goeder trouw dit geld heeft overgemaakt. Belangrijke les is dat altijd gebeld moet worden om dit soort zaken te verifiëren...
Niet helemaal: als je denkt dat er iets schort aan een communicatiekanaal, dan gebruik je niet datzelfde communicatiekanaal om een authenticatie van de afzender te doen. Je hebt sowieso nog een ander kanaal nodig.

De rechter kent zijn materie wel degelijk goed: het communicatiekanaal was gehackt, er zat verdachte ruis op (ineens zeer gebrekkig Nederlands), dan doe je een authenticatie via een ander kanaal (telefoon? langsgaan?, ...) en ga je niet gewoon via mail vragen: ben jij het echt?

[Reactie gewijzigd door Terracotta op 3 mei 2021 12:47]

Ja, dat gebrekkig Nederlands is wel een dingetje ja. Daarbij moeten de rode vlaggen al flink wapperen.
Als je een mail ontvangt met zulk krom taalgebruik zoals de rechtbank laat zien, dan moet toch alle seinen op rood springen lijkt mij, of mis ik wat?
Dan zou ik het hele vonnis nog eens nalezen, de rechter heeft 12 A4tjes volgeschreven. De rechter vrijwaart Brabantia niet van alle schuld, maar legt de initiële schuld bij Bol.com waardoor zij als grote schuldige eruit komen.

Verder heb ik volgens mij nergens gezegd dat ik het niet eens ben met de rechter.
Dat heb ik ook niet geïnsinueerd! :)
Alsnog, voor 750k zou ik er een belletje aan wijden ipv nog meer mailverkeer met het verdachte mailadres....
Het gaat niet om 1 transactie/factuur. Over een periode van 1 1/2 maand is dit het cumulatieve. Kan goed zijn dat op het moment van de hack er geen uitstaande posten waren.
Is inderdaad te belachelijk voor woorden.
Ik bel al voor een factuur van 25 € als het rekening nummer wijzigt.
Waarom zou je niet even de telefoon nemen voor een factuur van 750 000 €?
Helemaal met gebrekkig taalgebruik en zeker als het gewoon via email toekomt.
Lijkt me voor zo een facturen dat er beter met een aangetekende brief wordt gewerkt of zo. Met daarop volgend een mondeling communicatie via telefoon er op de koop toe.
Echt te dom voor woorden dit.
Dus jij zou blijven mailen als je zulke mails krijgt? Nee, dan ga je BELLEN.. heel simpel.. bol.com probeert gewoon haar imago te redden, maar schaadt het nu juist meer..
Echt top dit! +3. Toen ik het las op andere websites en ook op tweakers dacht ik echt dat Bol.com in een nep mail was getrapt van Brabantia. Nergens over dat ze het werkelijke domein hadden gebruikt en dat bol.com daardoor minder argwaan krijgt. Ja oké spelfouten e.d. Wie weet hadden ze een nieuwe medewerker waarvan NL niet haar moedertaal is? Who cares.

Ik dacht eerst dat bol.com gek was dat ze het bij de rechter hadden gebracht maar nu met deze feiten snap ik wel waarom ze het gedaan hebben. Mijn mening is daarom ook veranderd na jouw informatie.

Sorry maar ik kan niet mee gaan in het oordeel van de rechter.
Waarschijnlijk liggen dik betaalde managers aan de basis van deze onbegrijpelijke en onvergeeflijke blunder. Ze kunnen niet meer lezen meneer en schrijven kunnen ze zeker niet meer. Wel veel managers blablabla verkopen en voor de rest oliedom. Haalt het vertrouwen in de onderneming gewoon onderuit.
Gaat erin, bedankt!
Ik zou de openings zin van de mail ook aan het bericht toevoegen, Die lijkt nog wel redelijk te kloppen. Als je daar snel overheen leest en de rest snel scanned lijkt die mail gammel maar niet al te slecht. Neem daar bij dat Bol.com ook nog terug heeft gemaild voor een bevestiging en deze ook heeft gekregen en het word al wat minder bizar van bol zijn kant.
terug heeft gemaild voor een bevestiging en deze ook heeft gekregen en het word al wat minder bizar van bol zijn kant.
Is dat zo? Als het over dit soort bedragen gaat verwacht ik een soort 2fa. Ze doen er maar een belletje bij hoor. Zou normaal moeten zijn.
Je gaat er nu wel 'mogelijk' onterecht vanuit dat het om één factuur van 750k gaat. veel eerder zal het gaan om meerdere facturen van enkele duizenden euro's elk. als dat een een maand of 2 zo doorgaat zit je bij een bedrijf als bol / brabantia al snel aan 3kwart mil.

Maar na een gesprek met een vriendin van mij (werkzaam in de administratie) bij een kantoor dat wat omzet betreft in de buurt komt van een bol.com, heb ik toch wel een paar aandachtspuntjes:

• Het is kennelijk vrij gebruikelijk om zulke notificaties te ontvangen, maar, afhankelijk van het bedrijf en de interne gang van zaken.
A: bevestig je zoiets vervolgens telefonisch.
B: vraag je om een schriftelijke bevestiging per post.
C: geef je aan dat dat pas kan na ontvangst van een gecorrigeerde factuur, met de juiste data én het nieuwe bank-adres.
• Is het bij het soort bedrijven (zoals bol.com / coolblue / mediamarkt) doorgaans bijzonder aanbevolen om een CRM systeem op te zetten met een externe cliënt module. In dat geval log je dus inderdaad met MfA systemen in om daar vervolgens je facturen, je comunicatie, af te handelen. In zulke modules kun je dan ook prima regelen wie van je personeelsleden er bevoegd zijn om bepaalde transacties af te handelen of facturen goed te keuren. Als je dat soort zaken via onvertrouwde EN onbeveiligde systemen laat lopen doe je hoe dan ook al veel fout.
Ik verwacht ook dat de medewerker in het CRM gewoon het rekeningnummer heeft aangepast. Daarna gaat alles vanzelf naar dat nieuwe rekeningnummer. Niemand die daar dan nog echt op let.
Nou zo werkt dat niet bij bedrijven, over het algemeen.
Zo maar een rekeningnummer aanpassen? Denk je werkelijk dat bedrijven zo naïef zijn? Er wordt in dit soort situaties altijd met het vierogenprincipe gewerkt. De een past iets aan, de ander keurt dat goed voordat het effect krijgt.

Hadden ze dat bij Bol.com gedaan dan was deze blunder vast niet gemaakt.
Mee eens dat het anders moet, maar het lijkt me logisch dat het zo is gegaan. Of ze hebben twee medewerkers gehad die dit niet door hebben gehad. Ik werk als ZZP-er en heb een nieuw bankrekeningnummer ook via e-mail doorgegeven aan een klant van mij. Nooit een telefoontje van gehad. Werd zo doorgevoerd. Verder heb ik er ook nooit bij nagedacht...
Elk bedrijf dat blind dit soort wijzigingen doorvoert zonder ook maar de eenvoudigste vormen van due diligence toe te passen, is in verzuim en juridisch aansprakelijk voor eventuele schade.

Wat had jij als zzp-er er van gevonden als iemand anders met een mailtje naar jouw klant jouw rekeningnummer had laten aanpassen (naar zijn eigen nummer), en jij geen cent ontvangen had? Had jijj dan jouw klant aansprakelijk gesteld of had je gewoon gezegd ‘pech gehad, ik eet de komende maand alleen droog brood’
Hoe wil je voor dit soort zaken 2fa gaan implementeren?

Bol antwoord naar een @brabantia email adres en krijgt daar antwoord van. Die hebben 1000en suppliers, als je die allemaal zo moet gaan checken... Ik vind dit zelfs geen phishing als de email van een legit emailaccount komt
Een belletje plegen. Weet u het zeker? Easy hoor. Gaat om veel geld lijkt mij en een rekeningnummer verander je normaalgesproken bijna nooit.
Rekeningnummers worden wel degelijk vaker gewijzigd. Niet heel vaak maar het komt wel eens voor.

Op de website van Brabantia Nederland (Valkenswaard) of Brabantia Spanje (Barcelona) is er ook geen mogelijkheid om de bankrekeningen te verifiëren. Althans ik kan het niet vinden.

Blijkbaar was het exchange account gehacked en hadden de criminelen toegang tot al de contacten en natuurlijk de e-mail van Brabantia. Ook had dit e-mailadres eerder gecorrespondeerd met Bol.com.

Bol.com heeft drie e-mails verzonden met een bevestiging van de wijziging naar Brabantia maar blijkbaar hadden de hackers alle @bol.com adressen automatisch in een RSS feed gestopt en als gelezen gemarkeerd.

Toen Bol geen afwijzende reactie kreeg, zijn ze er maar mee doorgegaan. Ze hadden wel iets doortastender mogen zijn, eens. Maar blijkbaar had Brabantia een eenvoudig wachtwoord en geen 2FA ingeschakeld voor hun exchange server. God mag weten wat die lui allemaal buit hebben gemaakt.
Inderdaad. Dit lijkt me echt geen phishing zaak. Je ontvangt van een correct emailadres wat al eerder gebruikt was. Je antwoordt naar een correct emailadres was al eerder bekend was en krijgt daarop correct antwoord. Het gaat daarenboven niet om een eenmalige gigantische overschrijving, dat bedrag is de som van verschillende overschrijvingen.

Dit lijkt me primair een fout te zijn van Brabantia, die waren gehacked. Het enige wat je Bol kan kwalijk nemen is dat ze niet dieper zijn ingegaan op het belabberde Nederlands als de normale communicatie wel in correct Nederlands gebeurt. Als die hackers iets beter hun best gedaan hadden met Google translate, was het letterlijk onmogelijk geweest voor Bol om ook maar enig vermoeden van kwalijk spel te hebben.

Dit toont wel aan hoe onbetrouwbaar normale email is als communicatiemiddel natuurlijk. Dat was een communicatiemedium dat nooit bedoeld was voor zulke gevoelige zaken.
Nee, jij bent duidelijk niet op de hoogte hoe dit al jaren gaat bij grote organisaties, accountants en risk management wereldwijd en bij grote partijen als Bol/Ahold in het bijzonder.

Het is al jaren zeer ongebruikelijk en ongewenst om rekeningnummers enkel via email te wijzigen en dat is een grote rode vlag.
Dat is wat ik wil zeggen met mijn laatste paragraaf, email is niet het juiste middel voor zulke zaken. Ik heb verder inderdaad geen enkel idee hoe dit in grote bedrijven werkt. Ik weet wel dat het op particulier niveau heel normaal gezien wordt als een bedrijf facturen en aanpassingen via email stuurt en dat deze rechtsgeldig zijn. Het mag dan wel over kleinere bedragen aan, maar dat is even onveilig en ook daar heb je als ontvangende partij weinig keuze tenzij je uren aan de telefoon wil spenderen in je vrije tijd. Persoonlijk vind ik het systeem waar je als betalende partij nog eens extra mag betalen om überhaubt correct te kunnen betalen niet ok. Het feit dat email tegenwoordig als een officieel medium gezien wordt voor communicatie is wat mij betreft een zeer slechte zaak. Een betrouwbaar algemeen elektronisch communicatiemiddel is hoog nodig, maar ja, dat is weer een ander onderwerp. ^^
Als particulieren hun rekeningnummer willen wijzigen is MFA (multi factor authentication) heel gebruikelijk.

Het lijkt me dat als er meer belangen bij gemoeid zijn, dat er inderdaad nog meer noodzaak is voor validatie stappen via meer dan 1 kanaal.

En toch als het werk opstapelt, is het heel menselijk gedrag, deze wijziging door te voeren.
Daarom is het belangrijk processen zo in te richten dat de organisatie beschermd wordt tegen het menselijk intuïtief gedrag.
Alleen zo kun je zorgen dat ter aller tijde je organisatie werkt zoals bedoeld.

Lastig, maar hoe groter het belang, hoe belangrijker dit wordt.
Ik deel je analyse volledig. Ik vond het eigenlijk nog best geraffineerd van de criminelen. Speciaal bankrekeningnummer op naam van Brabantia International BV, zoals de Spaanse subsidiaire maatschappij ongeveer heet.

En de brief met de opdracht, ja heel slordig. Maar ze criminelen weten ook dat deze brieven enkel gescanned worden op relevante items, wie wat en waar zegmaar. Ze hadden het net zo goed kunnen vullen met allerlei onzin en het had wss nog gewerkt.
Dit is ook geen phishing maar CEO fraude

Waarschijnlijk hebben ze wel via phishing toegang tot de Gmail of bedrijfs mailbox van de werknemer gekregen door phishing

[Reactie gewijzigd door xbeam op 2 mei 2021 16:18]

Men heeft geen antwoord gekregen. Op geen enkel moment heeft Bol de moeite genomen om na te gaan of de vraag tot aanpassing correct was.
Het is wel degelijk bol.com dat zeer zwaar in de fout ging. Een verandering van rekeningnummer is een zeer fraudegevoelige actie. Bol.com heeft blijkbaar geen enkele procedure of elementaire maatregel ingevoerd om fraude hiermee tegen te gaan. Erger nog: er zijn verschillende knipperlichten genegeerd.
Het gebrekkige Nederlands kan je ook opvatten als een medewerker van branbantia Spanje die zn best doet om Nederlands te mailen naar belangrijke partner. Niet heel erg gek, ik kom ook wel eens een buitenlander tegen die graag laat zien dat hij 3 woordjes NL spreekt terwijl de voertaal op het werk gewoon Engels is.
Ja tuurlijk hahah gebrekkige NL
Zo'n groot bedrijf neemt dan geen gebrekkige werknemer in dienst kom op man.
Dan sta je al voor { lul } bij jouw afnemers of niet?
Die denken dan ook als je zo'n email onvangt.....wat is dit!!
Bol.com slaat hier de plank totaal mis.

Je neemt mensen in dienst voor correcte afwerking in lezen en schrijven.
Zelfs ik zelf maak fouten { spelling }

[Reactie gewijzigd door noway op 2 mei 2021 20:10]

iets proberen te spreken is wat anders dan proberen te schrijven. schrijftaal kan je opzoeken , dus kan foutloos. spreektaal kom uit je hersens 8)7

[Reactie gewijzigd door Jermak op 2 mei 2021 21:34]

De rechter zegt ongeveer hetzelfde als jij, maar is nog iets strenger voor Bol.com:

- Je moet als ontvanger van een verzoek om rekeningnummer te wijzigen kritisch zijn.
- Het belang bij dit proces is groot, de controle relatief simpel (bv. een belletje) en die moet je dus toepassen als er enige aanleiding is.
- Hier waren meerdere red flags:
1) Het gebrekkeige Nederlands
2) Een deel van de communicatie was (goed) Engels, Dat deed Brabantia nooit, dus raar.
3) Het was een Spaans rekeningnummer, voor een Nederlands bedrijf dat in Nederland zaken doet.

Op basis van dit geheel mocht Bol.com niet zomaar aannemen dat het verzoek klopte, maar had ze een extra controle moeten doen.
Ze hebben daar een stel koeken bakkers werken bij bol.
Ik zou de hele afdeling ontslaan als het mijn bedrijf was.
Dit lijkt me echt geen phishing zaak.
Dit lijkt mij een zeer goed geslaagde phising zaak.
Maar als je bedenkingen hebt bij de mail, dan kies je toch een andere methode om contact op te nemen. Bijvoorbeeld een belletje naar de contact personen.
Ze hadden mogen bellen. Al is het maar de vraag of alle bekende telefoonnummers van Bol niet doorgeschakeld werden naar voicemail of een nieuw nummer.

Immers, alle correspondentie werd ook automatisch naar een RSS mapje gestuurd en automatisch als gelezen gemarkeerd. En omdat ze toegang hadden tot office356 of exchange, konden ze nu eenmaal heel erg veel.

[Reactie gewijzigd door testaankoop op 2 mei 2021 15:10]

Als alle bekende nummers worden doorgeschakeld, dan denk ik dat je er ook wel snel achterkomt. Sowieso is dat al een stuk moeilijker, heb je als bedrijf dan een groot probleem en kans is groot dat de contactpersoon bekend is met een GSM nummer.

En vermoedelijk hadden ze toegang tot 1 mailbox. Nergens valt te vinden dat de volledige mailomgeving gecompromiteerd was maar zelfs als dat het geval was, dan zit je nog altijd alleen maar in Exchange.
Het erge is dat ze niet weten waar de incursie is geweest. Dus het is enkel gissen. Wellicht hebben ze nog altijd toegang.
Waar kan ik deze info terug lezen?
In de rechtbankdocumenten, zie de eerste post.
ze konden ook contact opnemen met de eigen inkoop afdeling om het te kunnen kortsluiten met de account manager bij brabantia
Dat is ook precies wat de rechter vind dat bol.com had moeten doen inderdaad.
Maar als je bedenkingen hebt bij de mail, dan kies je toch een andere methode om contact op te nemen. Bijvoorbeeld een belletje naar de contact personen.
Wat als het contact telefoonnummer twee weken er voor al was gewijzigd via hetzelfde gehackte email account? Imho is de enige manier om dit goed op te lossen door dit alleen te laten doen via een website login met MFA. Maar dat is met 20/20 hindsight, we hebben het hier over twee jaar geleden, juist toen dit heel erg opkwam. Vervolgens is de vraag of ze dan niet via hetzelfde gehackte email account niet het ww/MFA konden resetten...

De fout ligt imho bij het gehackte bedrijf, de vraag is echter of Bol wel zijn due diligence doet met die procedure voor het wijzigen van essentiële gegevens. Ik vraag mij zelfs af of het hele 'Know Your Cutomer' al op dit niveau was 2 jaar geleden bij de Nederlandse banken, laat staan een Bol.
Accountants adviseren al jaren hun klanten dat je rekeningnummers niet enkel via email laat wijzigen. Zeker bij bedrijven met de omvang als Bol wordt dat in de sector als een absolute no-go gezien.

Wat dan wel?

Veel organisaties laten tegenwoordig de nieuwe bank in kwestie bevestigen dat het nieuwe rekeningnummer inderdaad direct gelieerd is aan de crediteur, dus Brabantia.

Daar zijn officiele papieren voor. Dus dan moeten de hackers zowel de nieuwe bank als Brabantie hacken, dat zou ver gaan.

Ook een (video)belletje met een bekende contactpersoon waarvan stem en gezicht al bekend zijn wordt vaak als extra bevestiging gebruikt.

Maar uitsluitend email in deze tijden: absolute no-go en dat weet iedereen in de sector.

[Reactie gewijzigd door Malarky op 2 mei 2021 15:25]

Poeh, ik heb sinds jaar en dag al meerdere accountants gesproken/ingehuurd. En ik krijg eigenlijk nooit tips of adviezen over dit soort zaken. Maar goed, kan best hoor.

Ik heb ook nog nooit de formulieren of papieren gezien waar je over spreekt?

Ik heb vandaag geld overgemaakt aan Shell en Total toevallig, tankkaarten. Gaan beiden naar buitenlandse rekeningen en alle correspondentie en zelfs het aansluiten ging best wel knullig met stuntelige emails en word documenten.

Zelfs mijn aansluiting bij DHL zakelijk en de EORI zaken die ze voor mij afhandelen, eenvoudig ten top. Ik weet niet of ik die zaken mag quoten of screenshots mag maken maar je zal dubbel liggen van hoe eenvoudig het allemaal in elkaar steekt.

Misschien ben ik B2B gewend en het amikale en cordiale waarmee het daar werkt.
Maar uitsluitend email in deze tijden: absolute no-go en dat weet iedereen in de sector.
Het is niet deze tijden, het is twee jaar geleden. Ik vermoed dat accountants en banken juist na dit soort gebeurtenissen dergelijk advies zijn gaan geven. Hoe zat het ten tijde van het incident? Je moet Bol.com niet beoordelen naar de maatstaven van vandaag, maar van twee jaar geleden.

Een hoop mensen hebben het over CEO-fraude, ik begrijp waarom men dit roept, maar als je dit artikel uit 2018 pakt dan klopt dat toch niet helemaal: https://www.sidn.nl/tips-...nen-voorkomen-en-handelen
Als werknemer van de accountant in kwestie weet ik dat dit een advies is wat al heel wat jaren wordt gegeven ;)
Bol.com had veel doortastender moeten zijn. Een mail in een rare combinatie van Nederlands en Engels zou alle alarmbellen moeten laten afgaan. Zeker in combinatie met een dergelijk verzoek waarbij een rekeningnummer veranderd moet worden, dan moet je dat verifiëren met een ander medium dan waarop je benaderd wordt.

En Bol.com heeft de verantwoordelijkheid om hun werknemers te instrueren door middel van bijvoorbeeld cursussen zodat medewerkers beter weten wat phishing is en hoe je het kan herkennen maar ook hoe je zorgt voor een extra verificatie.
Ja daar kunnen we alleen over filosoferen, wij hebben geen kennis van de interne procedures en maatregelen.

Wij kunnen dus ook niet vaststellen waar de cascade precies is gestart, dat weet enkel Bol en Brab
De meeste banken controleren de combinatie van rekeningnummer en rekeninghouder. Als die niet klopt, zoals in geval van een fraudeur, dan krijg je een waarschuwing te zien. De vraag is alleen of je die waarschuwing ook ziet als je via een interface je betalingsopdrachten naar de bank stuurt. Waarschijnlijk niet...
Enkel de rekeningnummers binnen een lidstaat. Mijn NL rekeningen geven dat aan bij overschrijving naar BE rekeningen en andersom ook.

De ontvangende bank controleert doorgaans nog wel even of de combinatie van naam en het rekeningnummer wel klopt. Maar dat hoeft niet persé. Maar bij transacties boven 10.000 euro moet dat eigenlijk sowieso, immers, er moet melding worden gemaakt aan antiwitwas waakhond van de EU en lokale fiscus.

Dat is de gok die de criminelen namen met overschrijving naar Brabantia International BV als tenaamstelling voor de Spaanse rekening. Als de Spaanse bank had gecheckt, dan zouden ze door de mand zijn gevallen.

Ik denk dat Bol zijn geld wel terug zal zien hoor, dit soort overmoedige criminelen zakken snel door het ijs. Maar de relatie met Brabantia zal eeuwig verzuurd zijn vrees ik zo.
Hoe helpt een belletje dan precies?

Alsof die oplichters geen telefoon kunnen opnemen en een lulverhaal kunnen ophangen?

Het "juiste" telefoonnummer staat immers ook in de mail ;)
Jij denkt dat achter het echte telefoonnummer de oplichters zitten? En nee ik zou nooit het telefoonnummer uit de mail gebruiken maar deze uit het eigen adressen bestand halen om te bellen en te controleren wij hebben deze mail gehad klopt dit...
Ze hebben toch toegang tot de exchange server? Jij belt met het nummer wat bij jou in je adressenbestand staat en de hacker heeft jouw inkomende oproep doorgeschakeld naar een nieuw nummer of naar de voicemail.
Nee, maar ze kunnen natuurlijk wel "bij vragen bel mijn gsm, het nummere staat hieronder in mijn signature"
Door te bellen met het nummer dat in de eigen contactenlijst staat, net zoals je doet wanneer 'je bank' of andere instantie je een e-mail of brief stuurt dat je ze moet bellen. Sommige banken noemen dat zelfs expliciet in hun eigen e-mails. Lijkt me een prima puntje voor een procedure/checklist voor het wijzigen van een bankrekeningnummer binnen een bedrijf.

Net als dat bijvoorbeeld zo'n wijziging geaccordeerd moet worden door een tweede persoon of iets dergelijks, dat is ook geen vreemde maatregel in veel bedrijven als het gaat om financiële zaken.

[Reactie gewijzigd door ari op 2 mei 2021 15:05]

Je belt natuurlijk naar je gebruikelijke contacten binnen het bedrijf. Niet naar een nummer uit de mail die je niet vertrouwd.
ze konden ook contact opnemen met de eigen inkoop afdeling om het te kunnen kortsluiten met de account manager bij brabantia |:(
Als ik dit soort verzoeken binnen krijg, dan ga ik gewoon mijn eigen contactgegevens gebruiken. Ik bel naar een nummer dat ik al in mijn database heb zitten. Een mailtje terug naar het adres dat toch al gecompromitteerd is, is gewoon ronduit dom, evenals bellen naar een nummer dat de oplichter zelf aanreikt.

En dan nog in hoger beroep willen ook. Gewoon een gevalletje van DOM punt COM. Wie zijn blauwe billen brandt...
Bol heeft geen antwoord gekregen.

De hackers hebben een email gestuurd naar Bol met de brief vol taalfouten. Hebben daarna nog 3 emails verstuurd (met de nodige taalfouten) met vraag om bevestiging dat de aanpassing gebeurd is, Bol heeft welgeteld 1 email teruggestuurd met de melding dat de aanpassing gebeurd is. Op geen enkel moment heeft Bol geprobeerd om na te gaan of de aanvraag tot aanpassing terecht was. De hackers die de mailbox bij Brabantia hebben overgenomen hebben er daarnaast ook voor gezorgd dat het antwoord van Bol in de RSS feeds folder verdween en gemarkeerd werd als gelezen waardoor de persoon bij Brabantia wiens mailbox gehacked was deze ook nooit gezien heeft.

Er is op nog geen 2 maanden tijd voor €750k naar een foutieve rekening gestuurd, Bol betaald Brabantia op jaarbasis dus miljoenen uit. Dat is geen klein account, daar kan een telefoontje echt wel van af om na te vragen of dit wel klopt met al die taalfouten en het Spaanse rekeningnummer.

En geef me even je email adres, ik stuur je vandaag nog een email in naam van de koning die er echt uit ziet.
Bol heeft zeker fouten gemaakt in deze, maar brabantia gaat allesbehalve vrijuit.

Meer nog, de beslissing om geen 2FA te implementeren op hun email-accounts waardoor die makkelijker te hacken was is een C-level beslissing geweest. Mensen die wel geacht worden om de impact van zo'n beslissing te kunnen inschatten.

De fout bij bol is gemaakt door (waarschijnlijk) een bediende op de AP afdeling die ondoordacht heeft gehandeld of de te volgen procedure niet/niet correct heeft gevolgd.

Alle schuld bij 1 partij leggen in deze vind ik te gemakkelijk.
De fout bij bol is door 2 mensen gemaakt volgens het vonnis en om het vonnis te begrijpen en waarom deze uitspraak zo gegeven is raad ik je aan om het vonnis zelf te lezen. De rechter erkent dat er ook bij Brabantia fouten zijn gemaakt, en dat staat dan ook niet ter discussie. Het is Bol die er voor de rechtbank een zwart/wit vraag van laten maken heeft om na te gaan of zij Brabantia alsnog moeten betalen en daarop zegt de rechter simpelweg: ja, want jullie (Bol) hebben niet voldaan aan de zorgplicht die vanuit de wetgeving verwacht wordt daar er teveel rode vlaggen in de communicatie vanuit Brabantia waren waarop Bol had moeten reageren.
Het is Bol die er voor de rechtbank een zwart/wit vraag van laten maken heeft om na te gaan of zij Brabantia alsnog moeten betalen
Dat is Brabantia juist (zie r.o. 3.3.). Bol.com probeert juist schade te claimen, zodat de 'eigen schuld' van Brabantia conform art. 6:101 BW mede op Brabantia afgeschoven kan worden.
Hoeveel procent van de bedrijven heeft nog geen 2FA? Wat denk je, 80%, 90%?

Ik zeg niet dat dat verstandig is, maar de buitenwereld loopt ‘iets’ achter ten opzichte van het wereldbeeld van de gemiddelde Tweaker.

[Reactie gewijzigd door Sietse Vliegen op 3 mei 2021 20:13]

Een melding van een nieuw rekeningnummer: knipperlicht.
Een nieuw rekeningnummer in het buitenland: knipperlicht.
Een belangrijke mail met allerlei spelfouten: knipperlicht.

Drie knipperlichten: red flag!

Zomaar op een nieuw rekeningnummer overschrijven doe je NOOIT, zeker niet op basis van een mail. Je kan overigens nooit zeker zijn van de afzender van een gewone mail, net zoals bij een brief.

2FA is inderdaad zéér eenvoudig te implementeren met een telefoontje...
"Ik vind dit zelfs geen phishing als de email van een legit emailaccount komt"

Ik deel die mening. Bij phishing gaat het mijn inziens niet om een mail uit het echte e-mailadres waar je ook heen en weer mee kunt mailen, maar is er altijd iets niet in de haak met het mailadres (bv. spoofing waarbij reply adres ineens anders is of waar een je linkje moet gaan volgen etc.)

Vergelijk het met als je ditzelfde per post zou krijgen, en je zou dan een brief terugsturen naar het adres dat je kent en dan krijg je daar weer een antwoord op. Op een gegeven ogenblik ga je toch aannemen dat het echt je kennis/leverancier etc is.

"Bol.com maakt 750.000 euro over naar oplichters achter gehackte mailbox bij Brabantia " zou een veel betere titel zijn.

[Reactie gewijzigd door willyb op 2 mei 2021 21:22]

Je moet natuurlijk niet alleen op de titel van een artikel afgaan. Daarbij zou jouw titel niet eens passen, want er is op Tweakers een beperking in het aantal tekens dat een titel mag bevatten en die van jou gaat daar overheen.
Bij dit soort bedragen verwacht je een stukje relatie management beide kanten op. Verder 4 ogen principe. En klopt de mail met eerdere berichten, als normaal nooit taalfouten en nu vol met taalfouten.

Toevallig zelf iets dergelijks meegemaakt. Kreeg mail met verandering dus bel de leverancier op, die was niets van plan te veranderen. Nu kon die op onderzoek uit. Geen geld voor de criminelen.
Dat hoort in een standaardprocedure bij het aanpassen van stamgegevens van leveranciers. Dat zo een belangrijk gegeven op basis van deze info gebeurt, is redelijk amateuristisch. :)
Waarom niet voor de soort belangrijke zaken alles per brief doen, het is ondertussen toch bekend dat vals e e-mails een groot probleem is.
Daar zit natuurlijk net zoveel gevaar in, een brief kan je ook gewoon als iedere afzender versturen.
Ik zou zelf stellen dat er MEER gevaar in zit.
Om namens een ander een brief in de bus te gooien is 1000 keer makkelijker dan office in de cloud te hacken.
Dat wel, maar dat zou voor de criminelen dan weer ongunstig zijn want na het doen van aangifte heeft een bedrijf dan bewijs dat heel makkelijk te onderzoeken is. Als er geen DNA van de daders opzit, dan is in ieder geval het handschrift nog te bestuderen.
Handschrift? Het is geen liefdesbrief of ansichtkaart...
Maar het kan wel dat er later criminelen worden opgepakt die iets met zo'n zaak te maken zouden kunnen hebben, en als dan blijkt dat ze vaker zulke brieven hebben verstuurd, dan kunnen de handschriften worden vergeleken.
Handschriften vergelijken van brieven zonder handschrift?

Ik denk dat je deze lijn van argumentatie het best kan laten varen...
Hoezo brieven zonder handschrift? We hadden het hier niet over de e-mails uit het artikel, maar over hoe dit met handgeschreven brieven had kunnen gebeuren. En handgeschreven brieven bevatten een handschrift.

[Reactie gewijzigd door TheVivaldi op 2 mei 2021 19:36]

Nee, jij had het over handgeschreven. De rest had het over post.
Ik denk dat je meer hebt aan het DNA van de dichtgelikte envelop of postzegel
Wie schrijft brieven nog met de hand?
Het draadje waarop ik reageer stelt “een brief KAN je ook […]”. Het maakt dus niet uit of het wel of niet gebeurt, het was slechts een hypothese en daar reageer ik dan weer op.

En ik schrijf nog brieven met de hand. Niet vaak meer, want bijna alles gaat digitaal tegenwoordig, maar áls ik een *brief* schrijf, dan met de hand.

[Reactie gewijzigd door TheVivaldi op 3 mei 2021 13:18]

Dat verzon ik er helemaal niet bij, want ik reageerde op Dennism in 'nieuws: Bol.com trapte in phishingmail en maakte 750.000 euro ove... en MrMonkE in 'nieuws: Bol.com trapte in phishingmail en maakte 750.000 euro ove...

Maar goed, zal wel aan mij liggen dan dat ik te ouderwets ben en bij een “brief” aan een handgeschreven brief denk…..…

[Reactie gewijzigd door TheVivaldi op 3 mei 2021 13:20]

Ik denk niet dat @fapkonijntje 2fa hier heel letterlijk bedoeld, maar eerder dat er een 4 ogen principe of iets in die richting toegepast zou moeten worden, verder is het niet ongebruikelijk dat aanpassingen van dit kabliber door meerdere personen geaccordeerd moeten worden, waarna ook nog eens de betalingen door meerdere mensen geaccordeerd moeten worden.

Ik vind het dan echt wel heel slordig dat zoiets bij Bol 'zomaar' uitgevoerd wordt zonder dat er bij iemand in dit proces wat alarmen afgaan.
Ze zijn er denk ik abusievelijk vanuit gegaan dat omdat het rekeningnummer in Spanje onder de naam Brabantia International BV stond, Brabantia in Spanje een gelijkwaardige naam draagt, het een officieel correspondentieadres betrof en ze na drie bevestigingen geen afkeurend of afwijzend bericht kregen, dat het wel in orde was.
De vraag is maar of het in 1 keer om zo'n bedrag ging. De mail gaat over het aanpassen van de rekeningnummer voor de stortingen en niet over een betaling eigenlijk. Waarschijnlijk is er daarna verschillende keren gestort op een fout rekeningnummer daardoor en zo het bedrag opgelopen.
De vraag is maar of het in 1 keer om zo'n bedrag ging.
Nee, dat staat toch vrij duidelijk in het vonnis? Het ging om meerdere betalingen:
Nadat het bankrekeningnummer in de systemen van Bol.com op 4 december 2019 werd gewijzigd, heeft Bol.com vanaf 5 december 2019 tot in januari 2020 meerdere bedragen overgemaakt naar de Spaanse bankrekening op grond van betalingsverplichtingen van haar aan Brabantia Netherlands. Het totaal daarvan bedroeg € 751.493,09.
Een voor Bol bekende e-mailadres spoofen is niet moeilijk maar door erop te reageren kan je verwachten dat de reactie die terug komt van iemand van Brabantia zelf moet zijn. Dat zou alleen anders zijn als Brabantia zelf gehacked is en daar ga je niet direct vanuit. Dus het is niet het gebruikelijk phisingmail, maar met het taalgebruik en een Spaanse rekeningnummer had ik de mail verwijderd en er verder niet naar omgekeken. Dat valt bol.com wel te verwijten.
Een antiphish code onderling afspreken (dus tussen 2 partijen een code van 64 tekens gegeneerd met a-z, A-Z, 0-9 en speciale tekens). en deze meenemen bovenaan de mail.

Staat de antiphish code er? dan weet je dat je legitiem een bericht van je contact persoon hebt ontvangen. Staat de code er niet? Gelijk er achter aan bellen.

Verder verwacht je eigenlijk dat met zulke bedragen meerdere mensen de mail(s) hadden kunnen lezen, dat niemand het is opgevallen is dan opmerkelijk..
Er was ingebroken bij Brabantia's servers. Moderne e-mail techniek checkt al dat het van de goede server komt.

Ik snap vooral niet dat ze bij een rekeningnummer-wijziging niet even Brabantia gebeld hebben.
Dat blijft inderdaad een raar verhaal... Misschien was het nog vroeg op de maandag ochtend, of zaten ze al aan de vrijmibo - maar hoe dan ook hoop ik dat ze er een goede les uit hebben gehaald, en betwijfel over een hoger beroep nog iets voor ze gaat uithalen..
Inderdaad, mijn persoonlijke rekeningen betaal ik altijd via de bij mijn bank opgeslagen contacts van bedrijven en personen naar wie ik betalingen doe.
Als het rekeningnummer niet overeenkomt met het in mijn contacts opgeslagen rekeningnummer, bel ik om dat te verifiëren, ook al gaat het om een zeer klein bedrag.

Het verbaast me dan ook dat zoiets bij een bedrijf als Bol geen standaard policy is.
Je gaat toch niet terug mailen voor een bevestiging?

Krijg ook wel eens (bonafide) mails over een wijziging van een rekeningnummer. Het is dan gebruikelijk om te bellen naar een reeds bekend telefoonnummer om dit te laten bevestigen.
Poeh ja en nee. Meestal als je terug-mailt, neem je een accountmanager of andere gerelateerde contacten mee in de correspondentie. Als er iets niet klopt, zal een van ze wel aan de bel trekken? In een uiterst geval bel/mail je eerst de accountmanager van jouw organisatie en die zoekt dan contact met de organisatie in kwestie ter bevestiging.

In dit geval echter, werden alle e-mails van Bol.com in een RSS map gedumpt en automatisch als gelezen gemarkeerd.
Navraag doe je altijd via een andere communicatiemethode dan deze waarmee je de vraag hebt gekregen, dit om te voorkomen dat dat kanaal gecompromiteerd is.
Oh? Dat wist ik niet, logisch wel.

Ik denk dat je dat allemaal doet in een ideale wereld. Maar de realiteit is dat je met mensen werkt en dat die onder druk staan. Zeker bij een Bol.com met gigantische recordomzet ivm Covid. En dan neem je al snel genoegen met minder maatregelen. Dat is ook waar dit tuig zich op focust.
We spreken over een incident in 2019. Dat is dus voor COVID-19. Daarnaast spreken we hier over een belangrijke leverancier van Bol waar jaarlijks miljoenen naartoe gaan. Dan hoor je als onderneming sowieso afdoende procedures te hebben. Maar zelfs dat stond niet ter discussie in de rechtbank. Het vonnis is er uiteindelijk gekomen omdat er gezonde argwaan had moeten zijn tegenover de email komende vanuit Brabantia, maar Bol heeft gewoon uitgevoerd zonder navraag te doen.
Klopt, helemaal gelijk.
Ik mag aannemen dat je bij 7,5 ton wel even meer leest dan alleen de eerste regel en gezien het taalgebruik icm eerdere correspondentie je je toch even achter de oren krabt.

Persoonlijk stel ik direct vragen bij welk mailtje dan ook wat taalfouten bevat die ik bij eerdere correspondentie niet heb gehad.

Als het er 1 of 2 zijn had ik het nog begrepen, maar dit is gewoon ronduit slecht overgenomen van google translate en niet in lijn met eerdere berichten. Dan zouden er toch direct belletjes moeten gaan rinkelen?
Lijkt me dat je bij dit soort grote klanten als bol.com even belletje doet met je leverancier om te vragenok het klopt.
Ik vraag me af of Brabantia onder een grote klant valt voor Bol.com.
Mwah. Bol had in 2019 een omzet van 2,8 miljard. Dan is die 750.000 nog geen 0,03% van je totale omzet.

Brabantia had dat jaar echter een omzet van ~115 miljoen €. Dan is het 0,65% van je omzet.

Kijken we naar het platje van een jaar eerder dan zien we echter wel dat zo’n bedrag fiks inhakt op de winst:
In dat jaar boekte het bedrijf 3,5 miljoen euro winst op een omzet van bijna 110,7 miljoen. Maar 18,6 miljoen van die omzet wordt in Nederland gedraaid. Brabantia zet veel meer om in de rest van Europa (73,8 miljoen) en in de rest van de wereld komt daar nog eens 14,4 miljoen bij.
Op 3,5 miljoen is €750.000 toch een behoorlijk bedrag.
En dan een exchange server zonder 2fa met wss Welkom123 als wachtwoord. Althans, na gezamenlijk onderzoek claimde Bol.com dat het een zeer eenvoudig wachtwoord was en er geen sprake was van 2fa.
En dat is een fout van Brabantia.

Neemt niet weg dat Bol.com in de meest doorzichtige scam ooit is getrapt. Zelfs als de security wel op orde was hadden ze nooit zomaar op deze mail moeten ingaan.

Ook het uitblijven van bevestiging had moeten aangeven dat er iets niet klopte.
Meh, meest doorzichtige scam ooit? Ik denk dat je ernstig overdrijft.
Ik denk het niet aangezien de rechter dus ook zegt dat er veel te veel tekenen aan de wand waren om dit zonder telefonische verificatie door te zetten.

No way dat jij bij een dergelijk mailtje klakkeloos zou betalen. Geloof ik helemaal niks van.

Deze twee bedrijven hebben een goede handelsrelatie en hebben altijd in het Nederlands gecommuniceerd. Als er dan een mail komt in het engels is dat op zijn minst raar. Als het dan ook nog eens half half is en ook nog eens heel erg slecht en als je terug mailt krijg je geen enkele bevestiging dan is het echt niet slim om dat zomaar door te zetten.

Als jij dit van je energieleverancier of ISP zou krijgen, zou je dit dan klakkeloos doorvoeren?
Ik denk dat dit in hoger beroep geen stand zal houden. Ik denk dat een Bol.com steken heeft laten vallen maar ik denk niet dat Brabantia vrijuit kan gaan in casu.

Immers, geen 2fa, geen deftig wachtwoord, eerder via hetzelfde communicatiekanaal wél officieuze wijzigingen en geen melding gemaakt van een digitale inbraak.

De vragen zijn eigenlijk;

Mag Bol.com, nadat het heeft vastgesteld dat het geen spoofmail is en dus een echt e-mailadres, ervan uit gaan dat het opdrachten van een officieel administratief karakter mag verkrijgen via dit medium?

Heeft Bol.com in samenspraak met Brabantia een werkwijze vastgesteld en is hier van afgeweken?

Heeft Bol.com voldaan aan haar notificatieplicht door e-mails te sturen naar Brabantia?

Heeft Brabantia ter goeder trouw gehandeld en zoals een goede huisvader zorg gedragen voor de veiligheid van haar officiële kanalen? En hetzelfde voor Bol.

Ik denk dat je aan het eind vast moet stellen dat de beide partijen fouten hebben gemaakt.
Ik denk dat je aan het eind vast moet stellen dat de beide partijen fouten hebben gemaakt.
Je zegt het zelf al beide partijen maken fouten, dat brengt met zich mee dat je op 1 na alle juridisch relevante vragen hebt gesteld/beantwoord.

De laatste vraag is: wat stelt de wet en de jurisprudentie aangaande bevrijdende betaling?

En dan kom je ongeveer op het volgende:
- Als je betaald hebt,
- ter goeder trouw was,
- geen domme fouten hebt gemaakt,
- niet had kunnen weten, of had behoren te weten, dat er iets niet helemaal in de haak was,

dan heb je bevrijdend betaald.

Dat gaat zelfs zover dat je niet bevrijdend hebt betaald als je bij jouw buurman een ruit in hebt geschopt, en je weet (aangetoond) dat hij onder bewindvoering staat maar je geeft hem het geld contant (in plaats van aan zijn bewindvoerder) dan heb je wettelijk gezin niet betaald. en mag je dus nog een keer betalen.

[Reactie gewijzigd door i-chat op 2 mei 2021 20:40]

Dat is logisch. Maar niet oogkleppen opdoen, dat geldt voor zowel Bol als Brabant.
Finance afdeling is waarschijnlijk geoutcourced naar het buitenland. Dus die lezen alleen het Engelse deel. En laat hun eigen Engels vaak ook niet zo sterk zijn....
Tsja dat is dan jouw risico. Nog een reden om dat maar niet te doen.
Daar heb je wel een punt, dat is inderdaad vaker zo.
Administratie moet zo goedkoop mogelijk en dan krijg je dit soort dingen.
Dan moet je als bedrijf ook de verantwoording nemen als het fout gaat.
Meen je dat nou, wie kan zo'n slecht geschreven e-mail nou ooit serieus nemen? Geen enkel Nederlands bedrijf zal een dergelijk geschreven tekst versturen. Op z'n minst doe je dan even navraag bij Brabantia, maar ga je niet zeggen, oké, sounds legit, laten we even 750.000 euro naar Spanje sturen.
Kom op zeg, je mag hier toch verwachten dat je de hele e-mail goed leest? En dat het je dan opvalt dat er zowel gebrekkig Nederlands als opvallend Engels wordt gebruikt. Opvallend, omdat Brabantia nooit eerder in het Engels met bol.com communiceerde.
Als een online-only platform niet eens de basis doorheeft van authenticatie, dan moet je je toch vragen stellen. Ga je echt via mail antwoorden op iemand die je een verdachte mail heeft gestuurd met "ben jij het echt?", wat denk je dat ze antwoorden.
Misschien ook even handig om te vermelden waar de rechtszaak nou om ging. Uit het verhaal valt af te leiden dat Brabantie kennelijk werd aangeklaagd door Bol. Maar dat staat er dus niet in.
nee, brabantie wilde hun geld en bol wilde niet nog eens betalen. dat was de rechtszaak
Euh, ja. Dat bedoelde ik eigenlijk. Iets teveel weekend gehad :)

Waarom staat dat niet in het artikel? Of heb ik daar overheen gelezen?
Gosh, wat zou bol.com ervan vinden dat de IBAN van de oplichters keurig geanonimiseerd is, maar 't email adres waar de volgende phisher zich kan melden open en bloot gepubliceerd is daar!
Finance@, ap@, accountspayable@,... zijn nu niet bepaald geheim...
Hoe is dit nou weer dom? De mail is keurig, en verzonden vanuit het echte domein. Daarbij maken zat bedrijven gebruik van banken elders in Europa, zeker internationale operaties.
Ik heb een aantal keer een email gekregen van ICS credit card bedrijf waarbij ik zit. Ik had een regel gemaakt voor de correcte afzender in Outlook en deze komen in een aparte map. Toen ik in die map van het correcte adres een mail kreeg dat er verdachte activiteiten waren gespot op mijn account en gevraagd werd deze te controleren moest ik echt heel goed opletten en alle 3 keer lezen. Toen ik zag dat de link een verkorte URL was heb ik naar ICS zelf gebeld en navraag gedaan. Zij geven gewoon leuk aan dat dit fishing is en dat het mogelijk is van het correcte email af te komen. Dit is toch wel de meest kwalijke zaak vind ik, gelukkig was ik scherp genoeg.
Mijn punt is eigenlijk dat zelf al kloppen alle randvoorwaarden zoals email aanhef en handtekening, wees gewoon scherp bij dit soort zaken.
Ja ik heb hetzelfde met e-mails van minfin, telkens denk ik: “Huh? Een e-mail van de fiscus met een verzoek om meer informatie?”

Dan start het hele spel weer van contact zoeken, 3 jaar in de wacht staan, 30 keer doorverbonden worden en uiteindelijk blijkt het gelukkig elke keer te kloppen. In zowel Nederland als in België al meermaals gebeurd tot mijn grote ergernis.
Als je werkzaam bent in Risk Management, Accountancy of Accountants Payable bij een bedrijf van enige omvang weet je al jaren dat je rekening nummers niet gaat aanpassen na enkel een email.

Dit is echt standaard kennis in de sector.
Zelfs niet eens in de sector.
Ook thuis doe ik dat. Een belletje kost je 2 minuten.
haha een belletje naar de fin afdeling van bol.com duurt wel wat langer dan 2 minuten,
kijk als het goed is hebben de account managers van bol en brabantia elkaars mobiele nummer wel en dan zou het inderdaag hooguit een halve dag (nu even in vergadering) kosten. maar 2 minuten gaat in zelfs het meest onmogelijk- positieve scenario niet op.
Een halve dag voor een belletje? Niet overdrijven he...
Maar zelfs dan nog,€750.000 op een halce dag verdienen is niet slecht.
Als je werkzaam bent in de online wereld, weet je ook al jaren dat je geen authenticatie doet via hetzelfde middel waarmee je gecontacteerd bent geweest. Lijkt me ook standaard kennis in de sector. Maja, 't is bol.com...
De mail is keurig? Heb je die teksten wel gelezen? Mijn grootmoeder van 93 zou daar nog niet intrappen.
Eerlijk, ik ben niet anders gewend van veel bedrijven. Mijn correspondentie met Amazon, Bruhub DHL of zelfs vandaag mijn correspondentie met Total ivm de tankkaarten.

Zoveel spelfouten, zoveel rare niet-bestaande woorden. Eerlijk, ik zou hier ook voor vallen als ik echt te weinig tijd heb om het allemaal te gaan najagen. Ik zie dat echt niet als een teken dat het niet in de haak is.
Je bent niet beter gewend? Echt, niet beter dan deze tekst? Spelfouten, deels engels, niet bestaande woorden, etc. Serieus, dit krijg jij regelmatig?

‘Tav: Account te betalen/Attn: Account Payable

Geachte heer mevrouw,

Houd he rekening mee dat we vanaf vandaag een wijziging in onze bankrekeninggegevens hebben voor incaende betalingen.

Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje.

We het op prijs as u uw gegevens kunt bijwerken.’
Ja gek genoeg wel. Jij niet?

Niet persé altijd van de meest vooraanstaande bedrijven maar vaak Duits/Nederlands/Engels/Frans, beetje mengelmoesjes.

In dit geval had het helemaal niet uitgemaakt. Mensen op administratieve/repetitieve afdelingen lezen brieven nooit echt. Er wordt gescand naar hoofdzaken en toegepast, stempel erop en doorschuiven.

Ja je kunt er misschien om lachen of het dom vinden maar het is gewoon de werkelijkheid.
Nee, ik krijg echt nooit dit soort idiote mailtjes van zakelijke contacten. Af en toe een tikfout, aanhef verkeerd, etc. wel maar dit heb ik nooit serieus gezien:

"Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje."

Dat is gewoon random Engelse woorden toevoegen in een verder Nederlands tekstje...

Oh en ik zie dat de financiële afdeling van mijn werkgever de brieven serieus leest en controleert. Misschien hebben wij een geheel ander werkveld? :)
Ja gek genoeg wel. Jij niet?

Niet persé altijd van de meest vooraanstaande bedrijven maar vaak Duits/Nederlands/Engels/Frans, beetje mengelmoesjes.

In dit geval had het helemaal niet uitgemaakt. Mensen op administratieve/repetitieve afdelingen lezen brieven nooit echt. Er wordt gescand naar hoofdzaken en toegepast, stempel erop en doorschuiven.

Ja je kunt er misschien om lachen of het dom vinden maar het is gewoon de werkelijkheid.
Basically wil bol.com dus niet in personeel investeren om het werk degelijk te doen? Het heeft geen zin om iemand een document te laten ontvangen als het alleen maar gescand en niet verwerkt wordt.
Oh sorry, ik wist niet dat jij al je overeenkomsten en de vele wijzigingen grondig doorleest die je maandelijks van Microsoft, Pinterest, Google, Instagram, Facebook, Twitter enz ontvangt.

Nu, in alle redelijkheid, dat kost je natuurlijk ook geen geld. Maar ik durf te stellen dat je zelfs je creditcard, bankmail en belastingbrieven niet grondig naleest. Je scant het op relevante informatie en verwerkt wat nodig is.

Nu, je kunt beweren dat dit niet zo is, gefeliciteerd dan. Maar uit onderzoek blijkt dat dit heel menselijk gedrag is, zeker naarmate de druk stijgt.
Het moment dat zo'n EULA naar mijn kredietkaartgegevens of mijn bankgegevens vraagt, gaan bij mij ook de alarmbellen af hoor. Een betaling doen weinig mensen zomaar in hun privéleven. De mensen die dit moesten verwerken worden betaald om die documenten te lezen, dat heet professioneel zijn. Als ze de tijd niet hebben om het te doen, dan dient Brabantia nog altijd niet gestraft te worden voor een obvious scam.

Die EULA's zijn in Europa zelden rechtstgeldig trouwens, je kan akkoord gaan dat ze met u doen wat ze willen, als die 'rechten' die ze zichzelf toe-eigenen niet rechtsgeldig zijn, kunnen ze op hun kop gaan staan om hun 'rechten' af te dwingen hoor.
Jaja, kan allemaal wel, ik denk dat je mijn reactie ook enkel doorgescand hebt. Point in case.
Welk point? Dat ik de paragraaf negeer die gewoon obvious is: kredietkaart, bankmail en belastingbrieven leest iedereen, net omdat er zoveel van af hangt en ik daar echt niet meer geld aan kwijt wil dan nodig.

Een rechtsongeldige EULA van de één of andere online-only service leverancier, nah die lees ik inderdaad niet. Dat heet SPAM? paraplutrekkerij etc...

Daarmee zijn we terug bij het begin: verschillende situaties vereisen verschillende attitudes: Bol.com weigert te investeren in genoeg personeel om de werklast correct uit te kunnen voeren. Als ze mensen betalen om documenten te verwerken, dan mag toch wel verwacht worden dat die verwerkt worden en niet gewoon gescand, gekopieerd en/of weggestoken.
Ik geloof best dat je dat niet zou najagen als het om €20 zou gaan, maar bij €750.000 zou je echt wel even achter je oren krabben.
Ja goed, voor Bol.com is dat dus 0,03% van de jaaromzet dacht ik zo. En als we dan kijken naar een modaal salaris van 36.000 euro, is 0,03% dus minder dan 20 euro, eerder 12 euro.

Dus als jij al niet in actie springt voor 20 euro, waarom zij wel voor 12 euro?
te eerste zet je verwatering nooit af tegen de omzet, maar altijd tegen de onverdeelde winst. als je namelijk een profit-return hebt van 0.05 tot 0.03 wat voor een gemiddelde dozenschuiver niet eens zo heel weinig is praat je in jouw rekenvoorbeeld dus niet over 12 euro of 120 euro maar over 240 tot 400 euro. ik vraag me af of jij die 300 euro die je van je maat had geleend ook terug zou storten op een buitenlandse rekening zonder hem eerste even te bellen? omdat er half-Russisch berichtje gepost was op je facebook Messenger.
Ik heb geen idee wat je nu allemaal zegt, ik knik gewoon ja.
Je moet je hier realiseren dat de wijziging van bankrekeningnummer niet gepaard ging met een factuur van 750k he. Dat zijn losse dingen. Die wijziging is de oplichter, die 750k waren echte facturen die ook gewoon betaald moesten worden. En niet 1 factuur, maar de facturen over pak hem beed een maand. Daarna stuurde Brabantie een herrinering en kwam de aap uit de mauw.
So?
1) Als Bol.com niet investeert in personeel om brieven te verwerken,
moet Brabantia daar dan voor opdraaien?
2) Als Bol.com niet investesteert in opleiding van hun personeel dat brieven zou moeten verwerken (zoals iemand hierboven aanhaalde: verandering van rekeningnummer doet men niet zomaar, standaard kennis in de sector),
moet Brabantia daar dan voor opdraaien?
3) Als Bol.com niet investeert in opleiding van hun personeel aangaande wat authenticatie wil zeggen (cyberthreat awareness enzo...): niet het gecompromiteerde onverifieerbare kanaal gebruiken om te vragen of het klopt, maar een ander medium gebruiken.
Moet Brabantia daar dan voor opdraaien?
Waar reageer jij op?

@TheVivaldi schrijft:
"Ik geloof best dat je dat niet zou najagen als het om €20 zou gaan, maar bij €750.000 zou je echt wel even achter je oren krabben."

Daarop geef ik aan dat dit niet één factuur voor 750k was, maar verschillende facturen. En dat de fout niet gemaakt is bij een factuur, maar bij het verzoek het rekeningnummer te wijzigen.

Ik heb geen flauw idee waar jij op reageert, maar ik beweer dus nergens dat Brabantia ergens voor moet opdraaien.
Op mijn werk (telecom operator) krijgt iedereen die over een bedrijfs e-mail adres beschikt, of met electronische berichten te maken krijgt, regelmatig een training om zulke dingen te herkennen.
IT security stuurt zelfs regelmatig echt uitziende phishingmails, en monitort hoe daarop gereageerd wordt.
Als je erop ingaat, krijg je een humoristisch mailtje terug dat je er ingetrapt bent, en wordt je verzocht om in het vervolg wat beter op te letten.

Dit zou standaard practice moeten zijn in ieder bedrijf, en zeker voor functies die met financieën te maken hebben.
Zeker, klinkt ideaal. Krijgen jullie dan ook training in verificatie en dergelijk?

Maar even voor de duidelijkheid, ik stel niet dat Bol.com geen fout heeft gemaakt. Ik stel wel dat zowel Bol.com als Brabantia fouten gemaakt hebben.

Je kunt niet stellen dat de een stricter op moet letten op de financiële afdeling en dat de ander wegkomt met “Goh ja, Welkom123 en geen 2fa was misschien niet zo slim” en “We weten eigenlijk niet hoe we gehackt zijn en we weten nog steeds niet of de criminelen nog altijd toegang hebben”.

Ik meen dat ondernemen risico is en dat in dit geval het risico door beiden gedragen moet worden zogezegd. Zeker als de beide partijen aantoonbaar te weinig gedaan hebben om dat risico te verkleinen zegmaar. En in dat opzicht kan ik het oordeel van de rechter niet toejuichen.
We werden een paar jaar geleden gehacked door MI6-NSA, sindsdien is IT security in overdrive gegaan, en krijgt iedereen om de paar maanden een kleine reminder online training, zodat iedereen scherp blijft opletten en weet waar je moet op letten, plus dan nog die fake phishing mails die IT security regelmatig rondstuurt.
Ook werden USB interfaces en andere dingen langswaar malware of virussen zouden kunnen binnenkomen uitgeschakeld, en werd er op iedere PC monitoring software geinstalleerd die alles bekijkt wat er beweegt op de bedrijfs PC/laptop.
Slim, klinkt wel alsof jullie heel adequaat hebben gereageerd en gas hebben gegeven !

Iets zegt mij dat Bol en Brabantia ook maatregelen zullen nemen haha. Maar zolang Brabantia nog niet uitgevogeld heeft waar het lek zit en tot welk niveau het toegang heeft, denk ik dat ze nog even wachten met investeringen.
maar echt, beetje achterlijk van bol om hier nog in te trappen
Huh heb je de mail gelezen??
Als je in zo'n slecht Nederlands geformuleerd mailtje trapt is dat gewoon dom. Kan er niets anders van maken.
Omdat het aanpassen van cruciale stamdata op basis van een (heel slecht) mailtje tamelijk amateuristisch is. Dan heb je je procedures niet echt op orde.
De mail is keurig? Heb je hem wel gezien? De zinnen staan bomvol met rare taalfouten, weggelaten woorden, rare zinsconstructies, en halverwege de zin springt men opeens over van Nederlands naar (gebrekkig) Engels....

Deze tekst is overduidelijk afkomstig van Google Translate of soortgelijke dienst.

Dat had toch al een signaal moeten zijn dat er iets niet klopte.
Vindt dat toch raar, een simpele google translate doet dit al 1000x beter.
Huh, wat? De mail is keurig? Hier de tekst...

‘Tav: Account te betalen/Attn: Account Payable

Geachte heer mevrouw,

Houd he rekening mee dat we vanaf vandaag een wijziging in onze bankrekeninggegevens hebben voor incaende betalingen.

Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje.

We het op prijs as u uw gegevens kunt bijwerken.’

Dit kun je toch moeilijk keurig noemen...
Ik denk dat de rechter toch een beetje te snel door de bocht is gegaan.
Dit soort requests zijn vast niet vreemd op de afdeling boekhouden
Een slecht geschreven mail is geen reden tot staking van een actie wel tot waakzaamheid maar als de afzender klopt en gesigned is...

Dit soort scams zijn uiterst targeted, de scammer past enkele variabelen aan voila zeer moeilijk te traceren.
De kans dat er mensen in trappen is dus groot. Waarom ziet de rechter dit niet in?
Omdat er te veel alarmbellen in de mail zitten. Brabantia is een Nederlands bedrijf, het hoofdkantoor staat in Nederland, van de administratieve medewerkers mag je dus verwachten dat zij Nederlandstalig zijn. Indien zij dat niet zouden zijn zouden zij alsnog de brief opstellen in het Engels ipv Nederlands maar nooit zo een gebroken taalgebruik gaan versturen voor zo een officiëel bericht. Je mag er van uitgaan dat een CxO zo een brief nooit zal ondertekenen met deze taalfouten (geloof me, heb al voor veel minder onder mijn voeten gekregen in een kleinere omgeving).

Daarnaast moet ook het rekeningnummer een alarmbelletje doen afgaan. Een Nederlands bedrijf dat zomaar vraagt om een rekeningnummer in Spanje te gaan gebruiken? Ook dat moet vreemd overkomen. Neem je die 2 dingen samen dan moet er een alarm afgaan, zeker omdat er al jaren net dit soort van oplichterstrucjes worden toegepast waarbij men rekeningnummers wenst aan te passen.

Zeker als het om accounts met grote bedragen gaat moet je dan even wat gezond verstand gebruiken en gewoon even de telefoon nemen, naar de financiële afdeling van Brabantia bellen (en dat moet niet met de CFO zijn, kan evengoed gewoon je contactpersoon bij die firma zijn) en navragen of deze mail echt is. Daar zal men echt niet kwaad voor worden, zelfs als deze wel legitiem zou zijn.

Net omdat dit soort scams dus regelmatig voorkomt en deze mail alarmbellen doet afgaan had Bol hier moeten ingrijpen volgens de rechter. En daar kan ik de rechter wel in volgen. Als ik morgen bericht krijg van mijn ISP bijvoorbeeld met de melding dat hun rekeningnummer veranderd is, dan zal ik ook nakijken of dat bericht wel echt is. En als ik het niet op hun website kan vinden, dan zal ik ook hun helpdesk contacteren. Zelfs als er geen taalfouten in de brief staan.
Zeker als het om accounts met grote bedragen gaat

Dat is relatief, dit zijn grote bedragen ja, maar voor een bedrijf als Bol zijn dit misschien gewone bedragen, waarschijnlijk de reden waarom het bedrag zelf geen alarmbel triggerde. Als de attacker access had tot de mail van Brabantia, had die waarschijnlijk inzage in wat soort bedragen er werden getransfereerd en vond de transfer bedragen richting Bol.com juist ludiek, vandaar reden tot deze attack.
Rekeningnummers voor betaling zijn fraudegevoelig. Je mag dus nooit ingaan op een vraag tot overschrijving op een nieuw rekeningnummer op basis van een mail, die altijd van een frauduleuze afzender dan komen, tenzij er echte authenticatie is ingebouwd, wat bijna nooit het geval is.

Bovendien worden rekeningnummers vaak in contracten opgenomen. Als je niet op het contractuele rekeningnummer betaalt, ben je dus vaak al in de fout.
Dankje voor de uitleg!
Tja, blijkbaar is heel slecht Nederlands niet meer ongewoon.
Het valt dus niet op zo'n email.
Een flink potje werkdruk bij Bol zal ook wel meegespeeld hebben. Dan gebeuren er fouten. Gebrek aan controle, "je hoeft niet te denken, dat doen wij wel.." en slordigheid.

Als er gewerkt wordt worden er fouten gemaakt. Alleen dit was een dure. Jammer dan.
Bol kan dit prima lijden.
Blijven nadenken, beter onderwijs en minder werkdruk zal dit soort zaken voorkomen.
De kans dat er mensen in trappen is dus groot. Waarom ziet de rechter dit niet in?
En als de kans groot is, hoor je natuurlijk gepaste tegenmaatregelen te nemen. Bol.com doet dat niet goed genoeg volgens de rechter.
Heb je de uitspraak zelf gezien? Daar overweeg de rechter ook jouw argumenten namelijk. De redenatie is dat hier zoveel red flags waren dat bol.com niet in redelijkheid mocht geloven dat het klopte. Zie bijvoorbeeld de e-mail waar het om gaat. Spelfouten, opeens engelse woorden en niet bestaande woorden. Dit was *niet* normaal voor Brabantie, wat samen met andere argumenten betekende dat bol.com een dubbelcheck had moeten doen.

‘Tav: Account te betalen/Attn: Account Payable

Geachte heer mevrouw,

Houd he rekening mee dat we vanaf vandaag een wijziging in onze bankrekeninggegevens hebben voor incaende betalingen.

Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje.

We het op prijs as u uw gegevens kunt bijwerken.’
Er worden wekelijks honderden mensen opgelicht via WhatsApp, SMSjes, Marktplaats etc, die krijgen geen rooie cent terug. Nu zou Bol.com het wel terug moeten krijgen? Dikke vinger
Dit vind ik dus ook. Elk persoon die, hoe dan ook, zelf op de knop drukt en geld overmaakt is daar zelf verantwoordelijk voor. Dus ook bol.com.
Het zal toch even lekker worden dat bol.com hier in het gelijk zou worden gesteld. Dan kunnen er meteen nog tal van zaken richting banken worden gestuurd met 'per ongeluk verkeerd overgemaakt' situaties.
Daar ga je wel heel kort door de bocht. De oplichter is in eerste plaats verantwoordelijk, niet de gedupeerde
De oplichter is verantwoordelijk voor de oplichting, maar niet voor het daadwerkelijk geld overmaken. De één is een (indirect) gevolg van het ander, maar het is niet één atomaire actie aangezien je er ook voor kunt kiezen om het geld niet over te maken.
Bol.com vraagt geen geld terug. Bol.com vraagt vooral niet nog een tweede keer te hoeven betalen.

Dat kan natuurlijk redelijk zijn als Brabantia zelf de deur open gezet heeft voor scammers en dat Bol.com onmogelijk kon weten dat zij naar een verkeerd adres geld overmaakte. Helaas voor Bol.com was het nog steeds te obvious scam waardoor de rechter ze niet in het gelijk gesteld heeft.

[Reactie gewijzigd door Isniedood op 3 mei 2021 11:31]

Bol krijgt niks terug?
Dit soort requests zijn vast niet vreemd op de afdeling boekhouden
Voortaan moten all incoming betalingen have been overgemaakt
Daar had jij €750.000 naar overgemaakt?
Echt hoor. Wat een nondiscussie. Bol zijn afdeling is gewoon gemakzuchtig.
Een handtekening die je niet authenticeert, is niks waard.

Bol.com heeft er nogal wat van weg om losjes om te springen met Hand-over take-over en verificatie van handtekeningen (heb ooit bijna moeten bewijzen dat ik geen handtekening had gezet onder een bestelling die ik nooit heb gezien, het ging over genoeg geld, ' k was op't werk op't 'moment van leveren', nooit gevonden wie het heeft 'aangenomen').

Als zij de berekening maken dat het goedkoper is om de schade te nemen die kan voorkomen bij een non-existent authenticatiesysteem dan om een deftig authenticatiesysteem aan hun koerier op te leggen (kost tijd en dus minder pakjes per koerier en dus meer geld per pakje...), dan lijkt de motivatie van de rechter compleet terecht en ontheft het hen niet om Brabantia alsnog de som te betalen en andere middelen te zoeken om hun geld terug te krijgen van de oplichters.

[Reactie gewijzigd door Terracotta op 3 mei 2021 12:40]

Dus jij stelt, als iemand het niet had kunnen weten terwijl het zinn/haar vak is om dit goed te doen dan is er geen blaam?

Ja, treurig dat ‘t flatgebouw instorte maar de berekening leek logisch en ja het is een domme actie... maar had Henkie niet kunnen weten dus tja sorry?


Nee er zijn iets van 4-8 signalen die in dit scenario niet kloppen. Als je dan weet dat het niet over een tientje via paypal gaat dan verifieer je dit als financieel administrator. Je pakt de telefoon belt je contactpersoon en checked dit nog even.
Ik heb nooit beweerd dat er geen blaam is????

Het gaat de manier waarop. @La1974 @Groningerkoek
De rechter had moeten vragen en onderzoeken waarom er geen rode vlaggen omhoog gingen.
In plaats van er gemakshalve van uitgaan dat die signalen voor iedereen maar duidelijk zijn.

Zie het als een verkeersbord dat slecht geplaatst is en daardoor mensen het verkeersbord niet goed kunnen zien. Zwaar afhankelijk van context dus.

Ik ken de situatie natuurlijk niet, maar ik kan me voorstellen dat BOL iets meer dan enkele mailtjes per dag binnen krijgt en 750k ook alles behalve gekke getallen voor hun zijn.
Niet elk e-mailtje wordt dus zo aandachtig gelezen, als je er 40 moet doen op een dag.

Daarnaast wisselen en verplaatsen bankgegevens continu, wordt administratie soms door een 3e partij gedaan etc etc etc
Als je in dat wereld zit, moet je weten dat het alles en behalve vreemd is dat (zogenaamde) Nederlandse bedrijven soms buitenlandse bankrekeningnummers hebben.
Al helemaal voor speciale bedragen of zakenpartners.
Ik snap ook daadwerkelijk niet dat iedereen daar zo over valt (incl rechter)
Het geeft voor mij enkel aan dat mensen totaal niet bekend zijn met zulk soort situaties en bedrijven.

Al helemaal van klanten of zakenpartners die je al tientallen jaren vertrouwd.
Die ga je niet elke keer van top tot teen controleren.
Dat past ook helemaal niet binnen onze cultuur, dat wordt echt wel als nogal respectloos gezien en over het algemeen alles behalve in dank afgenomen.

Ongelooflijk zwak argument van de rechter dus.

Zoals elders in deze discussie, is de conclusie dat tevens Brabantia nalatig is geweest in zijn beveiliging een veel logischer besluit. Doordat zij al jaren een vertrouwde zakenpartner zijn, behandel je die met wat meer respect en dus lees je niet elk mailtje helemaal door en controller je elke puntje op de i.
Iets in de trend van 50/50 (of soortgelijks) is dan een keuze die logischer is.

Nogmaals, het gaat mij niet om de blaam, het gaat mij om het feit dat een rechter de situatie niet (een klein beetje) verder heeft onderzocht en puur handelt vanuit een oogpunt van "ja maar dat is toch logisch".
Hadden ze een andere rechter getroffen dan had de uitspraak zeer waarschijnlijk ook anders geweest.
Daarmee bedoel ik niet 180 graden anders, maar een beetje anders.

[Reactie gewijzigd door B_FORCE op 2 mei 2021 16:03]

De rechter hoeft niet te onderzoeken waarom er niet voldoende rode vlaggen zijn afgegaan bij BOL, de rechter dient te oordelen of BOL al dan niet tekort is geschoten in het voldoende controleren van de opdracht tot wijziging. Indien de rechter oordeelt dat BOL tekort is geschoten is dan boeit het niet waarom BOL tekort is geschoten.
Ik ben het eens dat een bankrekening in Spanje op zich geen probleem moet zijn. Eigenlijk vind ik dat je bij iedere wijziging van bankrekening de opdrachtgever moet verifieren. En een email is geen goede verificatie, dat is te makkelijk te faken.

Je moet dus kiezen. Of je controleert het, of je vind het bedrag niet de moeite waard. Maar dan ga je ook niet moeilijk doen als het fout gaat en je nog een keer moet betalen.
De rechter oordeelt gewoon dat bol.com de betaling verschuldigd blijft aan Brabantia. Dat is uiteraard de logica zelve: bol.com heeft immers niet aan haar betalingsverplichtingen voldaan. Er is weliswaar sprake van fraude en inbraak in de systemen van Brabantia, maar daarvoor is geen enkele fout bij Brabantia aangetoond, wel is aangetoond dat bol.com diverse fouten heeft gemaakt en zeer onvoorzichtig is geweest - een verandering van rekeningnummer is altijd een fraudegevoelige actie.

De uitspraak van de rechtbank is zeer logisch en legt de verantwoordelijkheid uiteindelijk bij degene die onvoorzichtig en op verschillende vlakken zeer onzorgvuldig is geweest en daardoor niet aan zijn contractuele betalingsverplichtingen heeft voldaan.

En inderdaad, zo is dat nu eenmaal, wie niet slim is en fouten maakt, draagt verantwoordelijkheid voor die fouten.

De rechter heeft hier geen straffen uitgesproken (het is ook geen strafzaak, maar een handels geschil), dus vanwaar jij het idee haalt dat iemand hier gestraft wordt, dat is me een raadsel.
Straffen is een ruim begrip, meer bedoelt als algemene bewoording dan het letterlijk zo te nemen.
Een geschil verliezen kun je namelijk zeker ook wel zien als een straf.
Nee, een geschil verliezen is geen straf. In een geschil gaat het om de (tegengestelde) belangen van de partijen die een geschil hebben waarover een uitspraak wordt gedaan op basis van rechtsregels.
Sorry hoor, maar jouw redenering raakt echt kant noch wal.

Veel wetten zijn door de wetgever bewust globaal beschreven met als doel dat rechters keuzes kunnen maken die de wet daarna specifieker maken middels jurisprudentie. Dus ja, een rechter moet vaak subjectieve keuzes maken. Die worden dan onderbouwd of aangepast door andere rechters en bevestigd door hogere rechters.

Maar de conclusie van de rechter vind ik ik dit geval goed te verdedigen. Bol verwijt Brabantia dat ze haar beveiliging niet op orde heeft. Maar gaat er daarmee aan voorbij dat haar eigen administratieve processen onvoldoende zijn. Er werken professionals (op een afdelingen waar jaarlijks voor vele miljarden wordt gefactureerd) die blijkbaar niet bij machte zijn om zo'n slecht geformuleerde mail te herkennen.

We hebben het hier niet over een laag opgeleide analfabeet maar over een administratieve professional.

Maar goed, het zou interessant zijn als Bol.com in hoger beroep gaat. Dan kunnen we zien wat de keuze van een hogere rechter zal zijn.
Waarom is die redenering van de rechter flut? Van bedrijven wordt een hogere mate van kennis/bescherming verwacht dan van particulieren, en het gegeven dat men een bankrekeningnummer van een grote klant dient te wijzigen aan de hand van een allerbelabberdst mailtje naar een nummer in Spanje zou minimaal tot een verificatie hebben moeten leiden.

Als jij van Donald duck een mailtje had gekregen dat je het abonnement voortaan moet overmaken naar een ander nummer dan ben ik van overtuiging dat de rechter waarschijnlijk anders had geoordeeld omdat particulieren een hogere mate van bescherming genieten.
De oplichters zijn slim, en hopen dat je een fout maakt. Met doelgericht phishing of scamming moet je soms heel gedetailleerd controleren en dat is niet voor iedereen zo eenvoudig.

In dit geval is het gebrekkige taalgebruik zeker een rode vlag, maar omdat al de rest wel in orde lijkt te zijn vind ik dat de schuld ook deels bij de andere partij ligt. (Hacked account?)

Ik krijg genoeg mails van mensen hun oud email adres dat gekraakt is. 1 keer zelfs in het Nederlands die onze berichten heeft gelezen en daar verder op inging.
Verder ook een hele goede op facebook.

Ik zou er haast intrappen, laat staan mijn familie die niet zijn opgegroeid met computers en internet.

Ze gaan ver en zijn goed als ze hun huiswerk doen met een gericht doel.
Beetje lastig.
Aan de ene kant wel vrij duidelijk een email die je toch eens moet controleren.
Maar heeft Brabantia aan de andere kant ook geen verantwoordelijkheid voor de inbraak waardoor deze email verstuurd kon worden?
Later bleek dat op het Brabantia-mailadres was ingebroken door de oplichters.

Bijzonder dat Bol verantwoordelijk wordt gehouden voor het feit dat Brabantia de veiligheid niet op orde had. Meer controle had schade gescheeld, maar ben jij opeens aansprakelijk omdat je niet achter alles iets zoekt? Hell, bij sommige bedrijven is de beheersing van het Nederlands gewoon erbarmelijk, dan had dit niet eens een trigger hoeven zijn.
Bol wordt niet verantwoordelijk gehouden voor Brabantia's beveiliging, Bol wordt verantwoordelijk gehouden voor het feit dat ze zélf geld hebben overgemaakt naar de foute rekening naar aanleiding van een mail die zelfs mijn moeder nog verdacht zou hebben genoemd...

En in het Nederlands rechts is er echt op allerlei plekken een onderzoeksplicht. Net zoals je een TV die je voor 100 euro hebt gekocht niet mag houden als het bedrijf die terugvraagt, of zoals je medeplichtig bent aan heling als je producten koopt die van de vrachtwagen gevallen zijn.

[Reactie gewijzigd door NMe op 2 mei 2021 14:28]

Is het niet zo dat Bol.com verantwoordelijk word gehouden van het niet betalen van de facturen. Die moeten ze gewoon betalen. Lijkt mij logisch. Dan moet bol.com maar bij de verzekering aankloppen.
Ik neem trouwens ook aan dat het rekening nummer op elke factuur weer staat. Met een beetje goeie software voor facturen valt zoiets echt wel op.
Klopt, dat bedoelde ik ook. Ik heb ter verduidelijking even mijn post aangepast en toegevoegd dat het niet zo zeer gaat om het overmaken van het geld maar om het overmaken ervan naar de verkeerde rekening. Thanks. :)

[Reactie gewijzigd door NMe op 2 mei 2021 14:29]

Je hebt ook moeders die afkomen met een berichtje dat ik moet helpen om geld over te maken aan mijn zus die vastzit “ergens” en een andere telefoonnummer heeft omdat haar handtas is gestolen.

Mijn eerste vraag aan mijn moeder was: en hoe gaat ze dat geld afhalen zonder pas, en waarom belt ze niet?

Daarna belde ik mijn zus op speaker en was het meteen duidelijk dat het oplichterij is.

Mijn moeder is naïef en het is moeilijk om uzelf in haar schoenen te zetten in zo’n context.
Waarom zou je hier intrappen, waarom is er zoveel geweld in de wereld, waarom blijven we vervuilen, waarom word je boos en reageer je kwetsend tegen iemand dat je lief hebt voor iets onbenulligs,…?
De vraag is wel wat ze bij de inbraak hebben buitgemaakt, enkel opbouw, lettertype, signatures, namen, etc of dat de betreffende mail naar bol.com daadwerkelijk verstuurd is door de gecompromiteerde brabantia systemen (en dus geldige SPF, DKIM, etc had) waardoor de technische echtheid juist was (los van de inhoud)
Het is ook nogal een naïeve en domme werkwijze dat puur met een mailtje je een accountnummer kunt wijzigen. Als ik dat probeer bij mijn bank lukt dat ook niet hoor.

Dus het was wel slecht dat het account bij Brabantia gehackt was, maar email is inherent niet veilig en kun je toch niet dit soort bedragen aan toevertrouwen?!?

Als dit zou mogen is het ook lekker makkelijk oplichten: neem een laag betaalt baantje ergens. Stuur een e-mailtje naar alle klanten met je rekeningnummer en neem ontslag: beetje makkelijk lol
Het is vaak zo dat er een brief of email gestuurd wordt naar de leveranciers waarin staat dat er een nieuw rekeningnummer is.
De rechter kijkt ook naar wat als gebruikelijk in de sector wordt gezien.

Bankrekeningnummers wijzigen door enkel een email is iets wat al jaren bij elke accountant boven het rode vlaggen lijstje staat.

Dus een bedrijf als Bol.com had haar procedures gewoon niet op orde, zeer ondermaats. En daarom is het haar verantwoordelijkheid. Want Bol behoort die kennis gewoon intern te hebben.

[Reactie gewijzigd door Malarky op 2 mei 2021 15:19]

Nou een beetje manager van een nederlands bedrijf had toch bij het lezen van die mail vraagtekens moeten zetten, dat gaat toch wel nog echt een stukje verder dan erbarmelijk, tenzij die manager zelf bv geen nederlander is, maar zelfs dan.
Bol.com heeft dat argument nog wel geprobeerd, maar de rechter heeft het afgeschoten.
Verlangt onzorgvuldigheid aan de kant van Brabantia Netherlands een andere uitkomst?

3.17.
Volgens Bol.com is Brabantia Netherlands onzorgvuldig geweest doordat zij met een gebrekkige beveiliging tegen ‘hacks’ de oplichters de gelegenheid heeft gegeven Bol.com op het verkeerde been te zetten (zie ook 3.4 hiervoor). De rechtbank zal eerst bespreken welke feitelijke argumenten Bol.com in dit verband aanvoert, en daarna ingaan op de vraag of hieraan relevante rechtsgevolgen zijn verbonden en, zo ja, welke.

3.18.
Bol.com verwijt Brabantia Netherlands voor zover van belang het volgende:

( a) Brabantia Netherlands liet een te eenvoudig wachtwoord en/of een te slordige omgang met inloggegevens toe, waardoor de hack mogelijk is geworden.

( b) Brabantia Netherlands had haar e-mailaccounts niet beveiligd met twee-factorauthenticatie (hierna: 2FA). 2FA houdt in dat een gebruiker bij – onder meer – het inloggen naast het invoeren van een wachtwoord nog op een andere manier moet ‘authentiseren’, vaak aan de hand van een cijfercode die op basis van een algoritme is gegenereerd en bijvoorbeeld wordt weergegeven in een applicatie of per sms aan de gebruiker wordt toegestuurd. Had Brabantia wel 2FA binnen haar organisatie geïmplementeerd, dan zou de hack niet hebben plaatsgevonden.

( c) Brabantia Netherlands heeft geen maatregelen genomen tegen het instellen van zogenaamde ‘inboxregels’, die toelaten dat binnendringers binnenkomende berichten ongemerkt automatisch laten verplaatsen of doorsturen. Door het toelaten van een inboxregel met de inhoud dat e-mails ongemerkt aan een extern e-mailadres worden doorgestuurd – en naar de rechtbank begrijpt: ook werden verwijderd of verplaatst binnen de inbox van de oorspronkelijke ontvanger ( [A] ) – heeft Brabantia Netherlands de oplichters de kans gegeven om reacties van Bol.com op de vervalste correspondentie ‘af te vangen’ zodat Brabantia Netherlands daar niets van merkte, aldus Bol.com. Ook dit heeft een succesvolle hack mogelijk gemaakt.

3.19.
De rechtbank stelt bij de behandeling van deze argumenten voorop dat het vanuit maatschappelijk oogpunt wenselijk kan zijn dat een schuldeiser een prikkel heeft tot het nemen van redelijke maatregelen tegen de kans dat een derde de macht krijgt over communicatiemiddelen en gegevens van de schuldeiser en zo een schuldenaar kan oplichten. Onvoldoende zorgvuldigheid aan de zijde van de schuldeiser kan onder omstandigheden rechtsgevolgen hebben. Hiervoor in 3.3 werd al geoordeeld dat het beroep van Bol.com op ‘eigen schuld’ echter niet kan slagen, omdat dat niet kan worden tegengeworpen aan de door Brabantia Netherlands ingestelde vordering tot nakoming. Onder omstandigheden kan onvoldoende zorgvuldigheid aan de zijde van de schuldeiser wel leiden tot aansprakelijkheid op grond van wanprestatie of onrechtmatige daad tegenover de schuldenaar, wat – logischerwijs – een (verrekenbare) (tegen)vordering van de schuldenaar kan opleveren. Die (tegen)vordering betreft dan een vordering tot schadevergoeding, als gevolg waarvan het bepaalde in artikel 6:101 BW (eigen schuld) wel toepassing kan vinden. Dat beroep op eigen schuld komt dan niet toe aan Bol.com, maar aan Brabantia Netherlands als verweer tegen de vordering tot schadevergoeding van Bol.com.

3.20.
Bol.com heeft voor het eerst tijdens de mondelinge behandeling het hiervoor bedoelde verrekeningsverweer gevoerd en in dat verband – mede onder verwijzing naar de in 3.18. genoemde omstandigheden – gesteld dat Brabantia Netherlands in de nakoming van haar verplichtingen jegens Bol.com is tekortgeschoten respectievelijk onrechtmatig heeft gehandeld en aansprakelijk is voor de als gevolg daarvan geleden schade. Doordat dit verweer pas in dit late stadium aan de orde is gekomen, is het partijdebat daarover zeer beperkt geweest en daarom (nog) niet goed te beoordelen. Verder is het zo dat uitsluitend op basis van de door partijen verstrekte informatie over 2FA op dit moment niet geoordeeld kan worden dat Brabantia Netherlands onzorgvuldig/onrechtmatig jegens Bol.com heeft gehandeld doordat zij deze ‘mogelijkheid tot beveiliging’ eind 2019 (nog) niet had geïmplementeerd (zie 3.18. onder (b)). Wellicht was het toen al wel raadzaam om 2FA te gebruiken, maar dat brengt niet zonder meer mee dat Brabantia Netherlands ook een verplichting had daarvan gebruik te maken (in haar contractuele relatie tot Bol.com). Ditzelfde geldt voor het wel of niet nemen van maatregelen tegen het instellen van zogenaamde ‘inboxregels’ (zie 3.18. onder (c)). Ten slotte is vooralsnog door Bol.com onvoldoende concreet gemaakt dat Brabantia Netherlands een te eenvoudig wachtwoord en/of een te slordige omgang met inloggegevens heeft toegelaten (zie 3.18. onder (a)). Bij deze stand van zaken is de conclusie dat de gegrondheid van het verrekeningsverweer van Bol.com in de zin van artikel 6:136 BW niet op een eenvoudige wijze is vast te stellen, zodat de rechtbank daaraan voorbij gaat.
https://uitspraken.rechts...d=ECLI:NL:RBMNE:2021:1528
Wie houdt Bol verantwoordelijk voor het feit dat de Microsoft Office 365 van Brabantia was gehackt?

Het enige dat de uitspraak zegt is dat Brabantia niet moet opdraaien voor de zeer onprofesionele organisatie/procedures van Bol.com.

Bol.com kan nog altijd op andere manieren hun geld proberen terug te halen, naar de politie stappen, de oplichters aanklagen etc...
Ja, dat hebben ze natuurlijk ook. Maar de rechter oordeelt hier dat er te veel alarmsignalen in de email zaten waardoor bol dit had moeten opmerken. Het gebrekkige taalgebruik (Google translate?) alsook het feit dat er ineens een spaans rekening nummer wordt opgegeven voor een Nederlands bedrijf zijn dingen die gewoon een belletje moeten doen rinkelen.
Dus als deze email in netjes Nederland was opgesteld en de wijziging naar een Nederlands rekeningnummer was, zou Bol niet in de fout zijn gegaan?
Ja, omdat er óók een legitiem mailadres van het echte Brabantia was gebruikt (door een of andere vorm van computercriminaliteit). Dan is alles volgens mij normaal ogend, en wat moet je als wederpartij (Bol dus) dan nog meer?

Natuurlijk is het niet de bedoeling, maar als leverancier hoef ik ook geen rekening te houden met bijvoorbeeld interne ruzie bij mijn klant. Als de manager inkoop mijn offerte goedkeurt en later de directeur zegt dat dat niet mocht, dan hebben zij een probleem maar die factuur van mij gaan ze betalen.
"Dan is alles volgens mij normaal ogend, en wat moet je als wederpartij (Bol dus) dan nog meer?"

Tja, dat is wel heel naïef. Email is inherent onveilig. De afzender van een mail kan gewoon vervalst worden. Ieder bedrijf hoort dat te weten. En ieder bedrijf hoort procedures te hebben met solide verificatieprocedures voor fraudegevoelige operaties. Een bankrekening nummer waar op betaald moet worden, is een zeer fraudegevoelig gegeven. Dus een melding van verandering van bankrekening nummer moet altijd als potentieel frauduleus worden behandeld!
Tja, dat is wel heel naïef. Email is inherent onveilig. De afzender van een mail kan gewoon vervalst worden.
In theorie ja. Als je het over kaal SMTP hebt waarbij je helemaal niets hebt ingericht om het veiliger te maken.
Maar wanneer je SPF en liefst DMARC ingericht hebt, dan is dat vervalsen ineens knap moeilijk.
En brabantia heeft DMARC geconfigureerd.

Bol mocht er dus vanuit gaan dat deze email daadwerkelijk van Brabantia af kwam. En dat blijkt in werkelijkheid ook zo te zijn geweest.
Zelfs als de e-mail van Brabantia zou komen, is dat onvoldoende. Een betalingsregeling is zeer fraudegevoelig en niet iedereen met een e-mail adres bij Brabantia is gerechtigd om in dit soort zaken Brabantia wettig te vertegenwoordigen. Je betaalt niet op een andere rekening (in een ander land!) omdat Pietje Puk dat vraagt. Best staan rekeningnummers overigens in contractuele documenten en kan een aanpassing alleen via een wijziging van het contract.

Het is gewoon onvergeeflijk dat er geen enkele procedure lijkt te zijn bij bol.com om dit soort fraude tegen te gaan.

[Reactie gewijzigd door Myaimistrue op 2 mei 2021 16:45]

Zelfs als de e-mail van Brabantia zou komen, is dat onvoldoende
Prima als je dat vind, maar dan heeft het dus geen zier met de vermeende onveiligheid van email te maken en dan moet je de discussie niet vertroebelen door daar over te beginnen.

Dan zeg je dus: het maakt niet uit dat je 100% zeker weet dat de mail van Brabantie af kwam. Je kunt dat niet vertrouwen.
en niet iedereen met een e-mail adres bij Brabantia is gerechtigd om in dit soort zaken Brabantia wettig te vertegenwoordigen
Is vastgesteld dat de persoon uit wiens naam die email was verstuurd niet gerechtigd was om in dit soort zaken Brabantie wettig te vertegenwoordigen?
Het is gewoon onvergeeflijk dat er geen enkele procedure lijkt te zijn bij bol.com om dit soort fraude tegen te gaan.
Ik ben benieuwd hoeveel procedures daadwerkelijk afdoende zijn als het account van de contact persoon is gehacked. Ik denk dat dat vies tegen valt.
Nee, een telefoontje (en niet één naar het nummer in de mail) als verificatie had reeds ruimschoots volstaan in dit geval. Maar een goede procedure voor een dergelijke zeer fraudegevoelige wijziging zou inderdaad zelfs nog iets uitgebreider moeten zijn. Er moeten verschillende controlemaatregelen zijn en je moet bvb ook aandacht hebben voor mogelijke fraude vanuit de eigen organisatie.

Een goede maatregel is overigens om ook contractueel vast te leggen waar er betaald moet worden en eventueel ook het proces voor het wijzigen ervan vast te leggen.

Bol.com komt hier uit als een grote bende amateurs. Ze gaan blijkbaar in fraudegevoelige processen simpelweg uit van de fundamentele goedheid van de mens.

Ik ben er vrij zeker van dat als het e-mail adres niet gehackt was, maar vervalst, of als de mail van een niet-gerechtigd persoon of e-mail adres zou komen, het probleem ook was voorgevallen.

Dit soort fraude is tegenwoordig vrij algemeen: ongeveer elk bedrijf krijgt op een bepaald moment te maken met (poging tot) dit soort fraude.

[Reactie gewijzigd door Myaimistrue op 3 mei 2021 14:14]

Nee hoor, vervalsen is nog altijd poepsimpel. SPF, DKIM, DMARC zijn leuk, maar de ontvanger moet er nog altijd iets mee doen. Je kan alles goed geconfigureerd hebben, als de ontvangende kant het niet controleert dan heb je er niets aan.

Waar de mail vandaan kwam staat ook niet ter discussie trouwens. Wel of Bol deze, gezien de inhoud, zomaar mocht vertrouwen of dat ze beter hadden moeten weten.
En de ontvanger is Bol en die weten dus of ze het controleren of niet.

Of Bol op basis van de inhoud de mail mocht vertrouwen is een volledig ander punt van discussie.
Ik heb het er hier alleen over dat de stelling dat email per definitie super onveilig is niet klopt.

Dat tweede punt is een lastige.
Op basis van de inhoud mag je er vanuit gaan dat Bol navraag gaat doen.
Maar moet je er ook vanuit gaan dat het account van de andere partij gehacked is? Of is het niet zo vreemd dat de ontvanger dacht dat die mail niet van Brabantie af zou komen en het even dubbel checkte op het mailadres?

Als voormalig mail architect is mij duidelijk dat ze konden constateren dat die email daadwerkelijk van Brabantia af kwam. Maar zoals je hier al kunt zien is dat ook voor veel tweakers niet duidelijk.
En als je denkt dat de mail een valse afzender heeft dan is het helemaal niet raar om een mail naar de "echte" afzender te sturen om de boel te bevestigen.
Arnoud, als je werkzaam bent in de sector (risk management, accountancy, ap) dan weet je wel dat dit belachelijk slecht geimplementeerd is door Bol.

Rekeningnummers enkel via email laten aanpassen is voor accountants al jaren een grote red flag bij hun klanten.

Zeker bij een bedrijf met de omvang van Bol, die hadden zoveel beter moeten weten.
Ik zie het buitengewoon vaak gebeuren (ook bij mijn bedrijf, ook van onze grote klanten) dus kennelijk is er toch een breed gedragen gevoel onder finance-afdelingen dat je gewoon een mail stuurt met de nieuwe IBAN. Juist omdat het niet vaak voorkomt, zijn er geen procedures voor denk ik.

Vorige week nog een grote klant (500+ medewerkers) die me een mail stuurt dat mijn contract met hun omgezet wordt naar hun Luxemburgse zuster-bv vanwege de btw-stroom en dat ze me voortaan betalen vanaf een Luxemburgse bank. Ja, gewoon in een e-mail met "geachte relatie gelieve de bijlage te lezen" en dan een ongevraagde pdf. Natuurlijk bel ik dan even, en de reactie "Huh die mail komt toch van ons, waarom belt u" verraste me helemaal niets.
Ik ben afkomstig van een big 4 (IT risk management) en zelfs in de trainingen voor onze junioren en op de gang op kantoor wordt dit risico regelmatig benoemd.

En dan zijn wij hier als IT controleurs lang niet eens altijd direct bij betrokken, maar door met name het grote aantal fraude gevallen op dit gebied, ook in Nederland, wordt dit als common sense gezien.

In media zoals FD is fraude hierop al vaak beschreven. Bij een organisatie als Bol met stevige senior 1e en 2e lijn functies mag je dan controls hierop verwachten. Die stevige salarissen op deze verantwoordelijke functies bij deze grote bedrijven brengen immers ook met zich mee dat je de belangrijkste (fraude en risico) trends uit je vakgebied kent.

Nu zien ook accountants regelmatig obvious fraude over het hoofd, dus volledige zekerheid koop je er niet voor, maar het is wel sterk verwijtbaar zoals de rechter ook terecht stelt.

En ach er zijn ook u nog genoeg grotere organisaties die dan toch weer wachtwoorden (zo goed) als plain text opslaan blijkt achteraf uit hacks. Ook daarvan mogen we stellen dat ze zoveel beter zouden moeten weten in 2021.

Ondanks dat het regelmatig gebeurd…

Ander voorbeeld: ransomware, absoluut gezien treft het niet zoveel organisaties, maar de impact is groot en de media aandacht is immens geweest afgelopen jaren. Als security officers bij grote organisaties het topic “ransomware” nooit op hun agenda hebben gehad zijn ze hun senior salaris toch ook niet waard.

[Reactie gewijzigd door Malarky op 3 mei 2021 19:56]

Daar ben ik het niet mee eens. Mede door de vele BEC-scams (Business Email Compromise) is alleen e-mail een veel te onbetrouwbaar communicatiemiddel.

Wat hier ontbreekt zijn doordachte procedures tussen en binnen organisaties, waarin ook moet zijn opgenomen wat te doen bij afwijkingen. Het ontbreken daarvan kan m.i. beide partijen worden aangerekend, maar in elk geval had bol.com kunnen en moeten weten dat alleen 1 of enkele mailtjes onvoldoende zijn om een rekeningnummer (waar je geld naar toe stuurt) te wijzigen - los van of deze in gebrekkig Nederlands zijn opgesteld of niet.

Overigens verwijs ik vanuit deze security.nl post naar de bijdrage van Chris_147 en met name jouw antwoord daarop.
Je kunt uit de uitspraak afleiden dat het dan lastiger had gelegen, niet dat Bol dan niet fout had gezeten.
Dan zou bol ws wel de fout in zijn gegaan, maar dan hadden ze daar ws wel mee weg kunnen komen. Gewoon om dat ze dan aantoonbaar te goeder trouw hebben gehandeld.

Nog steeds zouden dit soort wijzigingen altijd via een protocol moeten (kennelijk heeft bol die niet op orde) waarbij verificatie altijd gebeurd ook al is het wel valide.

Nu is het gewoon echt serieus dom.
Vermoedelijk wel. Bol beweerd dat zij ter goeder trouw hebben gehandeld maar de rechter geeft aan dat er te veel onregelmatigheden waren om in dit geval gewoon maar het nummer aan te passen.
3.7.

Bol.com doet een beroep op artikel 6:34 lid 1 BW, dat onder omstandigheden een betaling aan de verkeerde als een bevrijdende betaling aanmerkt (zie ook 3.3). In deze bepaling staat het volgende: ‘De schuldenaar die heeft betaald aan iemand die niet bevoegd was de betaling te ontvangen, kan aan degene aan wie betaald moest worden, tegenwerpen dat hij bevrijdend heeft betaald, indien hij op redelijke gronden heeft aangenomen dat de ontvanger der betaling als schuldeiser tot de prestatie gerechtigd was of dat uit anderen hoofde aan hem moest worden betaald.’
3.12.

In dit geval leidt dat tot het volgende. Bol.com doet een beroep op de in 2.3 genoemde vervalste e-mail en de brief van 25 november 2019, waarin Bol.com ogenschijnlijk door directeuren van Brabantia Netherlands wordt verzocht het rekeningnummer van Brabantia Netherlands in haar administratie/systemen aan te passen (hierna: de vervalste e-mail, de vervalste brief en gezamenlijk de vervalste correspondentie). Bol.com meende dat zij aan het opgegeven rekeningnummer moest betalen. Bol.com schrijft het volgende over hoe haar medewerkers te werk zijn gegaan (CvA, nr. 19): ‘Zij hebben bij hun controle juist gekeken naar objectieve gegevens, waaronder of het bericht afkomstig is van het bij bol.com bekende e-mailadres van Brabantia, of de brief er goed uit zag (qua lay-out en opmaak) en of er handtekeningen onder de brief stonden. Uit deze objectieve verificaties bleken geen onregelmatigheden. Beide personen is dan ook niets opgevallen aan de e-mails die afkomstig waren van Brabantia en het verzoek van Brabantia om het rekeningnummer te wijzigen is dan ook goedgekeurd door de twee medewerkers.’ Volgens Bol.com kon van haar niet meer worden verlangd.
3.13.

De rechtbank oordeelt anders. Terecht heeft Brabantia Netherlands aangevoerd dat de vervalste correspondentie aanleiding zou moeten geven tot twijfel en tot navraag door Bol.com, om de volgende redenen, in onderlinge samenhang:

( a) Voorop wordt gesteld dat verzoeken om het wijzigen van rekeningnummers een aantrekkelijke ingang kan bieden voor oplichters en dat Bol.com dat moest begrijpen. De gevolgen van het ten onrechte doorvoeren van zo’n wijziging kunnen bovendien groot zijn. Met het vervalsen van zo’n verzoek kunnen immers betalingen worden ‘afgevangen’, die een grote omvang kunnen hebben. Een schuldenaar zal tegelijkertijd tegen relatief geringe kosten kunnen controleren of het verzoek inderdaad van de schuldeiser afkomt. Dat kan zij onder meer doen door bijvoorbeeld telefonisch navraag te doen bij het haar (onafhankelijk van de brief) bekende telefoonnummer. Onder dergelijke omstandigheden is een bovengemiddelde zorgvuldigheid aan de zijde van de ontvanger van een dergelijk verzoek doelmatig en wordt deze ook verlangd.

( b) In de brief wordt verzocht een Spaans rekeningnummer te registreren. Naar het oordeel van de rechtbank had dat al moeten leiden tot gezonde argwaan. Dit roept namelijk vragen op: waarom zou een in Nederland gevestigde onderneming alle betalingen van een andere in Nederland gevestigde onderneming willen ontvangen op een Spaanse bankrekening? Dat is in ieder geval op het eerste oog merkwaardig. De door Bol.com ingeroepen omstandigheid dat het wel vaker voorkomt dat in Nederland gevestigde ondernemingen filialen of dochterbedrijven in het buitenland hebben met een eigen rekeningnummer, doet daaraan niet af. Dat geldt ook voor de door Bol.com gestelde omstandigheid dat, naar de rechtbank begrijpt, het Brabantia-concern ook daadwerkelijk een Spaans filiaal heeft en over een Spaanse bankrekening beschikt. Voor het houden van buitenlandse bankrekeningen en het ontvangen van betalingen in het buitenland door Nederlandse ondernemingen kunnen wellicht goede redenen bestaan, maar dat betekent niet dat Bol.com die goede redenen in de gegeven context zonder nader onderzoek mocht veronderstellen. De rechtbank roept daarbij in herinnering dat het niet erom gaat of de vervalste correspondentie juist zou kunnen zijn, maar of er reden was tot twijfel en nader onderzoek. Ook het gegeven dat de brief vermeldt dat het daarin opgegeven rekeningnummer ten name van ‘BRABANTIA International BV’ is gesteld, brengt niet mee dat Bol.com niet behoefde te twijfelen. Bol.com heeft overigens ook niet gesteld en het is ook niet gebleken dat deze tenaamstelling juist was, noch dat Bol.com heeft getracht daar onderzoek naar te doen.

( c) Ook het taalgebruik in de vervalste brief moest opvallen. Brabantia Netherlands heeft om te beginnen onweersproken gesteld dat tussen partijen al jarenlang uitsluitend in het Nederlands werd gecommuniceerd. Het plotselinge gebruik van de Engelse taal door – zo werd voorgespiegeld – Nederlandse directeuren valt onmiddellijk op en moest in samenhang met het voorgaande aanleiding geven voor een meer zorgvuldige lezing van de inhoud van de brief. Wat dan opvalt is dat het taalgebruik niet alleen op onderdelen gebrekkig is, maar ook dat het (zeer) atypisch is. De brief bevat merkwaardige frases die niet worden verklaard door uitsluitend een slordige omgang met de taal. De brief bevat onder meer een opvallende vermenging van Nederlands en Engels die ook in een commerciële context als afwijkend moet worden aangemerkt. In de brief staat bijvoorbeeld:

‘Tav: Account te betalen/Attn: Account Payable

Geachte heer mevrouw,

Houd he rekening mee dat we vanaf vandaag een wijziging in onze bankrekeninggegevens hebben voor incaende betalingen.

Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje.

We het op prijs as u uw gegevens kunt bijwerken.’

Naar het oordeel van de rechtbank moesten verschillende aspecten uit deze passage, in onderlinge samenhang, Bol.com ernstig aan het twijfelen brengen. Om te beginnen bevat deze merkwaardige fouten als ‘Houd he [?] rekening mee’ en de frase ‘een wijziging in onze bankrekeninggegevens hebben voor incaende [?] betalingen’, waarbij ‘incaende’ meer dan een gewone typefout lijkt. Bovenal roept de frase ‘moten all incoming betalingen have been overgemaakt’ onmiddellijk grote vraagtekens op, zelfs als een zekere mate van gebrekkig taalgebruik of een overmatig gebruik van het Engels voor lief wordt genomen. Bol.com moest begrijpen dat dergelijke frases praktisch niet van directeuren van Brabantia Netherlands afkomstig kunnen zijn of door hen kunnen zijn goedgekeurd. Dat met de daarop volgende Engelstalige passage ‘niets mis is’, zoals Bol.com benadrukt, doet hier niet aan af, nog afgezien van het feit dat het gebruik van de Engelse taal in deze context op zich zelf al tot twijfel had moeten leiden.
Lijkt me goed denkbaar ja.
De taalfouten zijn natuurlijk een grote red flag, maar aangezien Brabantia ook een vestiging heeft in Spanje, is de wijziging naar een spaans rekeningnummer naar mijn idee weer minder verdacht.
Ik had zelf zeker gebeld als ik zie dat een dergelijke slecht opgestelde mail wel afkomstig is van een echt email adres. Kleine moeite om grote gevolgen uit te sluiten.
Waarom zou een Nederlands bedrijf voor betalingen van een Nederlands bedrijf een buitenlands nummer gebruiken? Kost alleen maar bank kosten.

De rechter snapt het ook niet en bol.com kan het ook niet uitleggen.
lol. Doodsimpele oplossing is natuurlijk om in het proces van rekeningwijzigingen een belletje te plegen met het bedrijf, of zelfs gewoon een mailtje te sturen naar de andere kant, voor je het verandert. Niets moeilijks aan, zou je denken, en de personeelskosten meer dan waard...

Maar nee hoor, Brabantia zou het probleem zijn ipv bols proces.

[Reactie gewijzigd door foppe-jan op 2 mei 2021 13:52]

Bol heeft ook teruggemaild naar het zelfde emailadres, deze berichten zijn verplaatst naar een RSS map door de criminelen waardoor ze niet opvielen dmv automatische regels. Dus telefonische verificatie lijkt dan het enige alternatief.
Maar Bol heeft nooit de vraag gesteld of de aanpassing wel correct was. Enkel een bevestiging dat het is aangepast, die door de hackers naar een folder werd verplaatst door een inboxrule.
Ook kan men voor extra controle gewoon een brief sturen. Bellen, een brief sturen en wachten op bevestiging. Als men dat had gedaan, dan was dit niet mogelijk geweest.
Volgens andere info hier is er een reply teruggegaan. Dat heeft natuurlijk geen enkele zin, want als het mailtje verdacht is dan is dat adres waarschijnlijk ge-hacked. Zoals andere mensen al opperden, een belletje plegen is dan de oplossing. Hoewel: de medewerker die zo dom was om dit te doen had daar waarschijnlijk het telefoonnummer in het mailtje voor gebruikt :|

Tegenwoordig verwachten veel mail servers sowieso versleutelde communicatie (TLS of StartTLS met de bijbehorende PKI voor authenticatie) hoewel de configuratie hiervan meestal zoveel toestaat dat het weinig toevoegt.
Als bol het had overgemaakt na het een mailtje wat niet van hun server afkwam, maar van exchange online, was het dan wel ok?

Je controleert altijd je info. Mailservers zijn software en kunnen simpelweg gehacked e.d. worden. Zelfs bij grove nalatigheid kan je ze niet aansprakelijk stellen voor het domweg overmaken van geld.

Je mag ze wat mij betreft wél aansprakelijk stellen voor het uitvoeren of faciliteren van digitale fraude (oid).
Sinds wanneer is ‘een geldig emailadres’ reden om aan te nemen dat een e-mail goed is? We weten allemaal, inclusief niet it-ers, dat een mailadres net als een postafzender in 2 tellen te faken is?
Dat vergeet maar.

Een keer 'intern' testje gemaild (kijken of men erin zou trappen) opmaak zo slecht, in de mail url klopt niet, klik je erop en die url verwijst weer door naar een andere url. Als iets met als afzender bedrijfsnaam@bedrijfnaaminfo.info

Kortom je ziet aan alles dat het niet van de organisatie zelf is en dus fake / spam / phishing is.

Van de 250 adressen, ongeveer 140 medewerkers op de link geklikt van die ongeveer 140 mensen hebben ruim 80 mensen zijn zonder pardon gebruikersnaam en wachtwoord ingevuld. Kortom 80 accounts kunnen nu worden misbruikt.

Daarna een mail rond gestuurd dat er phishing mail is gestuurd en even melden dat je je account gegevens had ingevuld (normaal zou je gewoon alle accounts resetten aangezien je niet weet wie wat heeft ingevuld) maar dit was ook een test wie het zou melden dat die ook gegevens heeft ingevuld, slechts 5 van de ongeveer 80 mensen hadden het gemeld. Die andere 75 hebben het account uitgezet pas toen gingen ze zich melden dat ze niet meer verder konden werken. Reactie: Oh ja ik heb die mail niet goed gelezen / meteen weggegooid.

[Reactie gewijzigd door RobbyTown op 2 mei 2021 15:06]

Dit was niet "men heeft smtp headers gefaked", er is ingebroken op de mailbox van een Brabantia-medewerker en vanaf daar gemaild. Brabantia heeft keurig DMARC aan staan, dus iedere technische validatie had deze mail als "echt van Brabantia" aangemerkt. Replies kwamen ook aan, maar gingen met een sluwe filterregel naar de map "RSS Feeds" waar normaal geen hond kijkt.

Als de aanvaller perfect Nederlands had geschreven dan weet ik niet hoe Bol.com dit had moeten merken, laat staan of ze dan aan de bel hadden moeten trekken.
Maar als ik brabantia.org, brabantia.biz of brabantla.com registreer (zo te zien allemaal beschikbaar) dan kan ik vanaf zo'n domein e-mails sturen waarbij ik eenvoudig SPF, DKIM en DMARC kan laten kloppen. En natuurlijk de mails zelf exact in de stijl van echte Brabantia mails vormgeven (en wel in fatsoenlijk Nederlands schrijven).

Bovendien waren (zijn?) er niet-waterdichte DMARC implementaties (bij meer dan 1 afzender raakte de door Protonmail gebruikte DMARC implementatie in de war).

Daarnaast is het de vraag of de bol.com medewerker het SMTP afzenderadres controleert, en er bestaan trucs waardoor Outlook die niet toont.

De meeste mensen denken wellicht dat zij de authenticiteit van e-mails prima kunnen vaststellen, maar in de praktijk is dat zelden het geval.

"Kale" e-mail (zonder digitale handtekening) is veel te onbetrouwbaar. En zelfs met digitale handtekening zul je goede afspraken moeten maken, o.a. over welke keys vertrouwd worden en wat te doen als je ineens een unsigned mail ontvangt.
Dat kan zijn, maar dat zijn dan geen echte mails afkomstig van Brabantia. Deze mail was dat wel: als een crimineel vanuit de mailbox van een werknemer mailt, dan is die mail 'echt' in alle technische betekenissen van dat woord. Oftewel dan kan een ontvanger zoals bol.com daar met geen technisch middel zich tegen verweren. Bij een .org of spelfoutdomein kan het systeem nog zeggen "deze staat niet in ons CRM" bijvoorbeeld.
Oftewel dan kan een ontvanger zoals bol.com daar met geen technisch middel zich tegen verweren.
Daar heb je gelijk in.

Echter, als iemand met een Indiaas accent jou opbelt, zegt namens Microsoft support te bellen en vertelt dat er een virus op jouw computer zit, ga jij dan ook op zijn aanwijzingen Teamviewer o.i.d. installeren?

Vergelijkbaar: BEC-scams zijn aan de orde van de dag (niet sinds gisteren). Bol.com had kunnen en m.i. moeten weten (een degelijke risico-analyse had dit risico aan het licht moeten brengen) dat cybercriminelen dit soort (menselijke) kwetsbaarheden misbruiken, juist op plaatsen waar veel geld wordt overgemaakt. En dus had moeten dubbel-checken.

Je kunt niet alles met techniek oplossen; goede afspraken tussen partijen en procedures binnen organisaties zijn noodzakelijk om dit soort aanvallen af te slaan. Als die afspraken niet bestaan zijn m.i. beide partijen daar verantwoordelijk en dus aansprakelijk voor.
Dat klopt, en daarom zegt de rechter ook: volledig Bol.com haar rekening en risico dat ze de oplichters betaalde.

Ik had het over de situatie dat de mail perfect Nederlands zou zijn. Omdat deze dus echt afkomstig was van een Brabantia-adres, had Bol dan geen signaal gehad waardoor ze argwanend had moeten zijn. Dan heb je dus een legitiem lijkende mail, écht van Brabantia en alle omstandigheden zoals altijd. Dan is de stellng dat Bol tóch had moeten bellen voor mij minder vanzelfsprekend. Achteraf kun je altijd wel zeggen dat je extra had moeten opletten, maar is dat vooraf wel redelijk?
Ik had het over de situatie dat de mail perfect Nederlands zou zijn.
Wellicht was ik niet duidelijk genoeg, maar ik ook. Er zijn ook criminelen die de Nederlandse taal goed beheersen.
Achteraf kun je altijd wel zeggen dat je extra had moeten opletten, maar is dat vooraf wel redelijk?
Een gewaarschuwd mens telt voor twee.

Als je had kunnen, en bij een organisatie van het type bol.com had moeten weten, dat BEC-scams/CEO-fraud aan de orde van de dag zijn (naast als echt herkende fake mails vanaf een andere server - met hetzelfde risico voor bol.com), m.i. wel.

En dit los je niet op met "opletten", maar met gemaakte procedures en afspraken (die worden nagekomen) voor het dubbel-checken.

Maar we gaan het niet eens worden vrees ik.

Aanvulling: dank voor jouw antwoorden (al dan niet "advocaat van de duivel" spelend ;-), je hebt me er volledig van overtuigd dat dit een risico is dat organisaties moeten mitigeren.

[Reactie gewijzigd door ErikvanStraten op 4 mei 2021 12:09]

Sorry hoor, maar als de mail server van Brabantia is gehacked, is dit geen fout van Bol.
Rechter heeft blijkbaar geen benul van dat dit een fout is van Brabantia, hun mail server was gehacked, en het is dus niet afkomstig van een of andere mail server die los staat van Brabantia.
Zodoende, zou ik eigenlijk zeggen, dikke pech voor Brabantia, ze moeten hun shit ook op orde hebben dan.

[Edit] Schijnbaar zijn er mensen hier van mening dat wanneer jij zelf een server host, blijkbaar andere partijen verantwoordelijk zijn als jouw eigen server gehacked wordt, en in naam van jou dingen stuurt. Beetje vaag dat mensen dit zo vinden... Apart...

[Reactie gewijzigd door Power2All op 2 mei 2021 18:48]

Uit het verslag:

"De hack heeft plaatsgevonden in de ‘cloud’ (via Microsoft Office 365) en niet op enige PC of laptop van Brabantia Netherlands die in gebruik was bij [A] of andere medewerker van Brabantia Netherlands."

Zou uit verder onderzoek of meer info moeten blijken of Brabantia hierin wat te verwijten valt, het blijkt niet uit het rechtbankverslag.
Er is geoordeeld dat BOL tekort is geschoten omdat zij geen extra controle heeft uitgevoerd. Ongeacht waar en hoe simpel de hack geweest kan zijn had BOL nooit het rekeningnummer moeten wijzigen aan de hand van slechts deze E-mail.

Aangezien beveiliging nooit 100% is.
Er voordien uitsluitend in het Nederlands werd gecommuniceerd. En nooit in uiterst gebrekkig Nederlands met Engels erdoorheen en zelfs niet bestaande woorden.
Het op zijn minst opmerkzaam is dat Brabantia het geld naar Spanje zou willen hebben.
Brabantia niet wist van de hack.
Email-adressen nooit betrouwbaar zijn.
BOL geen enkele controle uitvoerde en het geld naar een derde partij overmaakte.

Geef ik de rechter groot gelijk inzet oordeel dat BOL de nog steeds openstaande rekening gewoon moet voldoen.
Er is geoordeeld dat BOL tekort is geschoten omdat zij geen extra controle heeft uitgevoerd. Ongeacht waar en hoe simpel de hack geweest kan zijn had BOL nooit het rekeningnummer moeten wijzigen aan de hand van slechts deze E-mail.
Dat zal vast, maar als ze dat niet aangepast hebben, kan dat ook gezeik veroorzaken.
Voor hetzelfde geldt is het veranderd, omdat iemand die bankrekening misbruikt, of om wat voor reden dan ook. Ik zou als bedrijf niet blij zijn als mijn bank wijziging niet doorgevoerd zou worden.
Aangezien beveiliging nooit 100% is.
Er voordien uitsluitend in het Nederlands werd gecommuniceerd. En nooit in uiterst gebrekkig Nederlands met Engels erdoorheen en zelfs niet bestaande woorden.
Dat doet er niet toe, ik heb ook wel eens klanten en/of werkgevers/werknemers gehad die sowieso slecht waren in het Nederlands. Doet er niet toe hoe het geschreven is, de email was volgens mij wel degelijk tegen een checklist gehangen, en is afkomstig direct van hun systemen, zij zijn ook verantwoordelijk voor de email die ze verstuurd hebben (in dit geval niet door hunzelf, maar wel via hun route), of beveiliging goed of slecht was.
Het op zijn minst opmerkzaam is dat Brabantia het geld naar Spanje zou willen hebben.
Brabantia niet wist van de hack.
Email-adressen nooit betrouwbaar zijn.
Oh het kan heel betrouwbaar zijn, maar als de beveiliging van Brabantia's servers niet op orde zijn, dan vind ik dat eigenlijk schadelijker dan wat er gebeurd was. Hoe kun je Brabantia nog vertrouwen, als ze hun eigen gehackte servers als een non-issue aangeven en BOL de schuld in de schoenen schuift ? Absurd...

[Reactie gewijzigd door Power2All op 2 mei 2021 21:17]

Als jij niet blij wordt als zo'n mail niet opgevolgd wordt, dan wordt jij dus wel blij als zo'n meertalig wangedrocht wel wordt opgevolgd.. bizar... nu heeft de klant hier ruim voldoende geld voorhanden, de volgende keer is het iemand die het geld niet nog een keer kan ophoesten, zit jij met de gebakken peren omdat een ander het vertikt om even een simpel telefoontje uit te voeren ter controle

Natuurlijk doet dat er wel toe, afwijkingen in de communicatie omtrent dit soort onderwerpen dienen aanleiding te zijn om verificatie van de opdracht uit te voeren. Dat jij klanten hebt gehad die niet zo goed in Nederlands zijn doet er niet want hier gaat het om een klant die altijd duidelijk in het Nederlands heeft gecommuniceerd en nu komt er een mailtje met slecht Nederlands, slecht Engels en zelfs niet bestaande woorden, en dat vindt jij dan prima??

Email betrouwbaar genoeg om tonnen of miljoenen maar over te maken naar een buitenlandse rekening? Dan heb jij duidelijk meer vertrouwen in email dan ik. En hoezo hun eigen servers? Zij nemen een cloud service af bij microsoft.

Misschien moet je het verslag even lezen.
Dat is wel heel erg simpel. Er wordt in de Nederlandse wetgeving van iedereen verwacht dat ze nadenken. Als jij bijvoorbeeld een vrijwel nieuwe fiets op straat aangeboden krijgt voor 25 euro, dan ben je schuldig aan heling. Als huizenkoper heb je ook een onderzoeksplicht en bij klachten over het gekochte huis wordt altijd eerst gekeken of je zelf wel voldoende hebt gedaan. Met andere woorden: als je domme dingen doet ben je verantwoordelijk. Bol.com, of in ieder geval de financiele afdeling, heeft zijn zaakjes niet op orde en als daardoor financiele schade ontstaat bij een partner, dan zijn ze daar ook gewoon verantwoordelijk voor.
Er zit een groot verschil met de voorbeelden die jij aanhaalt.
Jij biedt een fiets aan bij mij, maar als eerste ga ik controleren of de fiets een code bevat (alle fietsen e.d. hebben een identificatie nummer), waarmee je kan controleren of de fiets gestolen is of niet.
Datzelfde geldt ook als je een email krijgt van iemand, je controleert waar het afkomstig van is (sowieso, standaard tegenwoordig SPF/DKIM check geeft vaak aan als iemand probeert te spoofen).
Dat de mail server van Brabantia is gehacked, kan BOL natuurlijk niet ruiken, en is ook niet hun verantwoording of hun mail server compromiteerd is of niet, beetje de omgekeerde wereld he ?

Dat BOL beter de mail had moeten controleren op afwijkingen, prima, kan ik mee akkoord gaan, maar is het dan de volledige fout van BOL ? Nee. Integendeel, de rechter heeft een boel dingen geskipped waaruit kan blijken dat BOL totaal niet fout zat. Geen 2FA ? (Dat heb je tegenwoordig bij de mail servers) Hoe is de hack tot stand gekomen ? Wie is er verantwoordelijk voor de mail server administratie ? etc...
Lijkt er wel op alsof de rechter geen zin had om dieper in de materie te gaan dan noodzakelijk...

[Reactie gewijzigd door Power2All op 2 mei 2021 18:44]

Die code van een fiets is leuk, maar in een binnenstad is het niet vreemd dat die fiets pas 5 minuten geleden is gejat.
Er moeten honderden alarmbellen afgaan wanneer het om zulke bedragen gaat. Nu is het bij bol.com waarschijnlijk normaal dit soort bedragen. Maar als je van een niet fatsoenlijk Nederlands mailtje dit soort dingen kunt uithalen, dan is bol.com zelf verantwoordelijk
Natuurlijk heeft bol.com hier niet zorgvuldig gehandeld, tegelijkertijd hebben ze de wijziging in bankrekeningnummer bevestigd. Het feit dat de hackende partij deze mails onderscheppen in de mailbox van Brabantia zou wat mij betreft niet relevant moeten zijn en alleen het probleem van Brabantia.

Ik vind het vreemd dat de complete kosten inclusief proces ten laste komen van bol.com. Mede door dat Brabantia ook verwijtbaar is voor slechte beveiliging. Delen van de kosten 50/50 lijkt me eerlijker.
Ik vraag me vooral af waar we nu de grens gaan leggen?

Is het nou aan rechters om case-by-case te bepalen welke email opvallend is en welke niet?
Wat verwacht je dan, wetgeving die zwart op wit gaat bepalen hoe het moet?
Dat is natuurlijk altijd zo met rechtspraak. De uitslag is situatie specifiek.

Als ik zo snel door de uitspraak loop zie ik zo snel niets in relatie tot contractuele afspraken omtrent vastleggen van bankrekening of andere gegevens.

Brabantia zou wat mij betreft sterker staan als ze duidelijk contractueel hebben afgesproken dat wijzigingen in gegevens of betalingsvoorwaarden altijd conform methode X verlopen.
Nu leg je het risico bij Bol.com om te interpreteren of zaken 'juist' zijn doorgegeven door Brabantia.

Als het puur alleen o.b.v. de ontvangen mail was, stond bol.com zwak vanwege slechte taalgebruik. Maar na een bevestiging vanuit hun kant, begint probleem wat mij betreft eerder bij Brabantia te liggen. Helaas denkt rechter er anders over.
Waarom zou je het contractueel vastleggen? Er zijn 2 standaard boekhoudmethodes in omloop ('normale' boekhouding en voor grotere bedrijven een aparte methode), bij beide methodes is het standaard (dat wordt in het algemeen bij het inwerken je ook aangeleerd als je nieuw bent zonder werkervaring) dat als er een verdachte wijziging is of er iets anders niet klopt, je een alternatieve contactmethode (normaal gesproken is die beschikbaar) gebruikt om met de leverancier of klant contact op te nemen.

En het is apart dat Brabantia de hack niet heeft opgemerkt, maar na een zo'n opvallende brief qua taal, stijl, verwachte responsetijd etc had iemand bij Bol moeten zeggen van 'Er is een mogelijk probleem, even contact opnemen'. Dit kan je niet wijten aan 'niet wakker zijn' of dat soort dingen wat soms fouten kan veroorzaken - deze communicatiestijl is daar te apart, zakelijk gezien veel te afwijkend voor. Zelfs een 'bevestiging' via de mail veranderd daar niks aan.

Bij een kleine leverancier (maximaal 10.000 euro waarde inkoop per maand) kan je zoiets misschien nog verwachten. Bij een groot bedrijf zoals Brabantia? Als daar ooit werkelijk zo gecommuniceerd zou gaan worden via officiele mails, dan zou ik theoretisch al mijn spaargeld verliezen. Deze mail breekt alle zakelijke conventies.
Het verweer van bol.com over zorgvuldige beveiliging slaagt bij de rechter niet (zie punten 3.17 t/m 3.20). De rechter vindt gewoon dat je argwanender moet zijn als er opeens een ander rekeningnummer gebruikt moet worden.

En omdat de rechter nergens meegaat in de argumentatie van bol.com en vrijwel overal meegaat in de argumentatie van Brabantia is het oordeel heel simpel: 100/0.
Ik ben benieuwd wat bol.com dan wel moet doen.
Blijkbaar is een mail niet voldoende.
Vaak vragen bedrijven om een brief ondertekend of een bankafschrift kopie, maar dat is zeer gemakkelijk in de frauderen.
Bellen zou ook kunnen, maar kan je dan 100% zeker zijn dat nummer niet is doorgeschakeld?
Rechter legt zo wel heel snel de volledige verantwoordelijk bij Bol.
De juridische argumentatie is anders. Het is niet de vraag of er 750.000 verschuldigd is, maar of bol.com deze "bevrijdend" betaalt heeft.

De enige vraag die dan relevant is, is of bol.com uit mocht gaan van de gekraakte communicatie van Brabantia. Nee dus, alle alarmbellen hadden moeten afgaan. Er is dus niet betaald, dus volledige bedrag moet worden nagekomen.

Verder blijkt uit het vonnis dat bol.com heel laat in het proces nog geprobeerd heeft om dan te verrekenen met een mogelijke schadevergoeding die Brabantia a.g.v. haar onzorgvuldigheid verschuldigd zou zijn. Dit argument vindt de rechter onvoldoende uitgewerkt en te licht.
Nee, maar als je via 2 manieren contact hebt gehad, telefonisch en via email, heb je al een stuk meer gedaan om te verifieren dat het echt is ipv te handellen op 1 enkele email die je ontvangt die ook nog eens de nodige problemen heeft.

Als jij kan aantonen dat je redelijkerwijs voldoende stappen hebt genomen om iets te verifieren, dan zal de rechter je al sneller gelijk geven. Als men bij Brabantia weet in te breken en zowel het email als telefoonverkeer weet te manipuleren, dan heeft Brabantia ineens een groter probleem.

Of je neemt even de contactgegevens van de klant erbij, daar zullen ook de contactdetails van de verantwoordelijke instaan, vaak met GSM nummer. Dan bel je op dat GSM nummer.
Zolang je de contact gegevens maar niet uit de mail haalt. Hoewel ik dat telefoongesprek in gebrekkig Nederengels graag ook bij de rechter had gezien als bewijs :)
Bol.com is ongeloofwaardig in het verweer dat er "niets mis is" aan de tekst van de email.

Opmerkelijk is dat in de uitspraak niet wordt genoemd dat er echtheidskenmerken zitten aan email. Kennelijk heeft de verdediging daar niet over gesproken. Je mag er van uitgaan dat een email met die echtheidskenmerken daadwerkelijk van het account van de betreffende verzender komt, op dit moment zijn SPF (softfail), DKIM en DMARC aanwezig op het brabantia.com domein. test. DNSSEC en DANE ontbreken, Office 365 ondersteunt dat niet.

Als de tekst normaal en de rekening Nederlands was geweest, dan is controle op echtheidskenmerken in ieder geval een geslaagde test en dan is het aannemelijk in technische zin dat het een echt verzoek is. Op een bepaald punt moet je er op kunnen vertrouwen dat de tegenpartij hun ICT onder controle heeft. Anders dan de rechter veronderstelt is een telefoontje onvoldoende als controlemiddel omdat telefonie tegenwoordig vaak via het netwerk gaat. Als er eenmaal is ingebroken kan dat ook gecompromiteerd zijn.
No offence, maar ik denk dat de werknemers die hierin getrapt zijn toch eens op security-training moeten.

Ik geef toe dat sommige phishing-mails écht heel knap in elkaar zitten, die zijn bijna niet van echt te onderscheiden. Maar dit is overduidelijk een Engelstalige brief die door Google Translate is gehaald.

En dan ook nog een zogenaamde Spaanse bankrekening, terwijl Brabantia een puur Nederlands bedrijf is...

Hier had niet één alarmbel moeten gaan rinkelen, maar een complete batterij aan luchtalarmen had hier moeten afgaan bij die medewerkers...
De meest simpele is een nieuwe Regel invoeren:

Alle bevestigingen tot wijziging van betaal/ontvangst rekeningen moeten FYSIEK in persoon door de huidige directeur worden bevestigd.

Hierdoor is het onmogelijk om met een druk op de knop de rekening te wijzigen.
Lekke handig als je honderden of misschien wel duizenden leveranciers hebt.

M.i. zou er een simpel protocol moeten zijn met bijv:
a) Inloggen in het leveranciersportaal en (deze kan namelijk gehackt zijn)
b) check-telefoontje naar leverancier (op laatst bekende nummer)
Hoe vaak heb je dat teminste 1 leverancier/verkoper zijn rekening wil wijzigen?
Dagelijks? wekelijks? maandelijk? jaarlijks?

Het komt niet vaak voor dat een leverancier zijn rekening wijzigd. dus voor die kleine aantal leveranciers die het wel wil wijzigen, is het een kleine moeite voor Bol.com om dit in te voeren.
@mocean Je zou minimaal kunnen invoeren dat als er X bedrag of zo gemoeid (laatste rekening, totaal omzet?) mee is dat er dan ff een extra check plaatsvind. Vast wel iets te bedenken.
Onhaalbaar. Heb je enig idee hoevel kleine en grote bedrijven er verkopen via bol? Als die allemaal naar het hoofdkantoor moeten afzakken om in persoon te bevestigen, dan gaan velen zich van het platform terugtrekken. Zeker voor grote bedrijven hebben CEOs en CFOs geen tijd voor dat soort onzin.

Wanneer het taalgebruik slecht is, wanneer de informatie vreemd is, of gewoon al maar ter bevestiging van zo een actie, neem even de telefoon en bel ze op met de vraag of deze wijziging klopt. En voor bedrijven die een grote omzet draaien, bijv. > €100k/jaar, verplicht zo een verificatie via een tweede weg.
En hoezo zou het onhaalbaar zijn?

1 dag even een wijziging in persoon doen is goedkoper dan rechtzaken die gaan om tonnen van gemiste winst
Nou ja, als je van bank wijzigt (omdat je anders in een stranglehold komt van banken moet dat een mogelijkheid zijn) dan moet 1 medewerker van het andere bedrijf alle afnemers langs? Het gaat toch niet om de medewerker van Bol.com? Maar goed, er zijn wel degelijk mogelijkheden om extra controle uit te voeren zonder in persoon langs te komen.
Nu met Deepfakes is zelfs een video-conferentie niet voldoende.

In persoon langs komen is de enigste oplossing zodat je 99.99% zeker weet dat het klopt.
Zeker wel haalbaar. En juist als CFO (de financiele directeur) zou je dat makkelijk kunnen doen. Zeker als het om dit soort bedragen gaat per maand
Alle bevestigingen tot wijziging van betaal/ontvangst rekeningen moeten FYSIEK in persoon door de huidige directeur worden bevestigd.
Dat is onwerkbaar voor een grote onderneming. Zeker eentje die niet in Nederland gevestigd is.
Hoezo onwerkbaar? wat is 3 dagen naar het hoofdkantoor van platform X gaan {reizen meegeteld} tov een verlies van 750K+ door een gehackt email?

Ik denk dat veel bedrijven lever hebben dat de CEO/CFO 3 dagen weg is en handmatig het papiertje tekent tot wijziging van re rekening, dan dat het gebeurt via email, waarbij een oplichter er tussen is geglipt.
dat doen ze al. Een 2e persoon op finance controleert en accordeert de bank wijzigingen.
Maar is nooit 100% waterdicht omdat het mensen werk blijft. En dat blijkt nu wel.
Nee, meest simpelle nieuwe regel is erachteraan bellen en niet mailen.

(Al vraag ik mij wanneer ze voip calls ook gaan hacken en onderscheppen, stemvervormer ertussen en klaar)
Bellen helpt niet, vooral niet als ze naar het nummer in de mail bellen.

want dan kan de oplichter via een Deepfake de stem vervalsen.
Uhm als het goed is hebben ze al een nummer. Je belt natuurlijk niet het nummer in de mail 8)7
Zo vreemd is dat niet. Het gebeurt vaker dat betalingen via een internationale route lopen, ik heb daar zelf meerdere voorbeelden van gezien. Ook van bedrijven die in het nieuwe land geen grote presence hebben.

Brabantia is ook een internationaal bedrijf, dus ik zou het persoonlijk niet heel raar hebben gevonden. De spelling etc. dan weer wel.
Dat zeg je nu omdat het in het nieuws komt.
Waarom zou een NL bedrijf geen buitenlandse rekening hebben? Het is ook een internationaal bedrijf?
En ook de naam van de rekening is "Brabantia international BV".

Achteraf praten is altijd makkelijk. Maar er hadden zeker alarm bellen af kunnen gaan.
Ja sorry hoor, maar als je na het lezen van de mail alsnog 750k overmaakt dan verdien je de uitspraak ook gewoon.
De persoon die het rekeningnummer gewijzigd heeft, is waarschijnlijk een ander persoon dan die het bedrag heeft overgemaakt. Dus de fout ligt bij het wijzigen, niet het betalen. Althans, als je geen policy hebt om rekeningnummers bij elke transactie te verifiëren. Kan me voorstellen dat dit voor bol.com niet echt haalbaar is.
Wat maakt het dat je zegt dat het niet haalbaar zou moeten zijn voor Bol? Heb je het idee dat ze niet genoeg medewerkers hebben? Of enige vorm van mensen met kennis? Zijn ze niet in staat om de juiste mensen op de juiste plek te zetten?
Dat dit door een ander gebeurt is te begrijpen, maar dan zou je ten eerste een beleid moet hebben dat de betaling met gebruik van een nieuw rekeningnummer een extra controle moet krijgen. Ten tweede is een betaling van 750.000 € ook gewoon ca. 10% van de dagelijkse uitgaven van bol.com, dat zou toch gewoon handmatig gecontroleerd kunnen worden.
Het betrof niet een betaling van 750000. Het betrof een reeks betalingen met een totaal van 750000. Als je er bijna twee maanden over doet voordat er aan de bel getrokken wordt en er (dus) er iedere week een automatische betaling van 100000 euro naar Brabantia gaat, zoals er al jaren gebeurd, net zoals al die andere 1000en leveranciers/winkeliers, dan kan ik me voorstellen dat dit gewoon tussen de rest verdwijnt.
Met een bedrag van zo'n 750.000 in een maand staat Brabantia ook gewoon in de top-100 van leveranciers, maar dan zou dus zeker regel a in werking moeten treden.
Ik snap je punt, maar hoe zie je dat voor je?

- Brabantia mailt over nieuwe IBAN
- bol vraagt om bevestiging per mail
- Brabantia bevestigd
- bol verwerkt

(Bovenstaande is gedaan)
Dus ipv ‘business as usual’

- bol betaalt op nieuwe IBAN
- bol mailt of het geld is ontvangen?
- Brabantia bevestigt per mail?

Dat hadden ze kunnen doen natuurlijk, maar ik denk oprecht dat een bedrijf als bol te log is om voor een betaling van 100000 euro die iedere week gaat naar dat bedrijf iets te laten vlaggen.

Maar misschien is dit een reden voor een nieuwe procedure.
Het is vrij normaal dat leveranciers onderverdeeld zijn in div. categorieën, ook bij bol.com is een ton een boel geld. Het is geen enkel probleem wekelijks een lijst van mutaties bij a-leveranciers voor te leggen, waarbij veranderingen pas doorgaan na een controle. Nooit terug mailen, maar sowieso een check bij de afd. debiteurenbeheer of de commerciële accountmanager.
Foutje, nooit een bevestiging ontvangen. Lees de uitspraak nog een keer.
Please, als je bij zo'n mailtje niet gelijk denkt " holy shit, wtf is dit voor ongein?" dan verdien je het om gescammed te worden..

En dat Bol.com daarna gelijk met de vinger gaat wijzen dat het toch echt de schuld van de ander is en niet hun eigen mensen is wel heel erg triest.
Er is zeer waarschijnlijk geen bedrag van 750K overgemaakt, dit zijn afzonderlijke kleine geautomatiseerde betalingen voor een totaal van 750K, de afdracht van Bol aan Brabantia minus de eigen fee voor de verkoop op de bol.com site, zoiets.

Neemt niet weg: Domme actie, dit rek.nr wijzigen nav die mail....
Natuurlijk niet, bol.com is geen dropshipper, dit is gewoon een betaalbatch voor de inkopen van ca. 1 maand.
Dat klopt niet, het gaat volgens het vonnis wel degelijk om meerdere losse betalingen, en dus niet één betaling;
Nadat het bankrekeningnummer in de systemen van Bol.com op 4 december 2019 werd gewijzigd, heeft Bol.com vanaf 5 december 2019 tot in januari 2020 meerdere bedragen overgemaakt naar de Spaanse bankrekening op grond van betalingsverplichtingen van haar aan Brabantia Netherlands. Het totaal daarvan bedroeg € 751.493,09.
Dat kan natuurlijk en doet niets af aan mijn argument. Het gaat echt niet om honderden betalingen van een paar tientjes, maar zou kunnen gaan om bijv. een wekelijkse betaling.
Pardon? Je kunt via bol.com wel degelijk producten kopen die door anderen rechtstreeks geleverd worden.
Dat lijkt mij prima te voldoen aan de definitie dropshipping.
Natuurlijk kan dat, maar daar gaat het nu niet om. Voor zover ik weet verkoopt Brabantia niet zelf aan consumenten, niet rechtstreeks en niet via platforms. Verkoop op bol.com gaat via Bol.cpm zelf of andere verkopers.
Je zei zelf "bol.com is geen dropshipper".
Dat is een algemene uitspraak, die dus onjuist is.

Je had er dan beter "bol.com is in dit geval geen dropshipper" van kunnen maken.
Daar zou ik toch niet zo zeker van zijn.... Vertel jij maar wat de exacte definitie is van bol.com als site voor derden om via te verkopen..?
"Bol.com is van mening dat het geen fout heeft gemaakt:"
Is toch wel een ernstige gedachte van Bol.com. Heb zelf dyslexie, maar zelfs als ik die mail lees, weet ik dat er iets niet klopt.

"Bol.com laat weten teleurgesteld te zijn met het vonnis en overweegt een hoger beroep"
Wat hadden ze dan verwacht, een rechter die ze in het gelijk had gesteld? Er waren zo veel red flags die gezien hadden moeten worden.

Ben benieuwd of ze ook daadwerkelijk in hoger beroep gaan.
Ik denk dat deze opstelling van Bol.com een weloverwogen geval van "nooit geschoten is altijd mis" en "baat het niet, dan schaadt het niet" was. In het (onwaarschijnlijke) geval dat de rechter hen gelijk gaf, hadden ze in de toekomst naar die uitspraak kunnen verwijzen en heel wat euro's kunnen besparen.
Brabantia schoot toch? Want die hadden gewoon geen centen ontvangen. Waarschijnlijk gingen de herinner mailtjes naar dezelfde medewerker. Dat je overweegt hiertegen in beroep te gaan is belachelijk; als ze het ook nog doen dan is dat misbruik van het rechtssysteem.

En als ze winnen dan moeten we als consumenten ze maar eens in hun onderbroek zetten. Met zijn allen TV's bestellen en dan het geld overmaken aan Amnesty International. Wie stuurt de mailtjes van Bol.com rond?
De eerste rode vlag is al dat "volgens het artikel" ze geen contact hadden opgenomen, met de financiele afdeling via video-conferentie/telefoon of de wijziging wel klopt.

zelfs voor consumenten is het ingewikkelder om een betaalrekening te wijzigen.
het is niet zo dat het kan via een druk op de knop, en dat ineens de oplichter al je loonstrookjes krijgt
Wat hadden ze dan verwacht, een rechter die ze in het gelijk had gesteld?
Een rechter die een kostenverdeling vaststelt?

Het bericht blijkt vanuit de legitieme systemen van Brabantia verstuurd te zijn en de bevestiging van de zijde van bol.com is ook daadwerkelijk daar aangekomen. Hoezo staat dan (voor Bol.com, op moment van handelen) vast dat Brabantia het niet heeft verzocht? Brabantia was gehackt, niet bol.com en heeft de primaire verantwoordelijkheid voor de eigen IT, lijkt me. Brabantia blijft evenwel volledig buiten schot. Ja, ik zou hoger beroep aantekenen.

Daarnaast vind ik het precedent ook apart. In gevallen waar MKB-ers slachtoffer zijn geworden van een dergelijke vorm van fraude, waarbij nota's onderschept zijn en aangepast, draait de MKB-er voor de volledige strop op. Is dat echt zo anders? Stuurde Brabantia bijvoorbeeld nog altijd facturen met het juiste rekeningnummer erop?
Ook al in het systeem van Brabantia gehackt, dan hadden ze bij Bol.com nog steeds kunnen zien en lezen dat er iets niet klopte. Het was, fishy, (sorry moest er in:) )
Om dan vervolgens bij een rechter aan te kloppen met de melding, wij zijn ons van geen kwaad bewust, vind ik persoonlijk niet oké.
Bol.com, de medewerker in kwestie, had gewoon de tijd moeten nemen om het goed te lezen en even 10 sec na te denken. De info omtrent het herkennen van fishingmails is al erg lang bekend. Een mail als deze kan zo in een boek als voorbeeld van wat een overduidelijke fishingmail is.
"In gevallen waar MKB-ers slachtoffer zijn geworden van een dergelijke vorm van fraude, waarbij nota's onderschept zijn en aangepast, draait de MKB-er voor de volledige strop op."

Email is inherent onveilig. De afzender van een mail kan gewoon vervalst worden. Ieder bedrijf hoort dat te weten. En ieder bedrijf hoort procedures te hebben met solide verificatieprocedures voor fraudegevoelige operaties. Een bankrekening nummer waar op betaald moet worden, is een zeer fraudegevoelig gegeven. Dus een melding van verandering van bankrekening nummer moet altijd als potentieel frauduleus worden behandeld! Ook door een MKB-er. Als je niet de nodige opleiding/kennis hebt, moet je er niet aan beginnen.
Ik vraag me ook af of Brabantia na de hack hun relaties op de hoogte hebben gesteld daarvan?? Een mail met iets in de trant van "onze email systemen waren overgenomen en alle mails tussen x-x en y-y zijn mogelijk niet legitiem." zou de problemen hebben kunnen voorkomen.
1 2 3 ... 8


Om te kunnen reageren moet je ingelogd zijn


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True