Gemeente Helmond slachtoffer van phishing: schade 93.000 euro

De gemeente Helmond is het slachtoffer geworden van een succesvolle phishing-actie door een onbekende partij. Daardoor boekte de gemeente een bedrag van 93.000 euro over naar het verkeerde rekeningnummer.

Op 15 november ontving de gemeente Helmond een aanmaning op een niet betaalde factuur van een leverancier, ter hoogte van 93.000 euro. Bij controle in de administratie bleek echter dat deze wel betaald was, maar aan een ander rekeningnummer.

Fraude
Nader onderzoek wees uit dat een onbekende derde partij middels een frauduleuze e-mail de crediteurenadministratie van de gemeente Helmond heeft laten denken dat de leverancier een nieuw rekeningnummer had. Bij het controleren van het verzoek tot aanpassing van de bankgegevens is de afgesproken werkwijze niet volledig gevolgd. Het afwijkende herkomstadres van de e-mail had namelijk tot nader onderzoek moeten leiden, zo stelt de gemeente. En ook had dat verzoek middels een ander kanaal – bijvoorbeeld telefonisch op de in de stamgegevens bekende contactgegevens – gecontroleerd moeten worden. Maar dat gebeurde niet en ook in de reguliere ‘vier-ogen’-stap is het niet gecorrigeerd, aldus de gemeente.

Phishing
Middels een succesvolle phishing bij de leverancier verkreeg de onbekende partij vertrouwelijke factuur- en contractgegevens. En produceerde vervolgens een vervalste factuur met een betrouwbaar ogend uiterlijk. Daarna is deze factuur op 18 september naar de gemeente gestuurd. In deze mail, die was voorzien van logo en contactgegevens van de leverancier en zogenaamd ondertekend door de vaste contactpersoon bij de leverancier, werd gevraagd om de factuur te betalen aan een ander rekeningnummer. De crediteurenadministratie willigde dit verzoek in, maar helaas zonder de extra stap van bevestiging via een ander kanaal. De gemeente betaalde de factuur op 20 september naar het door de onbekende partij opgegeven rekeningnummer.

Ondernomen stappen
Kortom, door de aanmaning ontdekte de gemeente dat zij door een combinatie van in- en externe fouten in een phishing-poging is getrapt. De gemeente ondernam daarop direct enkele stappen. Zo vroeg zij de betrokken medewerkers om een tijdslijn op te stellen voor onderzoek en aangifte. Ook nam de gemeente contact op met haar bank om te proberen het geld terug te krijgen. Dit proces loopt nog. Verder voerde de gemeente een veiligheidsonderzoek uit naar de betrokken informatiesystemen. Ten slotte verkent de gemeente de mogelijkheden tot (gedeeltelijk) verhaal van schade.

Geen systeemfout
Voor zover de gemeente kan achterhalen is er geen fout in haar systemen ontdekt. Ook is er geen bewijs voor het feit dat een onbekende toegang heeft gehad tot die systemen. “De gemeente wordt dagelijks geconfronteerd met meerdere phishingmails en andere aanvallen of frauduleuze pogingen”, laat het college de gemeenteraad weten. “Zoals u weet zetten we in op informatieveiligheid, zowel in onze systemen als processen en werkwijzen. Oplettendheid is daar een belangrijk onderdeel bij. Helaas is deze poging, door een menselijke fout, toch geslaagd. Het betrokken team is zeer ontdaan omdat het, ondanks alle maatregelen en werkafspraken, in deze phishingpoging is getrapt. Met volle inzet werken zij aan een verdere aanscherping van de werkprocessen.”

Langere termijn
De gemeente was al bezig met een evaluatie en aanscherping van de financiële processen en systemen, en dit zet zij met “extra energie” door. Ook werkt de gemeente aan de uitrol van (beveiligde) e-facturen, maar de adaptatie door leveranciers verloopt traag. “We overwegen, in navolging van de rijksoverheid, de provincie Noord-Brabant en diverse andere gemeenten, versnelde verplichtstelling van e-facturatie voor facturen boven een grensbedrag.”

Extra middelen
De technologische ontwikkelingen gaan snel, ook voor kwaadwillenden, zegt de gemeente tenslotte. “We kunnen de risico’s beperken, maar nooit helemaal wegnemen. Het onderstreept de noodzaak om te blijven investeren in informatiebeveiliging en bewustwording. Hiervoor zijn in de onlangs door de raad vastgestelde programmabegroting ook extra middelen uitgetrokken.”

Foto: feliciadfishere5o2d990734/Vecteezy