Criminelen gebruiken malware om de lading van containers in de Antwerpse haven te stelen, zo blijkt uit een e-mail die Security.nl in handen kreeg. De Zeehavenpolitie kreeg recentelijk te maken met containers die door middel van een valse vrachtbrief of eigendomsdocument waren opgehaald. Met de valse documenten wordt de container bij een malafide ontvanger afgeleverd, die de lading direct lost en steelt. Om de valse vrachtbrieven of eigendomsdocumenten te maken gebruiken de criminelen malware.

De malware zit verstopt in e-mails, die als bijlage een vrachtbrief en extra bestand hebben. Na het openen van de meegestuurde vrachtbrief wordt een foutmelding getoond met de mededeling dat een nieuwe versie van een Adobe programma gedownload moet worden. Deze zogenaamd nieuwe versie wordt ook in de e-mail bijgevoegd of aangeboden via een link.

Virus
De aangeboden versie bevat echter een virus. Als de ontvanger deze bijlage of link opent, wordt het virus op de computer geïnstalleerd. Het virus maakt iedere 30 seconden een printscreen van de besmette computer. Zodoende is de dader in staat om te zien wat de lading in een bepaalde containers is, aldus de Zeehavenpolitie.

"Door het virus wordt het ook mogelijk om namens uw bedrijf en/of medewerkers e-mails, met bijvoorbeeld een bill of lading, te verzenden naar andere bedrijven zonder dat u dit weet. Hierdoor stuurt uw bedrijf zonder dat u het weet een transporteur de opdracht om een container af te halen", zo waarschuwt de Zeehavenpolitie in de e-mail.

De transporteur weet op zijn beurt niet dat het om een valse opdracht of valse documenten gaat en haalt de container op. De container wordt direct na levering op het opgegeven afleveradres door de malafide ontvanger leeggehaald.

De Zeehavenpolitie adviseert bedrijven die een dergelijke e-mail ontvangen om direct contact met de verzender én de politie op te nemen.

Twijfels
"Ik heb mijn twijfels over bepaalde zaken", zegt Marco Tak van de Vereniging van Rotterdamse Cargadoors (VRC) tegen Security.nl. Het gaat dan om het zomaar vrijgeven van containers via pincodes die door de malware bemachtigd zijn. "Zolang een cargadoor zijn container niet heeft vrijgesteld krijg je die container van zijn levensdagen niet mee, ook al heb je een pincode." Tak twijfelt dan ook over de berichtgeving.

De e-mail van de zeehavenpolitie werd naar Deltalinqs gestuurd, die het onder de leden verspreidde. Detalinqs behartigt de gezamenlijke belangen van de logistieke en industriële bedrijven in het Rotterdamse haven- en industriegebied.

Bij de VRC is het nog niet duidelijk hoe de fraudeurs precies te werk gaan. Zo wordt er gesteld dat de criminelen vervoersdocumenten opstellen en direct naar een losadres doorgestuurd worden. "Dat kan niet", aldus Tak. Op de bill of lading (ook wel cognossement of vrachtbrief genoemd) staat geen losadres. Er staat wel een ontvangende partij, maar dat betekent niet dat een container fysiek daar naar toe gaat. De criminelen zouden dan ook veel meer gegevens moeten aanvullen.

Als een vrachtbrief bij de rederij wordt ingediend krijgt de klant een pincode mee. Op hetzelfde moment stuurt de rederij of cargadoor deze pincode naar de terminal. Pas als de klant bij de terminal komt in combinatie met de gegeven vrijstelling krijgt hij pas de container mee. "En niet eerder", merkt Tak op. "Je kunt wel met een pincode komen, maar als die niet is vrijgesteld door de cargadoor krijg je de container niet mee."

Het cognossement moet fysiek worden ingediend en wordt ook gecontroleerd op echtheid en of alle kosten zijn betaald. Pas dan krijgt de klant zijn pincode en ontvangt de terminal de vrijstelling. Op het cognossement staat geen afleveradres, dat wordt pas later bepaald. Voor het afleveren van containers wordt een separate opdracht gebruikt.

Hoe vaak de kwaadaardige e-mails worden verstuurd en hoe de aanval nu precies in z'n werk gaat blijft dan ook onduidelijk. Bij de Zeehavenpolitie was niemand met kennis over de e-mail of werkwijze van de criminelen aanwezig die de pers te woord kon staan.

Update 5/7/2012: in eerste instantie werd de Rotterdamse haven vermeld, maar naar verluidt gaat het om de Antwerpse haven