Hackers Twents museum speelden geraffineerd spel

Schilderij Rijksmuseum Twenthe verloor bijna 2,66 miljoen euro aan cybercriminelen. Eigen schuld? Of de schuld van de Britse kunsthandel, via wie het museum een schilderij kocht?

John Constable: ‘A View of Hampstead Heath’ (1824)
John Constable: ‘A View of Hampstead Heath’ (1824) Foto artnet.com

Toen de Engelse landschapsschilder John Constable in 1824 Hampstead Heath schilderde was het zuiden van Londen alleen nog als een stipje in de verte te zien. Maar wat ooit natuur was, is nu park geworden. Duizenden trekken erheen om naar de spectaculaire skyline van de Londense City te kijken.

In het hart van diezelfde stad vond deze week een juridische strijd plaats over de verkoop van dit schilderij. Rijksmuseum Twenthe te Enschede, intussen in het bezit van het schilderij, meent netjes betaald te hebben. Simon Dickinson, optredend namens de particuliere eigenaar, meent van niet. Wat is hier gebeurd?

Lees ook het nieuwsbericht: Rijksmuseum Twenthe 2,66 miljoen euro afhandig gemaakt

Het verhaal begint in maart 2018, toen Dickinson het kunstwerk meenam naar de TEFAF Kunstbeurs in Maastricht. Daar viel het oog van museumdirecteur Arnoud Odding op het A View of Hampstead Heath (1824). Het museum koopt vaker schilderijen van landschappen en vond het werk „uitstekend” in de collectie passen. „De verwerving is een belangrijke toevoeging aan de Collectie Nederland”, stelde het museum eind maart 2019 in een toelichting bij de jaarcijfers. Met hulp van de Vereniging Rembrandt, het Mondriaan Fonds en het Nationaal Aankoopfonds van OCW trok Odding de portemonnee en maakte 2,66 miljoen euro over aan een rekeningnummer in Hongkong.

Al bij de presentatie van de jaarcijfers maakte het museum melding van een meningsverschil dat zou zijn ontstaan over die betaling. Die opmerking bleef echter onopgemerkt, tot persbureau Bloomberg deze week melding maakte van de affaire. Duidelijk is dat een derde partij de mailwisseling tussen het Twentse museum en Dickinson heeft kunnen inzien en zich op een gegeven moment als de verkopende partij is voor gaan doen. De vraag die voorligt: wie heeft zich laten hacken? Beide partijen wijzen naar elkaar.

Beveiligingslekken

Volgens Luc Pluimakers, consultant bij NFIR – een organisatie die bedrijven ondersteunt bij cybersecurity – klinkt hacken ingewikkelder dan het is. „Er zijn geregeld grote beveiligingslekken, waarbij e-mailadressen publiekelijk beschikbaar worden gemaakt via het internet. Via een website als haveibeenpwnd.com kun je eenvoudig kijken of dit met jouw e-mailadres gebeurd is.” Een check met het e-mailadres van Dickinson door NRC wijst uit dat dit adres in augustus 2017 verscheen op een lijst van 711 miljoen unieke mailadressen verkregen door een spambot, „waarvan velen vergezeld van bijbehorende wachtwoorden.” Hoewel hij dat op afstand niet kan hard maken, acht Pluimakers het goed mogelijk dat criminelen zich via zo’n lijst toegang hebben verschaft tot een e-mailconversatie. Museumdirecteur Odding meent daarbij dat de kunsthandel kwetsbaar is voor zulke hacks: „Ons eigen onderzoek wijst op meerdere zwakheden in zijn beveiliging.”

„Hackers hebben zich echt ingeleefd in de communicatiestijl van de getroffen partijen.”

Luc Pluimakers, cybersecurity consultant

De werkwijze van de criminelen heet whaling, zegt Pluimakers: „In plaats van heel veel kleine vissen te vangen, speelden deze criminelen the long game, wachtend op een walvis. Het lijkt erop dat ze zo lang mogelijk hebben meegelezen en zich vervolgens hebben voorgedaan als een van de betrokkenen. Het is waarschijnlijk een zeer geavanceerde actie geweest, ze hebben zich echt ingeleefd in de communicatiestijl van de getroffen partijen.”

Zorg voor fysiek contact

Kunsthandelaar Christiaan van Rechteren uit Dalfsen reageert geschrokken op het nieuws van de diefstal. „Op het moment dat je een deal sluit is er altijd enorm veel euforie. Zeker als er zoveel geld mee gemoeid is. Je hebt hard gewerkt om de deal voor elkaar te krijgen en het enige dat je nog hoeft te doen is geld overmaken. Ik denk dat van dit moment van die euforie misbruik gemaakt is.”

Pluimakers adviseert bedrijven om hun accounts te beveiligen met een wachtwoordmanager en dubbele authentificatie. „Maar zorg bij dit soort betalingen ook altijd voor fysiek contact. Wat is nu een vliegticket van 500 euro op een deal van bijna 3 miljoen?’ Museumdirecteur Odding geeft aan verschillende voorstellen te hebben gedaan om de verkopers voordien te ontmoeten. „Maar dat werd door Dickinson, dus niet de boeven, afgehouden.”

Volgens Dickinson zijn hij en het museum „spijtig genoeg” beiden slachtoffer van hetzelfde misdrijf. De kunsthandel verwijt het museum desalniettemin niet voldoende controles te hebben uitgevoerd voor ze het bedrag op een onbekende rekening hebben gestort. „Van een door publiek geld gefinancierde instelling in een land met een goede reputatie op het gebied van bewustzijn over cybercriminaliteit hadden we meer verwacht.”