De certificaten zijn bedoeld voor vervuilende bedrijven die deze 'aflaten' gratis krijgen. Wie zuinig met de eigen koolstofuitstoot omspringt, kan de overtollige certificaten verkopen aan bedrijven die hun limieten overschrijden. De bedoeling is de vervuilers te stimuleren te investeren in schonere technologie.

Emissiehandel

Afgelopen donderdag bedroeg de gemiddelde prijs van de certificaten 2,50 euro per stuk, op basis van de handel op die dag. Daarmee komt de gestolen waar uit op ongeveer 3,2 miljoen euro. Bij tenminste zeven Duitse bedrijven zijn 250.000 certificaten gestolen, bericht de Duitse Milieu Autoriteit.

De aanval is de eerste die gericht is op co2-emissierechten. "We hebben het idee dat de aanvallers erg professioneel te werk zijn gegaan met het oog op it-procedures, en natuurlijk moesten ze weten hoe de emissiehandel werkt", zegt Julie Steinen, woordvoerder van de Duitse Emissiehandel Autoriteit, het Duitse register voor handel in co2-emissierechten.

Nederlandse poging

In Nederland hebben 480 bedrijven emissiecertificaten. Toen de phishingaanval werd ingezet kreeg de Nederlandse Emissieautoriteit snel door dat er iets aan de hand was. "We hebben van heel veel bedrijven mails en telefoontjes gekregen met de vraag of de mail wel door ons verstuurd was", zegt een woordvoerster van de autoriteit tegen Webwereld. "Naar aanleiding daarvan hebben wij Brussel op de hoogte gesteld.

Volgens de zegsvrouw is in Nederland niets ontvreemd en is het systeem na de meldingen meteen op slot gezet. Bedrijven moeten zich telefonisch identificeren om weer bij hun certificaten te komen. Daar stelt de autoriteit zich niet actief in op; willen bedrijven opnieuw toegang tot het systeem dan zullen zij zelf contact moeten opnemen met de Emissieautoriteit.

Malafide e-mails

De bestookte bedrijven ontvingen e-mails waarin werd gesteld dat ze zich opnieuw dienden te registreren bij de Emissiehandel Autoriteit wegens beveveiligingsproblemen. De autoriteit registreert de certificaten en houdt bij in wiens handen ze zijn. De e-mail bevatte een link naar een malafide website, waar dan de inloggegevens werden gestolen.

Daarna werden de certificaten snel verplaatst naar accounts die vallen onder andere landen, en zijn daarna waarschijnlijk verkocht, aldus Steinen tegen de IDG News Service. De aanval vond in nog 13 andere landen plaats, maar de meldingen vanuit Nederland en Noorwegen hebben de zaak aan het licht gebracht, bericht persbureau AFP.

Veel bedrijven hebben na het ontvangen van de malafide e-mails dus niet de noodklok geluid. "De e-mails waren niet erg professioneel, andere gebruikers hadden snel door met een rat te maken te hebben", aldus Steinen. Dit gold dus niet voor de getroffen Duitse bedrijven.

Handel stilgelegd

Verschillende nationale registers houden de bewegingen van de certificaten in de gaten, maar de transacties die daarmee gepaard gaan staan los van het registratiesysteem. De certificaten kunnen dus vrij worden verhandeld. Op het moment dat de elektronische certificaten naar een andere register zijn overgebracht zijn ze moeilijker te volgen, maar ze hebben nog wel een unieke code.

Afgelopen vrijdag werd de handel in Duitse emissierechten stilgelegd om er zeker van te zijn dat er geen andere bedrijven zijn die het slachtoffer worden van dezelfde phishing-aanval. In andere landen gingen de registers ook tijdelijk op slot.

De Duitse overheid heeft de 2.000 aangesloten bedrijven geadviseerd hun wachtwoorden te veranderen. Als het goed is, is de Duitse handel donderdag weer hervat. De Duitse politie heeft een onderzoek ingesteld.

Aanscherping beveiliging

De Europese Commissie (EC) heeft na de aanvallen aangekondigd de richtlijnen voor internetbeveiliging te herzien, bericht persbureau AFP. De Duitse autoriteiten hebben een screenshot online gezet hoe het beveiligingscertificaat van een website eruit hoort te zien.

Sites kunnen zelf een beveiligingscertificaat aanmaken dat door derden kan worden gecontroleerd op echtheid. Bedrijven kunnen ook kiezen een e-mail te ontvangen iedere keer als er wordt ingelogd op hun account.