W1siziisijiwmjavmdkvmtkvmdkvndavmdgvmzyxl2plzmzlcnnvbi1zyw50b3mtovnvq255uw1rekktdw5zcgxhc2guanbnil0swyjwiiwidgh1bwiilciymdawedy0mcmixv0

CEO-fraude neemt toe door coronacrisis

Ceo, Partner, CTO ...

Door de coronacrisis neemt CEO-fraude toe. De coronacrisis leidde de afgelopen maanden tot het instellen van veel contact beperkende maatregelen. In veel bedrijven moeten medewerkers nu thuiswerken. Zij loggen vervolgens thuis in via slecht of matig beveiligde internetverbindingen. Dat maakt het voor cybercriminelen makkelijker om e-mailadressen, inloggegevens en andere data buit te maken. Tussen 2016 en 2019 zijn Nederlandse bedrijven voor 64 miljoen euro opgelicht met CEO- en factuurfraude. Het gaat hier alleen om bedrijven die aangifte bij de politie hebben gedaan.

De Nederlandse printplaten fabrikant Elco kreeg vorig jaar te maken met een heftig staaltje CEO-fraude. Eind 2018 werden de e-mailadressen van de CEO en financiële administratie gehacked. Vervolgens maakten de criminelen een e-mailadres aan dat nagenoeg identiek was aan dat van de CEO. Via dat e-mailadres werden twee betaalverzoeken naar de financiële administratie gestuurd. Uiteindelijk is ruim 770.000 euro overgeboekt naar fictieve bankrekeningen in China en Roemenië. In werkelijkheid ging het geld linea recta naar de cybercriminelen. De financiële strop voor Elco was zo groot dat het bedrijf failliet ging.

Voorbereiding en sluwe trucs

Goede voorbereiding is het halve werk. Dat geldt ook voor cybercriminelen. Zij zoeken online en op social media naar de juiste namen en e-mailadressen van bestuurders en directieleden. Daarnaast zoeken criminelen naar lopende of nieuwe projecten, klanten en andere informatie die de geloofwaardigheid van de e-mail die verstuurd wordt, kunnen verhogen.

Het versturen van de malafide e-mail kan op verschillende manieren plaatsvinden. Soms slagen de criminelen erin zich toegang te verschaffen tot het e-mailaccount van C-level bestuurders. Door spoofing – waarbij de criminelen e-mailadressen gebruiken waarmee zij zich voordoen als een C-level bestuurder - of het bemachtigen van de login-gegevens. Dit zet bovendien de deur open voor een bijzonder sluwe vorm van CEO-fraude. De cybercriminelen zoeken in de mailboxen naar facturen die nog betaald moeten worden en passen daarop het rekeningnummer aan.

Lukt het niet om in te breken in de mailboxen, dan wordt vaak een e-mailadres aangemaakt dat bijna identiek is aan het echte e-mailadres, maar met een kleine, nauwelijks te herkennen aanpassing, zoals bij Elco het geval was. Denk aan het wijzigen van de letters ‘m’ of ‘i’ in een emailadres in ‘rn’ of ‘l’. Daar wordt vaak overheen gelezen. Zeker als de andere gegevens, zoals de naam van de ontvanger en afzender, projecten of klanten, wel allemaal correct zijn.

Verhoogd risico door thuiswerken

Wat ook een rol speelt is het feit dat fysieke meetings en afspraken, zowel op kantoor als in de buitendienst, worden uitgesteld of vervangen door video-meetings via Zoom of FaceTime. De aanwezigheid op kantoor wordt tot een minimum beperkt. De lijnen tussen directieleden en medewerkers onderling zijn langer. Daardoor kunnen malafide e-mails en betaalverzoeken makkelijker langs de controle glippen.

Herkennen en voorkomen

Fraude voorkomen is altijd beter dan genezen. Daarom is het belangrijk dat C-level bestuurders, ook de CFO en CIO, weten wat CEO-fraude is, hoe ze het kunnen herkennen en wat ze kunnen doen om te voorkomen dat het bedrijf slachtoffer wordt. Daarbij kunnen deze tips en procedures als leidraad dienen.

  • Controleer binnenkomende e-mails met betaalverzoeken op echtheid. Neem bij twijfel telefonisch contact op of stuur een nieuwe e-mail naar het adres van de afzender zoals dat in het eigen adresboek staat.
  • Toets de betaalverzoeken aan de geldende procedures voor betalingsopdrachten die van C-level bestuurders afkomstig zijn. Bijvoorbeeld het eisen van een mondelinge toestemmen van de CEO of CFO voor het overboeken van grote bedragen.
  • Maak gebruik van accountingsoftware die in staat informatie zoals IBAN-, BTW- en KVK-nummers van binnenkomende facturen te verifiëren met de gegevens in de bestaande klantendatabase of CRM-systeem.

 

Als uw bedrijf onverhoopt toch slachtoffer geworden is van CEO-fraude, dan is het doen van een aangifte altijd aan te raden. In sommige gevallen kan ook het inschakelen van een bedrijfsrecherche soelaas bieden. Maar, zoals altijd, is voorkomen beter dan genezen. De praktijk leert dat geldbedragen die door CEO-fraude buitgemaakt worden zelden bij de rechtmatige eigenaar terugkeren.