CEO-fraude is een vorm van cybercriminaliteit die steeds vaker voorkomt. Sommige mensen denken dat CEO-fraude een directeur is die fraude pleegt maar dat ligt toch even iets anders. CEO-fraude is een vorm van fraude waarbij de cybercrimineel zich voordoet als algemeen directeur (CEO) of financieel directeur (CFO) van het bedrijf. Met name in bedrijven met een sterk hiërarchische structuur wordt een opdracht van “de directeur” vaak zonder vragen te stellen uitgevoerd. Een opdracht van een crimineel die zich voordoet als directeur aan een medewerker van de financiële administratie om een geldbedrag over te boeken in verband met een zogenaamd belangrijk project wordt dan direct uitgevoerd. De kans hierop is groter als de medewerkers niet bij elkaar op kantoor werken maar op afstand (bijvoorbeeld thuis). Even langslopen bij de directeur is er dan niet bij.
Daar trap je toch niet in?
De eerste reactie van veel mensen is natuurlijk de opmerking “hoe kan dat nou” of “daar trap je toch niet in?”. Maar toch gebeurt het. Een paar voorbeelden: In 2014 ging het al fout bij voetbalclub Feyenoord waar de laatste termijn van een spelers-transfer (2 miljoen Euro) op een bankrekening van cybercriminelen werd gestort. Elco Netherlands werd in 2018 slachtoffer van CEO-fraude waardoor er 800.000 Euro op rekeningen van cybercriminelen in China en Roemenië werd geboekt. Faillissement was het gevolg. En dan natuurlijk de bekende zaak van Pathé bioscopen. De Nederlandse vestiging ontving een verzoek van het hoofdkantoor in Frankrijk om in totaal ruim 19 miljoen Euro over te maken. Achteraf bleek dit een valse e-mail geweest te zijn. Het geld was gestort op de rekening van cybercriminelen. De algemeen directeur en de financieel directeur in Nederland zijn vervolgens ontslagen. En er zijn veel meer van dergelijke voorbeelden.
Kun je een poging van CEO-fraude herkennen?
Er zijn een aantal kenmerken waaraan je een poging tot CEO-fraude kunt herkennen. Het is daarom van groot belang dat medewerkers (met name op de financiële afdeling) bewust zijn van het bestaan van deze vorm van criminaliteit. Hieronder een aantal kenmerken van CEO-fraude:
- Het betaalverzoek wordt als een opdracht doorgegeven en als zodanig ook ervaren door de medewerk(st)er die hem ontvangt. Met name bij bedrijven waar sterke hiërarchie heerst speelt dit een grote rol.
- De medewerk(st)er wordt voorgehouden dat hij/zij de “directeur” een persoonlijke (belangrijke) vertrouwelijke dienst verleent. De medewerk(st)er voelt zich daarom gevleid en belangrijk.
- De medewerk(st)er ervaart een persoonlijke druk om de “directeur” goed en zo snel mogelijk te helpen.
- De e-mails worden verstuurd vanaf een e-mail adres met een domeinnaam dat erg veel lijkt op de domeinnaam van het bedrijf. Voorbeeld: “naam@DOMEINNAAM”en “naam@DOMElNNAAM” lijken hetzelfde e-mailadres, echter is bij het tweede e-mail adres de hoofdletter i vervangen door een l (kleine letter L)
Mail systeem en de mailbox van de CEO of CFO
Indien het e-mail systeem niet goed is geconfigureerd is het mogelijk om e-mails te sturen waarbij het afzender-adres vervangen kan worden door een ander e-mail adres. Het is daarom verstandig om de configuratie van uw e-mail systeem eens door een expert te laten controleren. Neem hiervoor gerust contact op.
Mensen gebruiken vaak hetzelfde password voor verschillende internet-toepassingen. Het gevaar hierbij is dat als bij één van die toepassingen de inloggegevens worden gestolen (binvoorbeeld na een datalek) direct wordt geprobeerd om met diezelfde inloggegevens binnen te komen bij andere toepassingen zoals de verschillende Social Media accounts en e-mail.
Als cybercriminelen in staat zijn om in een mailbox te komen van een CEO of een CFO is het een kwestie van tijd. Aangezien in een mailbox vaak alle e-mail correspondentie terug is te vinden beschikt de cybercrimineel over zéér vertrouwelijke informatie (zakelijk én privé) die op verschillende manieren misbruikt kan worden.
Verstandig (bewust) omgaan met wachtwoorden is daarom (zeker voor de directie!) van groot belang. Vergroting van de awareness verlaagt dergelijke risico’s aanzienlijk.
Hoe kan CEO-fraude worden voorkomen?
- Maak medewerkers (inclusief de directie!) bewust van de risico’s waaraan ze blootstaan. CEO-fraude en andere vormen van fraude (Tikkie-fraude, whatsapp-fraude, nepfacturen, etc.) zijn onderwerpen waar iedere medewerker potentieel mee te maken kan krijgen via een phishing e-mail.
- Controleer het e-mail adres van een afzender ALTIJD Met name als het gaat om een “bijzonder” verzoek zoals een snelle betaling of een verandering van een bankrekening nummer. Er wordt vaak gebruik gemaakt van een domeinnaam die veel lijkt op die van een bekende afzender.
- Stel betalingsprocedures in en leg deze vast.
- Gebruik een “meer-ogen systeem”. Betalingen boven een bepaald bedrag dienen goedgekeurd te worden door meerdere personen. Controleer een betalingsverzoek altijd even door rechtstreeks te bellen met de directie. (Naar het bij jou bekende telefoonnummer dus!)
- Accepteer géén wijzigingen meer nadat een betaling is goedgekeurd. Meld dergelijke verzoeken tot wijziging altijd bij de directie.
Awareness vergroting
CEO-fraude en de vele andere vormen van fraude zijn onderwerpen die zéker thuishoren in een security awareness campagne voor uw bedrijf. Medewerkers staan constant bloot aan dergelijke risico’s en de gevolgen voor de slachtoffers zijn groot. U kunt ervoor zorgen dat medewerkers met deze risico’s kunnen omgaan waardoor ze niet alleen op het werk, maar ook in de thuissituatie weerbaar zijn tegen deze vormen van criminaliteit.
Wilt u eens een (video)gesprek aangaan over de mogelijkheden voor uw bedrijf? Ik maak hier graag tijd voor vrij!
Neem dan contact op via de website: https://www.kochconsultancy.nl/contact
U kunt ook direct contact opnemen:
Per telefoon: 06-53233269
Via e-mail: rob.koch@kochconsultancy.nl
Reactie plaatsen
Reacties