Er is een relatief nieuwe fraudevorm waar de laatste jaren ook het MKB regelmatig het slachtoffer van wordt: CEO-fraude. De afgelopen jaren is het aantal meldingen van CEO-fraude verdrievoudigd.
CEO-fraude is er in verschillende varianten. Een voorbeeld: een medewerker op de financiële administratie van een bedrijf ontvangt een e-mail van de allerhoogste baas, de CEO of CFO ( vandaar de naam CEO-fraude). Deze draagt hem/haar op een fors bedrag over te maken naar een buitenlandse rekening. Het is echter niet echt de CEO die de mail stuurt, maar een oplichter die een e-mailadres gebruikt dat nauwelijks van het echte te onderscheiden is, bijvoorbeeld advies@technieknederland.nl. Ter verificatie van gegevens kan de administratief medewerker een advocatenkantoor bellen, waarvan de gegevens dan in de mail staan. Maar dit ‘advocatenkantoor’ zit in het complot.
Wanneer het gaat om een dochteronderneming of een buitenlands filiaal van een multinational, kent de administrateur de bestuursvoorzitter meestal niet persoonlijk. De afstand tussen beiden is zo groot, dat hij niet durft na te gaan of het wel klopt. Of de persoon die hem benadert zet hem zo onder druk dat er geen tijd voor is. Tegenwoordig zien we echter steeds vaker dat het niet om grote, internationale bedrijven gaat, maar om veel kleinere bedrijven, verenigingen en stichtingen.
In andere gevallen doen oplichters zich voor als de IT-leverancier met de boodschap dat een geldoverboeking getest moet worden. In werkelijkheid gaat het om een echte overboeking. Ook komt het voor dat brieven worden verstuurd over een nieuwe bankrekening waar betalingen in de toekomst naartoe moeten. Dat is natuurlijk de bankrekening van de oplichter.
Voorkomen van CEO-fraude
De belangrijkste techniek die wordt gebruikt bij CEO-fraude, is ‘social engineering’. Het doel van deze ‘techniek’ is de informatie in te winnen die nodig is om de fraude te plegen: mailadressen, namen, de ‘toon’ in de e-mail. Daarbij wordt veel informatie door het latere slachtoffer zelf (onbewust) prijsgegeven aan de oplichter. Zo kunnen de fraudeurs beveiligingssystemen omzeilen.
Het kan gaan om informatie die bedrijven zelf online plaatsen (zoals een overzicht op de website van wie welke functie uitvoert in combinatie met het e-mailadres). Maar soms verstrekken de bedrijven of personen de informatie niet zomaar. Dan maken de oplichters het doelwit bang (voor ontslag bijvoorbeeld), nieuwsgierig of strelen ze zijn (of haar) ego (‘jij bent de enige met wie ik dit deel, hou het even voor jezelf’). Vaak weten de oplichters het vertrouwen te winnen, door te laten zien dat ze van veel informatie al op de hoogte zijn. Deze gegevens hebben ze vaak verzameld uit openbare bronnen (LinkedIn, Facebook, website).
Tips
Als u rekening houdt met de volgende tips verkleint u de kans dat uw bedrijf slachtoffer wordt van CEO-fraude:
- Maak uw medewerkers attent op deze fraudevorm. Spreek af nooit op basis van een telefoontje of e-mailt grote bedragen over te boeken.
- Benadruk dat het van groot belang is je te allen tijde aan de bestaande werkafspraken te houden.
- Wordt er vaker een grote overboeking geplaatst, spreek dan procedures af over hoe een opdracht gecheckt kan worden.
- Wees extra alert op verzoeken om grote sommen geld over te maken, zeker als het geld naar een buitenlandse rekening gaat.
- Betrek bij twijfel of bij grote bedragen de direct leidinggevende.
De Fraudehelpdesk heeft een 'gameover-game' over CEO-fraude. Goed om te zien hoe deze vorm van fraude in zijn werk gaat.