Nieuws & blogs

CEO-fraude: Wat is het en hoe kan je het voorkomen?

CEO-fraude is een vorm van phishing die steeds vaker voorkomt. Het is belangrijk om te weten wat het is, hoe je het herkent en hoe je je er als organisatie tegen beschermt.

In dit artikel lees je:

02 jul

1. Wat is CEO-fraude?

CEO-fraude, ook wel "whaling" genoemd, is een vorm van phishing waarbij fraudeurs zich voordoen als personen met een hoge functie binnen een organisatie, zoals een CEO of CFO. Hun doel is om medewerkers te misleiden hen geld over te laten maken naar de rekening van de fraudeur. Dit gebeurt vaak via e-mails die lijken te komen van een CEO.

CEO-fraude als onderdeel van Business Email Compromise

Business Email Compromise (BEC) houdt in dat criminelen zich voordoen als een bekend mailcontact binnen de organisatie. Dit kan iemand van de IT-afdeling zijn, een HR-manager of de CEO. Onder Business Email Compromise vallen bijvoorbeeld ook zaken als salarisfraude, factuurfraude en leveranciersfraude

CEO fraude gevaren herkennen

 

2. Waarom is CEO-fraude gevaarlijk?

CEO-fraudeurs zijn zeer geraffineerd en maken gebruik van vertrouwelijkheid en spoed om slachtoffers onder druk te zetten. Cybercriminelen worden steeds slimmer en hun e-mails zijn vaak nauwelijks van echt te onderscheiden, vooral als ze toegang hebben tot de mailbox van een leidinggevende. Deze aanvallen kunnen leiden tot aanzienlijke financiële verliezen en reputatieschade voor bedrijven.

3. Hoe herken je CEO-fraude?

Hier zijn enkele tips om CEO-fraude te herkennen:

  • Controleer het e-mailadres. In sommige gevallen van CEO-fraude is het e-mailaccount van de CEO gehackt. Je kan dan geen verschil merken in het e-mailadres. Maar in andere gevallen gebruiken criminelen een e-mailadres wat erg lijkt op het origineel en kan je wel fouten spotten. Bijvoorbeeld een dubbele letter in het e-mailadres of juist een letter die ontbreekt.
  • Nadruk op vertrouwelijkheid: De opdracht dient vertrouwelijk behandeld te worden. Hierdoor worden er zo min mogelijk collega’s bij betrokken.
  • De uitverkorene: Je wordt als persoon belangrijk gemaakt. Alleen jij kan deze taak uitvoeren.
  • Is het verzoek urgent?: Cybercriminelen creëren vaak een gevoel van urgentie. Denk bijvoorbeeld aan geld dat snel overgemaakt moet worden, omdat de belangrijke deal anders niet doorgaat. Door deze verzoeken tegen het einde van de dag te sturen, zet een cybercrimineel extra druk op het slachtoffer.
  • Alleen beschikbaar per mail: Communicatie kan alleen maar via mail plaatsvinden. Telefoneren wordt vaak vermeden vanwege belangrijke afspraken of persoonlijke omstandigheden.
  • Controleer het rekeningnummer: Vergelijk het rekeningnummer met bekende gegevens.
  • Final check: Bij twijfel, check altijd direct bij je collega, leidinggevende, CEO of CFO.

Een voorbeeld van CEO-fraude

In de afbeelding hieronder zien we een voorbeeld van hoe zo’n mail eruit ziet:

Voorbeeld CEO fraude

Waar meld je het?

Wanneer je denkt CEO-fraude te herkennen, is het belangrijk om zorgvuldig om te gaan met de mail. Klik niet op links in de mail en antwoord zeker niet op de cybercrimineel. Stap naar je leidinggevende op de werkvloer of ga direct naar de CEO van jouw organisatie. Maak een melding van het feit dat je een verdachte mail hebt ontvangen.

Wat doe je als CEO?

Als CEO is het belangrijk om zulke meldingen zeer serieus te nemen. Dat een van je medewerkers dit mailtje heeft ontvangen, kan betekenen dat meer collega’s het doelwit zijn geworden van cybercriminelen. Zorg ervoor dat er een standaardprocedure is, wanneer dit jouw organisatie overkomt. En belangrijker nog: zorg dat je medewerkers weten welke stappen zij moeten ondernemen wanneer zij het slachtoffer zijn van phishing. Train je medewerkers periodiek en zorg voor een hoog bewustzijnsniveau binnen je organisatie.

4. Aanvalstechnieken van CEO-fraude

Cybercriminelen gebruiken verschillende aanvalstechnieken om tot gevoelige informatie te komen. Neem bijvoorbeeld Executive Whaling. Hierbij doet een cybercrimineel zich voor als een CEO of andere topfunctionaris en richt de aanval op een CEO, CFO of ander persoon met een belangrijke functie. Het is belangrijk om te onthouden dat CEO-fraude een vorm van spear phishing is. Het is gericht op een specifieke persoon of groep met gepersonaliseerde informatie. De cybercrimineel heeft zich in veel gevallen goed voorbereid op de aanval en beschikt over veel 'inside information' om slachtoffers mee te manipuleren. 

Veelvoorkomende voorbeelden van Business Email Compromise

  • Leveranciersfraude: De crimineel doet zich voor als leverancier en dringt aan om bankgegevens te delen of betalingen te verrichten. 
  • Facturatiefraude: Ook wel bekend als spookfacturen. Hierbij stuurt een crimineel valse facturen naar organisaties in de hoop een betaling binnen  te krijgen.
  • Salarisfraude: De crimineel neemt de identiteit aan van een medewerker en verzoekt HR of de salarisadministratie om de betaalgegevens te wijzigen. Het salaris wordt dan overgemaakt naar de rekening van de oplichter in plaats van de medewerker.
  • Hack: Overname van een e-mailaccount om valse facturen te sturen. Hierbij lijkt het dus geloofwaardiger, omdat de afzender een echt e-mailadres is.
  • Imitatie van advocaten of leidinggevenden: Fraudeurs doen zich voor als advocaten of leidinggevenden met dringende verzoeken.
  • Diefstal van gegevens: Verzoek om persoonlijke of financiële informatie, vaak gericht aan HR of financiële afdelingen.

5. Wat doe je als organisatie tegen CEO-fraude?

Er zijn verschillende maatregelen die je als organisatie kan nemen om CEO-fraude te voorkomen:

  • Security awareness training: Dit is misschien wel het belangrijkste. Zorg dat alle medewerkers getraind zijn in het herkennen van CEO-fraude en weten hoe zij moeten handelen in verdachte situaties. Op deze manier zorg jij voor een open meldcultuur en activeer je de menselijke firewall.
  • Vierogenprincipe: Laat betalingen altijd door twee personen controleren.
  • Beleid en procedures: Stel duidelijke regels en procedures op voor financiële transacties, maar ook voor wanneer iemand een verdachte mail ontvangt.
  • Technische maatregelen: Gebruik antivirus, antimalware, firewalls en twee-factor-authenticatie.

CEO-fraudeurs gebruiken vaak social engineering technieken om hun aanvallen te versterken, zoals het nabootsen van communicatiepatronen en het inspelen op de vertrouwensrelaties binnen de organisatie.

CEO fraude voorkomen

 

 

6. De schade door CEO-fraude

De grootste risico's van CEO-fraude zijn financieel verlies en reputatieschade. Bedragen kunnen oplopen van enkele honderden euro's tot miljoenen. Vaak gebeurt dit binnen enkele seconden en is de schade onomkeerbaar. In 2023 was Gemeente Alkmaar bijvoorbeeld slachtoffer geworden van CEO-fraude en verdween er ruim 2 ton aan criminelen die zich voordeden als de CEO van een organisatie. Naast financiële schade kan CEO-fraude ook het vertrouwen van klanten en partners schaden, wat kan leiden tot verlies van zakelijke kansen.

7. Train medewerkers

De belangrijkste actie om je organisatie te weren tegen cybercriminaliteit, is om medewerkers te trainen en hun bewustheid te vergroten. Het is belangrijk dat organisaties een hoog niveau van security awareness hebben en maatregelen nemen om CEO-fraude te voorkomen. Hiermee worden financiële schade en reputatieschade, als gevolg van CEO-fraude, in de meeste gevallen voorkomen.

Door medewerkers bewust te maken van risico's en hen te trainen in het herkennen van CEO-fraude, kunnen organisaties hun gegevens beter beschermen en de cultuur van beveiliging verbeteren. Investeer in een security awareness programma, via het security awareness platform van Awaretrain of neem contact met ons op. Met een gratis demo ontdek je 28 dagen lang hoe je jouw medewerkers traint door bijvoorbeeld managed phishing.

Benieuwd hoe we je kunnen helpen? Neem contact op met een van onze specialisten en start vandaag nog. We helpen je graag.

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Volg ons!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

Gratis online masterclasses om je security awareness een boost te geven 12 sep
Gratis online masterclasses om je security awareness een boost te geven Lees meer
Maak kennis met... fleur de smit 10 sep
Maak kennis met... Fleur de Smit, content marketeer Lees meer
Maak kennis met Fenneke Slaghuis, content creator bij Awaretrain 05 sep
Maak kennis met ... Fenneke Slaghuis, content creator Lees meer
Bekijk alle blogs