Partnerprogramma Vacatures 1 Inloggen

Nieuws & blogs

Het is de hoogste tijd om ons te wapenen tegen CEO-fraude

Onlangs was het was weer raak. Een financieel dienstverlener werd slachtoffer van CEO-fraude. Er werd ruim anderhalf miljoen euro buitgemaakt. De directeur heeft aangifte gedaan, maar of het bedrijf het geld ooit nog terugziet? Waarschijnlijk niet.

Een medewerker van het bedrijf ontving een e-mail die van de directeur afkomstig leek, waarin werd gevraagd om een rekeningnummer te wijzigen waar geld naar toe zou worden overgemaakt dat bedoeld was voor de aandeelhouders. Een klassiek geval van CEO-fraude.

Het is hoog tijd om ons te wapenen tegen deze doordachte vorm van cybercrime. Wat is CEO-fraude, waarom is het zo effectief en wat kunnen we er tegen doen? Je leest het in deze blog.
04 mei Foto van een man in pak

Wat is CEO-fraude?

Bij CEO-fraude, ook wel whaling genoemd, stuurt de oplichter een e-mail namens een hooggeplaatst persoon van een organisatie (vaak de CEO of CFO) naar een medewerker met een frauduleuze betaalopdracht of een verzoek om een rekeningnummer te wijzigen. De oplichter creëert urgentie en noodzaak, zoals een aankomende overname of uitbetaling aan een belangrijke klant. Vanwege dit karakter wordt gevraagd om af te wijken van de reguliere procedure.

Vaak maken criminelen gebruik van e-mail spoofing, gebruiken ze sterk lijkende e-mailadressen of hebben ze toegang tot het e-mailaccount, bijvoorbeeld door inloggegevens via phishing te hebben verkregen.

CEO-fraude is een vorm van Business Email Compromise (BEC). Onder Business Email Compromise vallen onder andere ook salarisfraude en leveranciersfraude:

  • Salarisfraude: bij salarisfraude stuur een crimineel een frauduleuze e-mail naar HR of de salarisadministratie met het verzoek om betaalgegevens te wijzigen of bij te werken. Op die manier wordt het salaris niet overgemaakt naar een legitieme bankrekening maar naar de rekening van de oplichter.
  • Leveranciersfraude: bij leveranciersfraude doet een crimineel zich voor als een leverancier waarmee een organisatie regelmatig zaken doet. De crimineel stuurt een verzoek om de bankgegevens bij te werken voor de betaling van openstaande facturen. Onlangs kwam naar buiten dat Bol.com eind 2019 750.000 euro over naar oplichters overmaakt die Brabantia hadden gehackt. De oplichters verstuurden vanuit het e-mailaccount van Brabantia een e-mail met het verzoek om bankrekeningnummers te wijzigen. Sappig detail: de e-mail stond bol van de spelfouten. Bol.com vond dat zijn werknemers voldoende reden hadden om aan te nemen dat de wijzigingen van het rekeningnummer klopte. De rechter heeft nu echter bepaald dat Bol.com alsnog Brabantia moet betalen.

Bekijk onze video om te zien hoe CEO-fraude in zijn werk gaat. Deze video is onderdeel van een trainingsmodule in ons security awareness platform.

Simpele actie, grote schade

Met name bij CEO-fraude en leveranciersfraude gaat het vaak om tonnen of miljoenen euro’s. Het meest bekende recente voorbeeld is dat van bioscoopketen Pathé, waarbij 19 miljoen euro werd buitgemaakt. Het meest pijnlijke is dat de Nederlandse directie het target was. Criminelen deden zich voor als directeuren van het Franse hoofdkantoor en stuurden meerdere keren e-mails naar de Nederlandse directie met het verzoek om geld over te maken voor overnames. De Nederlandse topfunctionarissen zijn na de ontdekking van deze misser ontslagen.

Een andere geruchtmakende zaak vond in 2014 plaats bij Feyenoord In dat jaar verkocht Feyenoord verdediger Stefan de Vrij aan de Italiaanse club Lazio. De clubs kwamen overeen de transfersom in vier delen te betalen. Bij de laatste fase van de betaling ging het mis. In 2018 ontving Lazio een e-mail met het verzoek het laatste termijnbedrag van 2 miljoen euro over te maken naar de Rotterdamse club. Het vermelde rekeningnummer was echter in handen van cybercriminelen. Feyenoord heeft dat laatste termijnbedrag dan ook nooit gezien.

Waarom is CEO-fraude zo effectief?

Net zoals bij alle andere vormen van social engineering spelen criminelen bij CEO-fraude in op factoren waar mensen gevoelig voor zijn. CEO-fraude is te herkennen aan de volgende factoren:

  • Tijdsdruk en urgentie: het geld moet snel overgemaakt worden, want anders kan een belangrijke deal niet doorgaan. Regelmatig worden deze verzoeken aan het einde van de dag verstuurd om de urgentie extra kracht bij te zetten.
  • Nadruk op gezagsverhouding en autoriteit: de (betaal)opdracht wordt als bevel gegeven en komt van iemand van het hoger management. Hier tegenin gaan zou ongepast zijn.
  • Benadrukken vertrouwelijkheid: het is belangrijk om de opdracht vertrouwelijk te behandelen. Andere collega’s mogen nog niet op de hoogte worden gesteld.
  • Persoon is moeilijk bereikbaar: er wordt benadrukt dat communicatie alleen per e-mail mogelijk is. Telefonisch is de persoon niet te bereiken vanwege andere belangrijke zaken.
  • De medewerker wordt belangrijk gemaakt: het doelwit is uitgekozen om de opdracht uit te voeren vanwege zijn/haar uitzonderlijke kwaliteiten. Zonder hem/haar gaat het niet lukken.

Helaas zit het in de aard van de mens dat we graag (te) behulpzaam willen zijn. Ook al is er enige twijfel, door de combinatie tussen bovenstaande factoren zijn we toch geneigd om te willen helpen en onszelf te bewijzen.

Hoe wapen je jezelf als bedrijf tegen CEO-fraude?

Doorlopende training om medewerkers alert te houden

Gelukkig is het steeds vaker regel dan uitzondering, maar doorlopende security awareness training is essentieel om medewerkers te trainen in het herkennen en afwenden van CEO-fraude en andere social engineering aanvallen. Een effectieve en schaalbare manier is door periodiek online security awareness trainingen aan te bieden. Hiermee maak je medewerkers alert op de signalen en maak je hen bewust dat dergelijke verzoeken altijd op een andere manier dan e-mail geverifieerd dienen te worden.

Technische maatregelen

Maak e-mail spoofing onmogelijk door de e-maildienst van je organisatie op de juiste manier te configureren. Natuurlijk sluit je hier niet alle aanvallen mee uit, maar je beperkt wel de mogelijkheden voor criminelen. Lees meer over e-mail spoofing in onze blog.

Zorg voor duidelijke procedures

Zorg dat er procedures rondom betalingen en het veranderen van betaalgegevens zijn opgesteld die altijd en voor iedereen gelden. Communiceer deze procedures duidelijk. Zorg er daarnaast voor dat dergelijke aanvragen nooit alleen via e-mail kunnen worden aangevraagd.

Creëer een meldcultuur

Een open cultuur waarin incidenten snel gemeld worden is essentieel voor een goede preventie en afhandeling. Stel een centraal meldpunt in, train medewerkers in wat te melden, hoe te melden, wat er met de melding gedaan wordt en beloon het melden. Lees meer over het creëren van een meldcultuur in onze blog.

Meer weten over training van medewerkers en preventie?

Neem dan eens vrijblijvend contact met ons op!

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Take me there!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

Overheid Verplicht Opleiding Digitale Weerbaarheid 31 jan
Overheid Verplicht Basisopleiding Digitale Weerbaarheid: Een Cruciale Stap. Lees meer
02 okt
De Rijksdienst voor Ondernemend Nederland (RVO) komt met cybersubsidie voor kleine bedrijven Lees meer
07 sep
Doe jij iets extra’s tijdens de cybersecurity awareness maand in oktober? Check onze gratis toolkit! Lees meer
Bekijk alle blogs
logo

+31 (0)88 018 16 00

info@awaretrain.com

Ontdek meer

Wat is security awareness?

Security awareness trainingsplatform

AVG & Privacy training

Phishing simulatie

Licenties & prijzen

Gratis testaccount

Nulmeting

Social engineering

Interactieve sessies

Mobiele app

Posters & cartoons

Whitepapers

Blijf op de hoogte Certificeringen ISO 27001

© Awaretrain | Alle rechten voorbehouden

Kennisbank
Algemene voorwaarden Privacyverklaring