Nieuws & blogs

Het is de hoogste tijd om ons te wapenen tegen CEO-fraude

Regelmatig is het weer raak. Een "succesvol" geval van CEO-fraude. Neem het geval waarbij een financieel dienstverlener slachtoffer werd. Er werd ruim anderhalf miljoen euro buitgemaakt. De directeur deed aangifte, maar of het bedrijf het geld ooit nog terugziet? Waarschijnlijk niet.

Een medewerker van het bedrijf ontving een e-mail die van de directeur afkomstig leek, waarin werd gevraagd om een rekeningnummer te wijzigen waar geld naar toe zou worden overgemaakt dat bedoeld was voor de aandeelhouders. Een klassiek geval van CEO-fraude.

Het is hoog tijd om ons te wapenen tegen deze doordachte vorm van cybercrime. Wat is CEO-fraude, waarom is het zo effectief en wat kunnen we er tegen doen? Je leest het in deze blog.

04 mei Foto van een man in pak

Wat is CEO-fraude?

Bij CEO-fraude, ook wel whaling genoemd, stuurt de oplichter een e-mail namens een hooggeplaatst persoon van een organisatie (vaak de CEO of CFO) naar een medewerker met een frauduleuze betaalopdracht of een verzoek om een rekeningnummer te wijzigen. De oplichter creëert urgentie en noodzaak, zoals een aankomende overname of uitbetaling aan een belangrijke klant. Vanwege dit karakter wordt gevraagd om af te wijken van de reguliere procedure.

Vaak maken criminelen gebruik van e-mail spoofing, gebruiken ze sterk lijkende e-mailadressen of hebben ze toegang tot het echte e-mailaccount, bijvoorbeeld door inloggegevens via phishing te hebben gestolen

CEO-fraude. Een vorm van Business Email Compromise

CEO-fraude is een vorm van Business Email Compromise (BEC). Onder Business Email Compromise vallen onder andere ook salarisfraude en leveranciersfraude:

  • Salarisfraude: bij salarisfraude stuurt een crimineel een frauduleuze e-mail naar HR of de salarisadministratie met het verzoek om betaalgegevens te wijzigen of bij te werken. Op die manier wordt het salaris niet overgemaakt naar een legitieme bankrekening maar naar de rekening van de oplichter.
  • Factuurfraude: in de volksmond ook wel spookfacturen genoemd. Bij factuurfraude stuurt een crimineel een valse factuur naar organisaties om hen tot betalen te verleiden.
  • Leveranciersfraude: bij leveranciersfraude doet een crimineel zich voor als een leverancier waarmee een organisatie regelmatig zaken doet. De crimineel stuurt een verzoek om de bankgegevens bij te werken voor de betaling van openstaande facturen. Een bekende case is die van Bol.com. Bol.com maakte 750.000 euro over naar oplichters die leverancier Brabantia hadden gehackt. De oplichters verstuurden vanuit het e-mailaccount van Brabantia een e-mail met het verzoek om bankrekeningnummers te wijzigen. De e-mail stond vol met spelfouten, maar Bol.com vond dat de medewerkers in kwestie voldoende reden hadden om aan te nemen dat het verzoek legitiem was. De rechter bepaalde echter dat Bol.com Brabantia alsnog moest betalen.

Hoe gaat CEO-fraude in zijn werk?

Bekijk onze video om te zien hoe CEO-fraude in zijn werk gaat. Deze video is onderdeel van een trainingsmodule in ons security awareness platform.

 

De schade van CEO-fraude loopt vaak in de miljoenen

Met name bij CEO-fraude en leveranciersfraude gaat het vaak om tonnen of miljoenen euro’s. Een bekend voorbeeld is dat van bioscoopketen Pathé, waarbij 19 miljoen euro werd buitgemaakt. Het meest pijnlijke is dat de Nederlandse directie het target was. Criminelen deden zich voor als directeuren van het Franse hoofdkantoor en stuurden meerdere keren e-mails naar de Nederlandse directie met het verzoek om geld over te maken voor overnames. De Nederlandse topfunctionarissen zijn na de ontdekking van deze misser ontslagen.

Een andere geruchtmakende zaak vond in 2014 plaats bij Feyenoord In dat jaar verkocht Feyenoord verdediger Stefan de Vrij aan de Italiaanse club Lazio. De clubs kwamen overeen de transfersom in vier delen te betalen. Bij de laatste fase van de betaling ging het mis. In 2018 ontving Lazio een e-mail met het verzoek het laatste termijnbedrag van 2 miljoen euro over te maken naar de Rotterdamse club. Het vermelde rekeningnummer was echter in handen van cybercriminelen. Feyenoord heeft dat laatste termijnbedrag dan ook nooit gezien.

Waarom is CEO-fraude zo effectief?

Net zoals bij alle andere vormen van social engineering spelen criminelen bij CEO-fraude in op factoren waar mensen gevoelig voor zijn. CEO-fraude is te herkennen aan de volgende factoren:

  • Tijdsdruk en urgentie: het geld moet snel overgemaakt worden, want anders kan een belangrijke deal niet doorgaan. Regelmatig worden deze verzoeken aan het einde van de dag verstuurd om de urgentie extra kracht bij te zetten.
  • Nadruk op gezagsverhouding en autoriteit: de (betaal)opdracht wordt als bevel gegeven en komt van iemand van het hoger management. Hier tegenin gaan zou ongepast zijn.
  • Benadrukken vertrouwelijkheid: het is belangrijk om de opdracht vertrouwelijk te behandelen. Andere collega’s mogen nog niet op de hoogte worden gesteld.
  • Persoon is moeilijk bereikbaar: er wordt benadrukt dat communicatie alleen per e-mail mogelijk is. Telefonisch is de persoon niet te bereiken vanwege andere belangrijke zaken.
  • De medewerker wordt belangrijk gemaakt: het doelwit is uitgekozen om de opdracht uit te voeren vanwege zijn/haar uitzonderlijke kwaliteiten. Zonder hem/haar gaat het niet lukken.

In het geval van social engineering zit het helaas in de aard van de mens om (te) behulpzaam te willen zijn. Ook al is er enige twijfel, door de combinatie tussen bovenstaande factoren zijn we toch geneigd om te willen helpen en onszelf te bewijzen.

Hoe kan een bedrijf zich beschermen tegen CEO-fraude?

Doorlopende training om medewerkers alert te houden

Gelukkig is het steeds vaker regel dan uitzondering, maar doorlopende security awareness training is essentieel om medewerkers te trainen in het herkennen en afwenden van CEO-fraude en andere social engineering aanvallen. Een effectieve en schaalbare manier is door periodiek online security awareness trainingen aan te bieden. Hiermee maak je medewerkers alert op de signalen en maak je hen bewust dat dergelijke verzoeken altijd op een andere manier dan e-mail geverifieerd dienen te worden.

Technische maatregelen

Maak e-mail spoofing onmogelijk door de e-maildienst van je organisatie op de juiste manier te configureren. Natuurlijk sluit je hier niet alle aanvallen mee uit, maar je beperkt wel de mogelijkheden voor criminelen. Lees meer over e-mail spoofing in onze blog.

Zorg voor duidelijke procedures

Zorg dat er procedures rondom betalingen en het veranderen van betaalgegevens zijn opgesteld die altijd en voor iedereen gelden. Communiceer deze procedures duidelijk. Zorg er daarnaast voor dat dergelijke aanvragen nooit alleen via e-mail kunnen worden aangevraagd.

Creëer een meldcultuur

Een open cultuur waarin incidenten snel gemeld worden is essentieel voor een goede preventie en afhandeling. Stel een centraal meldpunt in, train medewerkers in wat te melden, hoe te melden, wat er met de melding gedaan wordt en beloon het melden. Lees meer over het creëren van een meldcultuur in onze blog.

Meer weten over training van medewerkers en preventie?

Neem dan eens vrijblijvend contact met ons op! Of vraag direct je gratis testaccount aan voor ons security awareness trainingsplatform via onderstaande button.

Start met security awareness training

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Take me there!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

Overheid Verplicht Opleiding Digitale Weerbaarheid 31 jan
Overheid Verplicht Basisopleiding Digitale Weerbaarheid: Een Cruciale Stap. Lees meer
02 okt
De Rijksdienst voor Ondernemend Nederland (RVO) komt met cybersubsidie voor kleine bedrijven Lees meer
07 sep
Doe jij iets extra’s tijdens de cybersecurity awareness maand in oktober? Check onze gratis toolkit! Lees meer
Bekijk alle blogs