Factuurfraude

Factuurfraude is een vorm van social engineering waarbij een crimineel een vervalste factuur stuurt naar een organisatie.

Inhoudsopgave:

Wat is factuurfraude?

Factuurfraude is een vorm van social engineering en phishing, waarbij een crimineel zich voordoet als een legitieme leverancier en een valse factuur naar een organisatie stuurt in de hoop dat de organisatie gaat betalen. Dit fenomeen wordt ook wel 'spookfactuur' genoemd.

Met factuurfraude probeert de crimineel organisaties te misleiden om betalingen te doen naar een frauduleuze bankrekening, zonder dat de organisatie dit door heeft.

Hoe gaat factuurfraude in zijn werk?

Bij factuurfraude past de crimineel social engineering-technieken toe om het doelwit te misleiden. Daarbij worden de volgende stappen doorlopen.

Informatie verzamelen

De crimineel doet onderzoek naar de organisatie die doelwit is en verzamelt zo veel mogelijk informatie over bestaande leveranciers, hoe betalingen worden gedaan en personen die verantwoordelijk zijn voor het doen van betalingen. Vaak wordt deze informatie verzameld via openbare bronnen, zoals de website en social media, maar het komt ook voor dat de crimineel e-mailverkeer heeft weten te onderscheppen, bijvoorbeeld door het hacken van het e-mailaccount van de leverancier.

Versturen van de nepfactuur

Met alle verzamelde informatie kan de crimineel een nepfactuur van een vertrouwde leverancier uitsturen die niet van echt te onderscheiden is en gericht is aan de juiste persoon. De factuur bevat gewijzigde bankrekeninggegevens, zodat de betaling naar een frauduleuze rekening gaat.

Misleiding door authenticiteit

Voor het versturen van de factuur bootst de crimineel het emailadres van de leverancier na, dit is ook wel bekend als spoofing. Ook zijn er gevallen bekend waarbij de crimineel het e-mailaccount van de leverancier had gehackt en dus een dus een nepfactuur stuurde via het echte e-mailadres van de leverancier. In de meeste gevallen gaat het om facturen met relatief kleine bedragen, waardoor er geen alarmbellen afgaan en de organisatie sneller geneigd is te betalen.

Nepfactuur wordt betaald

Als de financiële afdeling de betaling zonder verdere verificatie overmaakt, verdwijnt het geld op de rekening van de crimineel of die van een geldezel. Een geldezel laat zijn of haar bankrekening misbruiken om geld van criminelen naar iemand anders over te maken. Deze rekeningen worden vervolgens snel leeggemaakt of worden de bedragen doorgeboekt naar andere landen, wat het moeilijk maakt om het geld terug te krijgen als het eenmaal is overgemaakt.

Hoe bescherm je je organisatie tegen factuurfraude?

Als organisatie dien je een combinatie van technische, procedurele en menselijke maatregelen te implementeren om factuurfraude te voorkomen. Denk daarbij aan:

  • Streng facturatiecontroleproces: stel een streng proces op voor inkomende facturen, waarbij meerdere medewerkers betrokken zijn en waar grote betalingen altijd moeten worden goedgekeurd door meerdere collega’s. Wijk daarbij nooit van het proces af!
  • Leg bankgegevens vast: zorg dat bankgegevens van vertrouwde leveranciers worden geregistreerd en alleen door geautoriseerde medewerkers kunnen worden gewijzigd na verificatie.
  • Verifieer wijzigingen in gegevens: voer altijd een verificatie uit bij de leverancier wanneer er een wijziging in bankgegevens wordt doorgegeven. Gebruik hiervoor bijvoorbeeld het algemeen bekende telefoonnummer en niet het nummer dat op de vervalste factuur staat, dit kan namelijk het telefoonnummer van de crimineel zijn.
  • Train medewerkers in je organisatie: bewustwording over online en offline bedreigingen is cruciaal. Train medewerkers regelmatig in het herkennen van phishingmails en andere frauduleuze praktijken.
  • Beveilig e-mailsystemen: goed beveiligde e-mailsystemen voorkomen dat aanvallers e-mailadressen vervalsen of compromitteren. Denk aan SPF, DKIM en DMARC.
  • Goede rapportage en analyse van incidenten: voer evaluaties uit van incidenten en afgewende incidenten om lering te trekken en mogelijke toekomstige aanvallen af te kunnen wenden.

Hoe reageren jouw medewerkers op factuurfraude?

Het is essentieel dat je medewerkers op een juiste en adequate manier reageren wanneer ze het doelwit zijn van (een poging tot) factuurfraude. Enkele richtlijnen zijn:

(Pogingen tot) factuurfraude melden: ontvangt een medewerker een verdachte factuur of e-mail? Dan is het essentieel dat er zo snel mogelijk melding gedaan wordt bij de IT-afdeling of het beveiligingsteam. Zo kan worden voorkomen dat andere collega’s slachtoffer worden.

Betalingen stopzetten: wanneer een medewerker twijfelt over de legitimiteit van een factuur moet de medewerker de betaling kunnen stopzetten en de situatie verder onderzoeken, bijvoorbeeld door advies in te winnen van een collega.

Contact opnemen met leveranciers: moedig medewerkers aan om contact op te nemen met de leverancier wanneer er twijfel is. Een kort telefoontje kan een heleboel ellende voorkomen.

Factuurfraudesimulatie

Bij Awaretrain is een facuurfraudesimulatie regelmatig onderdeel van een bredere security awareness campagne. Weten hoe jouw collega’s reageren op factuurfraude? Vul het contactformulier in en we nemen doorgaans dezelfde dag contact met je op. Je kan ons natuurlijk ook altijd bellen of mailen.

+31 (0)88 018 16 00 info@awaretrain.com