CEO fraude: geld of bedrijfsgegevens stelen
AlgemeenCEO fraude is een vorm van oplichting, waarbij criminelen zich voordoen als algemeen directeur (CEO) van een bedrijf. Ze sturen e-mails naar medewerkers, vaak op de financiële afdeling, met het verzoek om snel geld over te maken naar een specifieke bankrekening.
Door zich uit te geven als bijvoorbeeld CEO, CFO of directeur dragen zij de financiële administratie op, van veelal grote organisaties, om geldbedragen over te maken. Het geld verdwijnt over het algemeen naar een buitenlandse rekening. Dit zijn niet slechts enkele incidenten, maar een extreem voorbeeld van fraude die steeds vaker voorkomt en professioneler wordt.
Het doel van CEO fraude is voor de hand liggend: geld of vertrouwelijke informatie stelen. Criminelen misleiden medewerkers door zich voor te doen als de hooggeplaatste persoon binnen - of buiten - de organisatie.
Mailbox hacken
Hoe werkt het? De oplichters hacken vaak de mailbox van de CEO. Ze sturen een betaalverzoek naar de administratieve afdeling, waarin ze vragen om een geldbedrag over te maken naar een specifieke bankrekening. Die bankrekening is uiteraard in handen van de oplichters. CEO-fraudeurs opereren wereldwijd, maar er zijn bepaalde hotspots, zoals Nigeria. Ze gebruiken vaak geavanceerde technieken, zoals het wijzigen van e-mailadressen in eerdere correspondentie om hun identiteit te verbergen.
CEO fraude is een groeiend probleem en kan bedrijven aanzienlijke schade toebrengen. Het is essentieel, dat organisaties hun medewerkers bewust maken van deze dreiging en adequate beveiligingsmaatregelen treffen.
Druk
Hier zijn enkele stappen die ondernemers kunnen nemen om hun organisatie te beschermen tegen CEO-fraude. Maak medewerkers bewust van oplichting met als doel toegangsgegevens te stelen. Wijs hen op de signalen die op CEO fraude kunnen wijzen. Ongebruikelijke verzoeken zijn een plotselinge vraag om een grote som geld over te maken naar een onbekende rekening, vaak met hoge urgentie. Er wordt druk uitgeoefend om snel te handelen, meestal met een excuus dat de ‘CEO’ in een vergadering zit of niet direct bereikbaar is voor verificatie. Er wordt benadrukt, dat de transactie vertrouwelijk moet blijven en niet besproken mag worden met andere collega’s of afdelingen. Zeker bij organisaties met een grote machtsafstand, zoals bij een hoofdkantoor in Frankrijk of Duitsland, vindt er dan weinig tegenspraak plaats. Dan doe je gewoon wat de baas vraagt, punt.
Waakzaam
Let op veranderingen in contactgegevens. E-mails die afkomstig lijken te zijn van de CEO of een senior manager, maar met licht afwijkende e-mailadressen of telefoonnummers. Ook als de standaardprocedure anders is dan gebruikelijk moet dat argwaan wekken, evenals e-mails met weinig details over de reden voor de overboeking of de ontvanger van het geld. Het is belangrijk om altijd waakzaam te zijn en bij twijfel de identiteit van de persoon te verifiëren via een ander communicatiekanaal. En controleer de online etalage. Criminelen kunnen veel informatie over een bedrijf op internet vinden. Check regelmatig welke informatie over het eigen bedrijf en de medewerkers online beschikbaar is. Maak het hen zo moeilijk mogelijk om namen, functies en e-mailadressen te stelen.
LinkedIn goudmijn
“Vaak zien we dat criminelen een campagne per sector uitvoeren,” zegt Remco Groet, strategisch adviseur bij de Informatiebeveiligingsdienst (IBD). ‘Ze sturen dezelfde e-mail naar honderd (overheids)organisaties in de hoop dat er enkele happen. Daarbij maken ze gebruik van open bronnen. Informatie op LinkedIn is een goudmijn voor ze.” De cybercriminelen slagen regelmatig in hun opzet. Zo is de Brabantse gemeente Meierijstad het schip ingegaan voor 37.000 euro. In maart raakte Krimpen aan de IJssel maar liefst 176.000 euro kwijt aan CEO-fraude. In Noord-Holland was de gemeente Alkmaar de klos met 236.00 euro.
