Bedrijven kwetsbaar voor CEO-fraude wegens massaal thuiswerken

13 mei 2020 Banken.nl

Het is voor criminelen momenteel aantrekkelijk om zich te bezondigen aan CEO-fraude. Bij deze vorm van criminaliteit doet men zich voor als bestuurder om op die manier grote sommen geld te verduisteren. Vooral het massale thuiswerken zorgt ervoor dat normale controlemechanismen minder goed functioneren. Zakenkrant FD sprak over deze ontwikkeling met de Nederlandse Vereniging van Banken (NVB), het Anti Money Laundering Centre (AMLC) en accountants- en advieskantoor PwC. 

Ongetwijfeld één van de bekendste voorbeelden van CEO-fraude van de afgelopen jaren is die bij bioscoopketen Pathé. De Nederlandse tak van het van oorsprong Franse bedrijf kreeg in 2018 diverse malen het verzoek om geld te storten voor het doen van een geheime overname. De directie had wat vraagtekens, maar omdat de mails afkomstig waren – of leken – van de hoofddirectie uit Frankfrijk deed men het toch maar. Pathé ging uiteindelijk voor ruim €19 miljoen het schip in en de affaire kostte in Nederland zowel de algemeen directeur als de financieel directeur de kop. 

Geraffineerd voorbeeld

De Fraudehelpdesk waarschuwt al langere tijd voor deze vorm van fraude en toont een uiterst geraffineerd voorbeeld van hoe criminelen te werk kunnen gaan. Als voorbeeld nemen ze het fictieve bedrijf Big Business. De extensie van emailadressen van dit bedrijf is @bigbusiness.nl. Van @bigbusiness is het maar een kleine stap naar @blgbusiness, waarbij de ‘i’ verandert in een ‘l’. Afhankelijk van het lettertype is het verschil soms nauwelijks te onderscheiden en bijna geen mens zal hier acht op slaan. De crimineel plakt aldus de naam van de CEO voor het nep-adres, stuurt een mail naar de financiële administratie met het verzoek geld over te maken naar een bepaalde rekening en hoopt dat de administratie erin trapt.

Juist nu is er een verhoogd risico op deze manier van opereren door criminelen. Een administrateur die op kantoor werkt loopt misschien even binnen bij de CEO, maar een administrateur die thuiswerkt zal niet zo snel de telefoon oppakken om de CEO te bellen. Tegenover het FD zegt Suzanne Visser van het AMLC: “Werknemers staan op afstand, de lijnen zijn minder kort en iedereen is druk en gestresst. Bovendien kunnen criminelen makkelijker bij bedrijven inbreken via thuisnetwerken. 

Naast het aanmaken van een gelijk ogend emailadressen slagen criminelen er ook regelmatig in op de mailbox van CEO's te kraken. PwC waarschuwt dat het criminelen dit jaar al meerdere malen lukte om toegang te krijgen tot de mailbox van een CEO, met daarin gevoelige informatie over op handen zijnde transacties. Stel dat een crimineel opdracht geeft het bedrag – waarvan in principe maar heel weinig mensen weten – naar een ander rekeningnummer over te boeken. Het is aannemelijk dat de persoon die de opdracht krijgt deze gewoon uitvoert, zeker binnen hiërarchische bedrijven zo meldt het FD. 

Het thuiswerken zorgt ervoor dat normale interne controlemechanismen ineens minder goed werken. “Ze verslappen of vallen weg. Afdelingen staan onder verhoogde druk omdat de continuïteit bij veel bedrijven in het geding is. Daardoor nemen de risico's op fraude toe”, aldus André Mikkers, forensisch accountant bij PwC. 

Criminelen uit hun hok

Gelukkig is er ook een positieve noot te ontwaren. Suzanne Visser legt uit dat criminelen vaak van hetzelfde type ondernemingen gebruik maken om geld wit te wassen. Dat zijn bijvoorbeeld nagelsalons, sauna’s, sportclubs of horeca-ondernemingen. “Je doet er als witwasser in die sectoren het slimste aan om dicht te gaan en geen omzet meer op te geven. Maar niet iedereen heeft de discipline of de luxe om dat te doen.” Economische activiteit bij zulke ondernemingen moet dus automatisch een rode vlag genereren. 

Criminelen komen bovendien extra in het nauw omdat cash geld transporten nauwelijks kunnen plaatsvinden momenteel. Alle grenzen worden immers met argusogen in de gaten gehouden. In het FD geeft Visser aan dat ze verwacht dat criminelen een toevlucht zullen zoeken in crypto’s. “Witwassers zullen allerlei noodsprongen moeten maken, en daarmee brengen ze zichzelf voor even in het daglicht. Het is cruciaal dat we samenwerken met de douane, politie en gemeenten en dat ook poortwachters zoals de banken en accountants daar alert op zijn.”