Een mailtje van de baas met een opdracht: er moet geld worden overgemaakt. Facturen moeten worden betaald, of een overname moet rond worden gemaakt. Een heel normale gang van zaken in het dagelijks bedrijfsleven. Of toch niet? CEO-fraude komt steeds vaker voor. Wat is CEO-fraude precies? En hoe herken je dat?
CEO-fraude is een soort oplichting waarbij cybercriminelen e-mailaccounts van medewerkers van legitieme bedrijven vervalsen, en zich voordoen als leidinggevenden. Medewerkers in de boekhouding of de HR worden verleid om ongeautoriseerde overboekingen uit te voeren. Soms gaat het niet eens om direct gewin, maar om het delen van vertrouwelijke, waardevolle informatie.
De schade van CEO-fraude kan groot zijn. Zo zijn er bedrijven die wel voor anderhalf miljoen euro opgelicht worden op deze manier. Alleen al in Amerika wordt de schade op 26 miljard dollar begroot. Slachtoffer worden van CEO-fraude is dus een kostbare gebeurtenis.
Hoe voeren criminelen de fraude uit?
Om CEO-fraude te laten slagen, voeren criminelen een paar stappen uit. Soms kunnen deze stappen door elkaar heen lopen, of in een andere volgorde gebruikt. De totale fraude, bestaat meestal wel uit al deze stappen.
De eerste stap in de keten is phishing. Grote aantallen gebruikers krijgen een e-mail, met daarin een verzoek om informatie te geven. De criminelen doen zich voor als betrouwbare bronnen: in dit geval de directeur van een bedrijf, of een manager van het bedrijf.
Spear Phishing is de volgende stap: het opzetten van een fuik. De cybercrimineel heeft het bedrijf bestudeerd en heeft de benodigde gegevens verzameld. Bij phishing ontvangt een grote groep mensen een e-mail, maar bij spear phishing gaat dat heel gericht. Vaak is de mail ook wat persoonlijker van aard.
Soms wordt de directie of het management zelf gephisht: ze ontvangen een e-mail van wat lijkt op een bank, de overheid, een ander bedrijf of de Belastingdienst. Daardoor denkt ook de directeur dat er actie moet worden ondernomen. Dat noemen we ‘executive whaling’. Om het management voor de gek te kunnen houden, vergaren criminelen grote hoeveelheden data over de directeur of de manager. Daarmee wordt er vertrouwen gewonnen.
Cybercriminelen willen slagen in hun plan. Dat kan alleen als duidelijk is wie voor wie werkt, wie aan wie rapporteert en als de kwaadwillende snapt hoe het bedrijf in elkaar steekt (social engineering). Daartoe gebruiken cybercriminelen sociale media, zoals LinkedIn, Facebook en andere sites. Deze websites bieden een schat aan informatie over de organisatie. Het levert ook contactgegevens, connecties, informatie over vrienden en informatie over lopende deals op. Precies wat nodig is om het vertrouwen te winnen.
Hoe herken je CEO-fraude
CEO-fraude valt vaak te herkennen aan de wat dwingende toon in de e-mails. Er wordt een grote nadruk gelegd op de gezagsverhouding. Jij hebt er als medewerker niets over te zeggen: het is een bevel van hogerhand. Daarnaast wordt er gehamerd op vertrouwelijkheid: deze opdracht mag niet gedeeld worden met collega’s.
Vaak valt men voor de CEO-fraude doordat degene die de opdracht moet uitvoeren, heel belangrijk wordt gemaakt. Van alle medewerkers van een bedrijf, ben uitgerekend jij degene die mag meewerken aan zoiets belangrijks. Je zou uitzonderlijke kwaliteiten hebben.
De druk wordt opgevoerd. Het slagen van de transactie is jouw verantwoordelijkheid geworden. Alle ogen zijn op jou gericht. Zogenaamd, want eigenlijk heb je te maken met een toneelspel van cybercriminelen.
CEO-fraude voorkomen
Kijk goed naar de gebruikte e-mailadressen. Heel vaak lijkt het alsof de e-mail van het domein van het bedrijf komt, maar zit het toch net iets anders in elkaar. De letter ‘L’ wordt bijvoorbeeld vervangen met een hoofdletter I.
Controleer altijd het rekeningnummer van de ontvanger met je eigen administratie. Verifieer de betaling door de genoemde opdrachtgever te bellen. Als het om een legitieme transactie gaat, is de opdrachtgever al bekend in de administratie van het bedrijf. Gebruik het telefoonnummer uit deze administratie.
Wees alert op smoesjes: waarom is juist deze transactie of betaling zo urgent? Waarom worden de normale procedures niet gevolgd? Het is altijd goed om even langs de directeur te lopen en met een collega te overleggen. Ook als in de e-mail staat dat je niet met andere collega’s mag praten over deze opdracht.
Je zou zeer alert moeten worden als de e-mail opdringerig van aard is. Als een transactie snel gedaan moet worden, is het toch goed nog eens naar de directeur of de manager te lopen om dat te controleren. Door écht met elkaar te communiceren, en niet alleen digitaal, kun je kapitale fouten voorkomen.
Jezelf beter beveiligen met een anoniem privénetwerk
Als je surft, laat je veel sporen achter. Ook informatie over het bedrijf waar je aan het internetten bent. Een VPN kan ervoor zorgen dat je minder sporen achterlaat. Ook bieden sommige VPN’s bescherming tegen bepaalde beveiligingsrisico’s. Zo zijn er ook VPN-aanbieders die bijvoorbeeld beschermen tegen phishing.
Een VPN is een virtueel privénetwerk. Al je data wordt versleuteld verstuurd, binnen een netwerk in het reeds bestaande netwerk. De data wordt omgeleid via een server, die vaak in het buitenland staat. Deze server leent ook een IP-adres uit. Aan de hand van het IP-adres kan de locatie van de gebruiker op het internet worden bepaald. Daardoor lijkt het net alsof je vanaf een andere locatie verbindt. Op die manier internet je anoniemer en veiliger.