Hoe voorkom ik dat ik slachtoffer word van CEO-fraude?
Hoewel CEO-fraude een vrij onbekende vorm van cybercriminaliteit is, is de impact als je slachtoffer wordt van deze fraude enorm. Het brengt zelfs de grootste financiële schade toe aan bedrijven van alle vormen van cybercrime. Genoeg reden dus om jouw personeel, en dan met name je medewerkers die betalingen uitvoeren en je eventuele boekhouder, goed te informeren over de kenmerken van CEO-fraude.
Wat is CEO-fraude?
Bij CEO-fraude krijg een medewerker een e-mail. De afzender van die e-mail lijkt de CEO of directeur van de organisatie die vraagt om een groot geldbedrag over te maken. Vaak is er volgens de afzender haast geboden bij de betaling. De medewerker maakt nietsvermoedend het geldbedrag over. Pas later, wanneer de medewerker bijvoorbeeld contact heeft gehad met de echte directeur, blijkt er sprake te zijn van oplichting. Het geld is dan al weg.
Kenmerken van CEO-fraude
1. Er zit tijdsdruk achter. Wanneer er in de mail wordt benadrukt hoe belangrijk snelle betaling is, moet er een belletje afgaan: dit klopt niet. Laat de financiële medewerker altijd een mailtje over betaling waarin tijdsdruk een rol speel verifiëren.
2. De afzender vraagt om discretie. Staat er in het mailtje dat de betaling vertrouwelijk is en de medewerker geen informatie mag delen met collega’s? Ook dit kan een teken zijn van een frauduleuze e-mail. Zo voorkomt de crimineel namelijk dat de medewerker contact durft op te nemen of de betrouwbaarheid bespreekt met collega’s.
3. De rol van de ontvanger is erg belangrijk. Wanneer in de mail wordt benadruk hoe belangrijk de rol van de ontvangende medewerker is, bijvoorbeeld door tijdig te betalen of geen informatie te delen, is dit ook een kenmerk van CEO-fraude. De medewerker is zo minder snel geneigd om anderen om advies te vragen.
4. De domeinnaam of e-mailadres van de afzender wijkt af. Het e-mailadres van de afzender wijkt af van het bekende e-mailadres. Op het eerste oog hoeft het niet op te vallen: een kleine letter L (l) is vervangen door de hoofdletter i (I), in plaats van een w staan er twee V (vv), etc.
5. Het rekeningnummer wijkt af van oude administratie. Oplichters maken soms facturen na van bekende klanten en passen alleen het rekeningnummer aan. Controleer bij betaling altijd of het rekeningnummer dat in de e-mail staat gelijk is aan het rekeningnummer dat al bekend is in je administratie. Is het een ander rekeningnummer? Neem dan contact op met de klant van wie de factuur afkomstig zou zijn om na te vragen of het rekeningnummer veranderd is.
Maatregelen
1. Informeer personeel. De beste maatregel die je kan nemen als werkgever is ervoor te zorgen dat al je medewerkers op de hoogte zijn van de kenmerken in voorgaande paragraaf. Licht deze aan hen toe. Benoem deze en andere maatregelen die je neemt tegen cybercrime in je onboardingdocument. Ook kan je een halfjaarlijkse toolbox cyberveiligheid organiseren waarin je alle maatregelen én het belang hiervan herhaalt. Stimuleer medewerkers ook om zich te verdiepen in cybercrime en laat hen bijvoorbeeld een training volgen.
2. Wees benaderbaar. Wanneer de financiële medewerker de binnengekomen mail met het betalingsverzoek verifieert bij de directeur of leidinggevende, kunnen bedrijven voorkomen slachtoffer te worden van CEO-fraude. Om dat te bereiken is het cruciaal dat deze medewerkers weten bij wíe ze snel de betrouwbaarheid van mails kunnen nagaan. De drempel om deze personen, bijvoorbeeld de directeur, bij twijfel te benaderen moet laag zijn. Benadruk dat bij twijfel er áltijd contact opgenomen kan en moet worden. Ook als er in de mail staat dat de CEO momenteel afwezig is.
3. Deel je contactgegevens. In een frauduleuze e-mail kan een telefoonnummer genoemd worden waar de financiële medewerker naar kan bellen om de authenticiteit van de afzender te verifiëren. Wanneer een medewerker dit nummer belt, krijgt hij bijvoorbeeld een advocatenkantoor aan de lijn die verzekert dat de e-mail en het verzoek tot betaling kloppen. Dit is uiteraard niet echt een advocatenkantoor. De medewerker krijgt een van de oplichters aan de lijn. Zorg er dus voor dat medewerkers nooit het telefoonnummer uit de verdachte mail bellen, maar ze beschikken over juiste contactgegevens van jouw als directeur of een collega bij wie ze e-mails kunnen verifiëren.
4. Heroverweeg processen. Wat zijn de processen die jij en jouw medewerkers volgen bij betaalopdrachten? Breng deze in kaart, signaleer zwakke plekken en scherp je processen aan. Denk bijvoorbeeld aan het inbouwen van extra checks/controles bij hogere bedragen.