CEO-fraude: ‘Zorg dat je interne processen op orde zijn’

Veel organisaties zijn alert op CEO-fraude. Toch is dit nog altijd een van de meest voorkomende fraudevormen. Hoe gaan criminelen te werk? En wat kun je doen om dit te voorkomen?

Criminelen verzinnen continu nieuwe methodes om succesvol te zijn met CEO-fraude. “Maar als je je interne processen op orde hebt, maken criminelen nagenoeg geen kans”, zegt Ron Nieuwendijk, Senior Consultant Fraude en Integriteit bij Hoffmann. "Daarnaast is het belangrijk om medewerkers goed te informeren over deze vorm van fraude, want als zij de signalen van een klassieke CEO-fraude kunnen herkennen, doorzien ze het ook als criminelen met een nieuwe variant proberen toe te slaan."

Hoe verklaar jij het dat CEO-fraude nog altijd zo veel voorkomt?
“Het is voor criminelen eenvoudig om veel informatie over een bedrijf te verzamelen. Een dagje speuren op social media geeft al een goed beeld van de mensen die bij een bedrijf werken.

Ook een telefoontje aan een bedrijf is gemakkelijk gepleegd. Criminelen bellen bijvoorbeeld met een vraag over een factuur. Negen van de tien receptionisten verbindt hen door met de medewerker van de financiële administratie. Zo achterhalen ze eenvoudig wie er over de betalingen gaat en wat het e-mailadres van die medewerker is.”

Wat zijn de stappen die criminelen daarna zetten bij een klassieke CEO-fraude?
“Ze sturen de CEO een e-mail met een phishing link die de nieuwsgierigheid wekt, bijvoorbeeld met de tekst ‘Ik heb een artikel gelezen waarin er zeer negatief over uw bedrijf gesproken wordt’. Natuurlijk weet iedereen dat je niet op zo'n link moet klikken. Maar CEO’s hebben het druk waardoor dit in de snelheid en nieuwsgierigheid toch kan voorkomen. Vervolgens komen zij op een pagina waarin gevraagd wordt om opnieuw in te loggen. Als een CEO ook dat doet, heeft de crimineel helemaal vrij spel. Hij kan dan al het e-mailverkeer van de CEO lezen en vanuit zijn mailbox mails versturen.”

Hoe slaan ze vervolgens toe?
“Ze sturen vanuit de e-mailbox van de CEO een e-mail naar de medewerker van de financiële administratie. Deze e-mail lijkt qua stijl en woordkeuze exact op de e-mails die de CEO altijd stuurt. In de e-mail vraagt de crimineel de medewerker om met spoed veel geld over te maken.

Vaak schrijft hij dat de betaling vertrouwelijk moet blijven. Medewerkers spreken de CEO niet graag tegen, zeker niet als hij hen onder druk zet. Zo kan het voorkomen dat een medewerker grote bedragen overmaakt op de rekening die de crimineel hen gegeven heeft.”

Nu CEO-fraude meer bekendheid heeft gekregen, passen criminelen hun werkwijze aan. Wat zien jullie daarvan terug?
“CEO’s klikken minder snel op een link. Daardoor is het moeilijker geworden om in te breken in hun e-mailbox. Criminelen hebben hun werkwijze aangepast. Ze maken bijvoorbeeld een nieuwe domeinnaam aan die lijkt op de domeinnaam van het bedrijf. Zo kunnen zij nog steeds e-mails versturen die sprekend lijken op de e-mails van de CEO, zonder dat ze in hoeven te breken in zijn e-mailbox.”

Hoe kun je als bedrijf voorkomen dat je geraakt wordt door CEO-fraude of varianten daarop?
“Je voorkomt dit door je interne processen goed op orde te hebben. Spreek af wie op welk moment betalingen doet en zorg voor het 4-ogenprincipe. En zorg ervoor dat medewerkers de juiste stappen zetten als zij een betaling niet vertrouwen. Het is bijvoorbeeld niet verstandig om de vervalste e-mail te beantwoorden of om het nummer te bellen dat in de e-mail genoemd wordt. Daarmee neem je namelijk contact op met de crimineel zelf.

Ook is het goed om er alert op te zijn dat criminelen vaak toeslaan in de vakantieperiode. Ze schrijven dan, onder de naam van de CEO, dat ze slecht bereikbaar zijn vanwege de vakantie. Ze weten dat medewerkers hun baas niet graag storen tijdens een vakantie en dat ze daardoor eerder geneigd zijn om de opdracht uit te voeren.”

Verwacht je dat CEO-fraude afneemt nu steeds meer bedrijven hun interne processen goed op orde hebben?
“Nee. Ik verwacht dat criminelen veelvuldig pogingen blijven doen om (CEO-)fraude te plegen, ook als de kans op succes afneemt. Ze schieten met hagel en vallen tientallen bedrijven tegelijk aan. Zo’n 99% van de bedrijven trapt daar niet in. Als er slechts één bedrijf tussen zit dat niet alert is, hebben ze toch beet.

Ook zien we dat criminelen steeds brutaler worden. Ze doen zich bijvoorbeeld voor als de adviseur van de CEO en bellen de administratief medewerkers op. Zo kunnen ze de druk nog beter opvoeren. Ze zeggen dat ze met een grote overname bezig zijn en dat het belangrijk is om nú geld over te maken. Het komt voor dat medewerkers daarvoor zwichten.”

Zijn er ook nieuwe vormen van fraude die je kunt zien als de opvolger van de CEO-fraude?
“Jazeker. Criminelen verzinnen veel varianten die op CEO-fraude lijken. Zo hebben we onlangs nog een ondernemer geholpen die via de e-mail een spoedorder kreeg voor 20 laptops. Deze order werd op vrijdagmiddag geplaatst en de laptops moesten maandag afgeleverd worden. Dat is slim, want in het weekend heeft een bedrijf minder mogelijkheden om gegevens te checken.

De ondernemer heeft verschillende kanalen geraadpleegd, zoals LinkedIn en de website van het bedrijf. Dat zag er allemaal betrouwbaar uit. Bovendien was het een mooie deal die hij op dat moment goed kon gebruiken. Zo gebeurde het dat hij 20 laptops afleverde bij de crimineel en naar zijn geld kon fluiten. De criminelen hadden zich namelijk voorgedaan als een inkoper van een betrouwbaar bedrijf. Natuurlijk was het beter geweest als hij om een aanbetaling had gevraagd en voorzichtiger was geweest met nieuwe klanten. Maar dat soort zaken realiseerde hij zich pas achteraf, toen het al te laat was.”

Merken jullie ook dat criminelen misbruik maken van crisissituaties?
“Jazeker, en dat zag je ook tijdens de coronacrisis. Iedereen ging thuis werken en daardoor nam het persoonlijke contact tussen medewerkers af. Normaal gesproken kun je even bij de CEO langslopen om te checken of een mailtje klopt. Tijdens de coronacrisis moest alles telefonisch of per e-mail. Daar hebben criminelen misbruik van gemaakt.

Daarnaast zie je bij veel crises dat bedrijven hun procedures aanpassen. Organisaties geven bijvoorbeeld meer medewerkers een machtiging om betalingen te kunnen doen, omdat dat tijdens een crisis gemakkelijk is. Dat maakt een organisatie kwetsbaarder. Daarom is het belangrijk om na een crisis te checken of alle procedures weer hersteld worden. Een medewerker zal niet snel uit zichzelf melden dat hij nog altijd een machtiging heeft. Je zult zelf moeten checken of alles weer veilig genoeg is.”

Zijn er ook dingen waar je alert op moet zijn, als je ooit door een CEO-fraude getroffen bent?
“Ja. Organisaties gaan er bij een CEO-fraude vaak vanuit dat de bedreiging van buitenaf komt. In de praktijk blijkt dit veelal ook zo te zijn. Maar deze vorm van fraude is ook gemakkelijk te plegen door de administratief medewerkers zelf. Het is derhalve van belang om dit toch goed te onderzoeken. Je wilt zeker weten of er geen interne betrokkenheid is en dat je kunt vertrouwen op je medewerkers. In de meeste gevallen worden de CEO fraudes door buitenstaanders gepleegd, maar soms is de dader dichter bij dan je zelf denkt.”