CEO-fraude. Wat is dat en hoe voorkomt u dat u slachtoffer wordt?

awareness-bewustzijn

Eerder meldden we op deze site dat cybercriminelen steeds geraffineerder worden en geen enkele mogelijkheid onbenut laten om hun doelen (meestal geld) te verwezenlijken. Een van de meest brutale methoden die cybercriminelen gebruiken is CEO-fraude. Afgelopen tijd plaatsen we twee recente voorbeelden van CEO fraude op deze site. Wat is nu CEO-fraude en hoe voorkomt u dat u slachtoffer hiervan wordt?

CEO-fraude is een methode van cybercriminelen om organisaties geld afhandig te maken door zich voor te doen als CEO. De cybercriminelen verdiepen zich in de organisatie waarop ze het hebben gemunt, zoeken op internet naar de namen van de directie en meestal onderscheppen ze berichten (e-mails) om op een slinkse wijze op de hoogte te raken van het reilen en zeilen van de organisatie.

Vervolgens doen ze zich voor als de CEO of CFO van deze organisatie en sturen ze een e-mail naar een medewerker op de financiële administratie (die meestal geautoriseerd zijn bedragen over te maken en/ of bankrekeningnummers te wijzigen). Het e-mailadres dat de cybercriminelen hiervoor gebruiken lijkt sterk op dat van de CEO of CFO, maar wijkt subtiel af. De medewerker wordt vervolgens opgedragen een groot geldbedrag op een (buitenlandse) rekening te storten of een bankrekeningnummer van bijvoorbeeld een grote leverancier te wijzigen.

Vaak zijn grote, internationaal opererende organisaties de dupe van CEO-fraude. De benaderde medewerker kent de CEO of CFO alleen bij naam. Hij/ zij wordt directief aangespoord om actie te ondernemen en alle pogingen om te checken of de opdracht klopt worden geregisseerd. Zo wordt ter verificatie een ‘advocaat’ of ‘accountant’ opgegeven, die in het complot zit.

Via CEO-fraude zijn inmiddels vele organisaties opgelicht voor tientallen miljoenen euro’s, zoals te lezen valt in de blogs over CEO-fraude bij Wehkamp-Didi en het Noorse investeringsfonds Norfund.

Rob de Leur van Vos Orbedo geeft desgevraagd aan dat CEO-fraude te voorkomen is wanneer medewerkers zich bewust zijn van de risico’s. ‘Awareness is van belang en alle alarmbellen moeten gaan rinkelen wanneer de volgende dingen gebeuren:

  • Je krijgt een e-mail van de hoogste baas waarin sterk de nadruk wordt gelegd op de gezagsverhouding. Je krijgt een bevel om iets te doen (geld over te maken of een bankrekeningnummer te wijzingen).

  • In de e-mail staat dat vertrouwelijkheid van groot belang is. De opdracht mag niet gedeeld worden met collega’s.

  • Je wordt persoonlijk benaderd en wordt belangrijk gemaakt. Je bent uitgekozen deze belangrijke opdracht uit te voeren vanwege je uitzonderlijke kwaliteiten.

  • Het belang van de opdracht is groot. Het slagen ervan wordt jouw verantwoordelijkheid gemaakt.

  • Tijdsdruk. Geld moet snel overgemaakt worden/ het bankrekeningnummer moet direct worden gewijzigd.

  • Tip: kijk goed naar het e-mailadres dat de ‘CEO/ CFO’ gebruikt. Dit is vaak een vals e-mailadres, maar lijkt sterk op het correcte e-mailadres.

In het geval bovenstaande gebeurt moet u direct actie ondernemen en contact zoeken met uw security officer. Voer in geen geval de gegeven opdracht uit anders bent u net als vele andere organisaties veel geld kwijt’, aldus De Leur.

#Aim2Community

#Aim2Incidents

#Aim2Management