X
07mrt

Denk bij CEO-fraude niet: ‘Dat overkomt mij niet’ - door Henk-Jan Buist

Tijdens de coronacrisis is CEO-fraude, waarbij criminelen bedrijven voor grote bedragen oplichten door procedures te misbruiken, fors gegroeid. Interim-ceo en ervaringsdeskundige Dertje Meijer vertelt tijdens de masterclass Bestuurdersaansprakelijkheid in Finance uitgebreid over de valkuilen. ‘CEO-fraude moet uit de taboesfeer.’
‘Bedrijven die slachtoffer worden van deze fraude stappen niet zo snel naar de politie en al helemaal niet naar de media,’ vertelt Meijer. ‘Daardoor blijft het onbesproken, terwijl het vaak voorkomt. Er is een groot aantal bedrijven, van beursgenoteerde bedrijven via de advocatuur tot mkb’s, dat te maken heeft gehad met CEO-fraude.’ Sommige bedrijven kiezen ervoor om de PR-schade te beperken door open en transparant te communiceren over wat er zich heeft voorgedaan, maar menig bedrijf houdt liever stil dat er tonnen zo niet miljoenen zijn verdwenen richting een oplichter. ‘Denk niet: “Dat overkomt mij niet”.’
 

Criminelen kennen de organisatie door en door

Slachtoffers vallen ten prooi aan gewiekste social engineers; moderne oplichters die hun kunde en kennis van technologie inzetten om normaal gesproken waakzame financials aan te zetten tot het uitvoeren van een misstap. Deze criminelen zijn bijvoorbeeld al lange tijd aanwezig in het netwerk doordat ooit een werknemer via een phishingmailtje – een malafide e-mailtje met bijvoorbeeld een link naar een nagebootste bedrijfsportal – onbevoegde personen heeft toegelaten tot de systemen. In plaats van het stelen van data uit deze systemen, houden ze zich stil, bekijken ze communicatie, leren ze interne procedures kennen, begrijpen ze wie er verantwoordelijk is voor welke taken en wachten ze het ideale moment af om toe te slaan. Vaak gebeurt dit bij een relatief nieuwe medewerker.

Zo zetten criminelen aanvallen met malware in om legitieme accounts over te nemen, zodat ze uit hoofde van een belangrijke persoon binnen de organisatie kunnen e-mailen. Hoe hoger in de boom, hoe beter, want dan zit er meer druk achter van bovenaf. Meijer kent het klappen van de zweep inmiddels goed en werd zelf ooit het doelwit van criminelen die dergelijke fraude inzetten om organisaties bedragen afhandig te maken. ‘Het is belangrijk dat organisaties zich hiervan bewust zijn. Ik heb ze vroeger ook wel gezien, die e-mailtjes uit Afrika die duidelijk vals zijn. Maar criminelen zijn zoveel beter geworden. Ze kennen de organisatie, ze weten bij wie ze moeten zijn en begrijpen wat logische bedragen zijn voor hun verzoeken.’ Alles om maar zo min mogelijk argwaan te wekken bij de ontvanger. Denk daarbij aan legitieme leveranciers, normale processen, herkenbare sjablonen, betrouwbare adviseurs en meer normale patronen die niet meteen de alarmbellen doen rinkelen.

 

Kwetsbaarder dan organisaties denken

‘Dit zijn professionele criminele organisaties.’ Dat vereist professionele bestrijding. Diverse grote organisaties laten IT-beveiligingsspecialisten daarom een zogeheten penetratietest uitvoeren. Daarbij proberen hackers van het bedrijf de organisatie binnen te komen via bijvoorbeeld gaten in software, het overtuigen van werknemers iets te installeren of procedurele missers waardoor iemand wordt toegelaten in de serverruimte. ‘Je kunt ook sociale hackers inhuren die social engineering toepassen. Daarna wordt er geëvalueerd wat er wel gelukt is en wat niet.’ Dat zorgt voor een stukje bewustzijn én concrete inzichten over waar de organisatie kwetsbaar is, vertelt Meijer.

Organisaties zijn stukken kwetsbaarder hiervoor dan de meeste denken, omdat de aanvallers gewiekst zijn en omdat deze fraude veel vaker voorkomt dan er melding van wordt gemaakt. In het coronajaar 2020 nam het aantal pogingen tot CEO-fraude fors toe. Volgens netwerkbeveiliger Barracuda Networks werden er twee keer zoveel van deze aanvallen uitgevoerd, los van de ‘reguliere’ phishing, die explosief steeg in het jaar dat thuiswerken gemeengoed werd.

De kwetsbaarheid tijdens de coronacrisis is drieledig: ten eerste gebruiken criminelen nieuws over corona om verleidelijke e-mails te maken, zodat gebruikers klikken op iets waardoor ze besmet worden met gevaarlijke software. Ten tweede werken de meeste mensen thuis en daar zijn de middelen traditioneel minder goed beveiligd dan op de werkplek op kantoor, waar netwerkverkeer wordt gemonitord en er minder kruisbestuiving is met privémiddelen. Ten derde is een financial die thuis werkt minder snel geneigd om voor elk verzoek een collega te vragen: klopt dit wel? Op een kantoor roept men sneller iets naar een collega en weten we van elkaar beter waar we mee bezig zijn.

 

Opletten bij deze signalen

Deze drie zaken hebben ervoor gezorgd dat zowel phishing als CEO-fraude een vlucht hebben genomen het afgelopen jaar. Daarom is het belangrijker dan ooit dat organisaties stilstaan bij dit soort dreigingen. Er is een aantal signalen dat extra opletten op z’n plaats is als een verzoek binnenkomt. Op zichzelf zijn het niet altijd redenen dat er iets niet in de haak is, maar vooral als er sprake is van meerdere van deze signalen, is oplettendheid geboden:

 

  • Het verzoek komt per e-mail binnen, niet in persoon
  • Het voorstel komt bij voorkeur terecht bij iemand die nog niet zo lang binnen de organisatie actief is
  • Er mag of kan niet over gecommuniceerd worden, bijvoorbeeld omdat het om een geheime overname gaat
  • Het verzoek is heel tijdsgevoelig; het móét bijvoorbeeld vandaag nog worden uitgevoerd
  • De vraag komt van een hooggeplaatst persoon of belangrijke partij
  • Er is een nieuw rekeningnummer of nieuwe partij bij betrokken
  • Het moet buiten de normale procedure (vanwege bijvoorbeeld tijdsdruk) buiten worden uitgevoerd.
  • Vaak zit een internationaal aspect aan.

Vooral als het gaat om iets dat urgent of vertrouwelijk is, is het zaak om dit ofwel toch intern te bespreken of om een procedure te hebben waardoor alle daadwerkelijk verantwoordelijke personen ermee te maken krijgen. ‘Gebruik bijvoorbeeld een systeem waarbij meerdere codes betrokken zijn. Zoiets als de nucleaire launchcodes, waarbij meerdere mensen een code moeten opgeven voordat een actie wordt uitgevoerd.’

 

Volgens Meijer is vooral blijven communiceren binnen de organisatie doorslaggevend en kan één belletje het verschil betekenen tussen een ontweken ramp en een vleesgeworden nachtmerrie. Blijf vragen stellen over bijvoorbeeld betaalverzoeken die niet honderd procent de geijkte procedure volgen. ‘Anders ga je achteraf denken: “had ik maar doorgezet met bellen”,’ weet de ervaringsdeskundige.

 

Tips ter preventie

Deze criminelen gaan heel geraffineerd te werk en zelfs gepokte en gemazelde externe accountants en security desks van grote banken kunnen wel stellen dat iets in orde lijkt, maar dat is nog geen garantie dat u niet wordt opgelicht. De onderneming is uiteindelijk verantwoordelijk, dus advies van buitenaf is niet altijd voldoende om u ervan te vergewissen dat alles in orde is. CEO-fraude is niet altijd te voorkomen met onderstaande tips, maar kunnen al helpen om u te behoeden voor ellende:

  1. Zorg voor bewustzijn: voer regelmatig social engineering-tests uit op de medewerkers en bespreek de resultaten met elkaar. Straf missers niet af, maar beloon oplettendheid
  2. Vraag na bij betrokken personen, per telefoon en niet per e-mail, of deze transactie klopt
  3. Zorg dat de procedures en autorisatieprocessen op orde zijn: het gaat steevast mis wanneer deze er niet zijn of niet correct worden gevolgd
  4. Spreek een systeem af waarbij tenminste één ander persoon een code geeft om de transactie officieel goed te keuren
  5. Controleer het rekeningnummer aan de hand van eerdere transacties of openbare informatie van organisaties
  6. Maak eerst een euro over om te zien of de transactie goed terechtkomt

Over de auteur

Gerelateerd

Geen artikelen