Winkelmand

Geen producten in je winkelwagen.

Zo voorkom je CEO-fraude

Afgelopen week werd bekend dat Pathé CEO Dertje Meijer na amper een jaar het veld moest ruimen doordat ze in CEO-fraude getrapt was. Zo voorkom je dat jou hetzelfde lot beschoren is.

Afgelopen week werd bekend dat Pathé CEO Dertje Meijer na amper een jaar het veld moest ruimen doordat ze in CEO-fraude getrapt was. Zo voorkom je dat jou hetzelfde lot beschoren is.
Getty Images
Je leest nu: Zo voorkom je CEO-fraude

Bioscoopketen Pathé zei vorige week het vertrouwen op in CEO Dertje Meijer, nadat zij in een phishingmail was getrapt waarbij een fraudeur zich voordeed als een van de managers van het bedrijf en om geld vroeg. Fox-IT waarschuwde voor deze CEO-fraude, het is een van de meest voorkomende phishingmails waar mensen intrappen.

Wie het als onnozel afdoet, maakt grote kans om zelf bedrogen te worden. De tijd dat zogenaamde Nigeriaanse prinsen in slecht Nederlands mailtjes opstelde is allang voorbij, criminelen weten heel goed hoe ze dit soort digitale vallen op moeten zetten om mensen zo ver te krijgen geld over te maken.

MT sprak in 2016 over dit onderwerp met Jelle Niemantsverdriet en Coen Steenbeek, respectievelijk Director Cyber Risk Advisory en Senior manager Technology Enabled Solutions bij Deloitte. Niemantsverdriet: ‘Waar in het verleden wel vervalste brieven werden verstuurd, sturen criminelen nu emails. In tegenstelling tot phishing, waarbij een bulk aan emails verstuurd wordt, moet de crimineel hier meer voorbereiding in steken. Daar staat tegenover dat de beloning vaak hoger is zodra de fraude lukt.’

Vakantie

Een uitgelezen moment waarop de fraude voorkomt, is volgens de twee van Deloitte de vakantie: als de leidinggevende niet op kantoor is, kun je immers niet even langslopen om te vragen of die email wel klopt. Niemantsverdriet: ‘We zien het ook buiten de vakantie gebeuren. Mensen moeten onder hoge tijdsdruk werken, mensen zijn afwezig door werkreizen of vakanties. Degene die benaderd wordt, voelt zich gevleid dat de ceo hem of haar dit vraagt. Soms wordt er gevraagd om snel te handelen voordat de beurs sluit of opent. Ze spelen dus in op de gevoelens van mensen en richten hun aanval op financiële mensen een paar stappen onder de Raad van Bestuur, die niet direct de ceo onder de knop hebben.’

Steenbeek: ’Ze gaan erg slim te werk. We kennen een voorbeeld van een klant waarbij de crimineel namens een advocatenkantoor de financiële afdeling opbelde met de vraag of de notariële stukken zijn binnengekomen. Die persoon denkt natuurlijk aan de email en krijgt het gevoel dat het om een belangrijke transactie gaat met alle gevolgen van dien.’

Deloitte ziet evenals Fox-IT een groot probleem in deze fraude. Niemantsverdriet: ‘We zien bij onze klanten nog steeds veel phishing om door middel van valse emails toegang te krijgen tot systemen, data en daarmee geld. Ook krijgen organisaties een mailtje of telefoontje dat een bankrekeningnummer van leverancier X is veranderd. Het factuurbedrag wordt geboekt naar het nieuwe nummer en vaak gaan er wel twee tot drie facturen overheen voordat een leverancier erachter komt dat een factuur niet is betaald. Dit gebeurt sectorbreed.’

Organisatiebreed probleem

Maar wat kun je er concreet tegen doen? Wees je allereerst als hele organisatie bewust van dit soort fraude. Steenbeek: ‘Dus niet alleen de IT-afdeling, maar ook finance, HR, de receptie en natuurlijk de Raad van Bestuur. Ga op training of laat een specialist periodiek testen uitvoeren op je systemen en organisatie.’

Ten tweede is het belangrijk dat de top van het bedrijf actief stuurt op het bewustzijn. Steenbeek: ‘Het is een reëel risico, wees je ervan bewust. Het is aan de top om de organisatie ook de tijd en het platform te geven om incidenten te melden.’

Ook is het mogelijk om maatregelen te treffen in het mailsysteem. Niemantsverdriet: ‘Een vrij eenvoudige technische oplossing is om voor elke externe mail de letters EXT te laten zetten in je emailprogramma. Stel je een e-mail van je ‘ceo’ ontvangt, dan moet er een alarmbel gaan rinkelen als er EXT voor de email staat.’

Als laatste benadrukt Niemantsverdriet dat je niet altijd gehoorzaam hoeft te zijn naar je baas als je het niet vertrouwt. ‘Investeer als organisatie in een cultuur waarbij een ‘bevel’ van de baas gewantrouwd kan worden. Voer niet zomaar iets blindelings uit, uit angst voor je reputatie of baan. Durf op stop te drukken. Dat is eerder mogelijk in een lerende organisatie dan in een organisatie waarin de afrekencultuur hoogtij viert.’