CEO-fraude

Uit Wikipedia, de vrije encyclopedie
Naar navigatie springen Naar zoeken springen

CEO-fraude of whaling is een vorm van fraude of oplichting waarbij er geprobeerd wordt om mensen geld te laten overmaken naar de bankrekening van de oplichter door zich voor te doen als een CEO of andere hooggeplaatste functie van een bedrijf.

CEO-fraude is een vorm van factuurfraude.[1]

Methode[bewerken | brontekst bewerken]

De CEO-fraude werkt als volgt. Een zogenaamde directeur (CEO), financieel directeur (CFO) of ander directielid van een bedrijf stuurt aan een medewerker van het bedrijf per e-mail een betaalopdracht of een verzoek om het rekeningnummer te wijzigen. In de communicatie wordt de nadruk gelegd op de gezagsverhouding en vaak ook op de vertrouwelijkheid. Ook kan een crimineel een medewerker bellen en telefonisch zich voordoen als directeur en zo druk uitoefenen om de betaling uit te voeren.[1] De e-mail is echter niet verstuurd door een personeelslid van het bedrijf, maar door cybercriminelen die zich als zodanig voordoen. Na het ontvangst van het geld wordt dit snel weggesluisd.[2][3]

De manier waarop cybercriminelen te werk gaan kan verschillen:[2][4]

  • Door e-mailspoofing kunnen criminelen een e-mail sturen uit naam van iemand anders. De medewerker ziet een vertrouwd e-mailadres waardoor er geen argwaan wordt gewekt.
  • Criminelen achterhalen het e-mailadres van de directeur en brengen in de domeinnaam een kleine onopvallende wijziging aan waardoor het lijkt alsof de e-mail afkomstig is van de directeur. In de domeinnaam wijzigt men bijvoorbeeld een m in rn of een i in l.
  • Criminelen weten op een of andere manier toegang te krijgen tot het e-mailaccount (zakelijk of privé) van de directeur en sturen vanaf dit account een e-mail met het betaalverzoek.

De cybercriminelen hebben zich van te voren verdiept in de organisatie en weten wie zij moeten impersoneren en wie ze moeten benaderen. De medewerker die wordt benaderd, kent vaak de directeur niet, wordt geprezen voor diens werk en wordt onder druk gezet om de betaling uit te voeren. Vrijwel altijd is er zware tijdsdruk (er wordt bijvoorbeeld vlak voor sluitingstijd gebeld en er moet nu meteen geld overgemaakt worden) en moet het geld snel worden overgemaakt.[3] Ook worden vaak junior werknemers geselecteerd in de hoop dat zij met hun gebrek aan ervaring sneller in de scam zullen trappen. Om de druk te verhogen worden er allerlei consequenties afgeschilderd wanneer de betaling niet direct plaatsvindt; het bedrijf loopt een grote order mis, een wederpartij zal het bedrijf aansprakelijk stellen, een belangrijke transactie gaat niet door, het zal gevolgen hebben voor de positie van de werknemer.

Voorkomen[bewerken | brontekst bewerken]

CEO-fraude kan voorkomen worden door de verschillende aspecten van de betalingsopdracht te controleren. Is het e-mailadres van de afzender juist? Klopt het rekeningnummer van de ontvanger met het rekeningnummer in de eigen administratie?[1]

Daarnaast worden betaalopdrachten normaliter via vaste procedures behandeld, maar wijkt deze bij CEO-fraude doorgaans af van wat gangbaar is.[1] Het volgen van deze procedure biedt al bescherming tegen CEO-fraude, vooral omdat altijd tenminste twee werknemers goedkeuring moeten geven (vier-ogen principe).

Daarbij werkt ook training preventief tegen CEO- en andere vormen van fraude, omdat werknemers deze leren herkennen en leren hoe ze met dit soort druk om moeten gaan.

Schade[bewerken | brontekst bewerken]

De schade als gevolg van CEO-fraude kan in de miljoenen lopen. In heel 2016 werd in Nederland met CEO-fraude 650.000 euro buitgemaakt, terwijl dat alleen al in heel januari t/m augustus 2018 al 2,5 miljoen euro.[5] Via deze vorm van fraude werd in 2018 de bioscoopketen Pathé opgelicht voor een bedrag van 19 miljoen euro.[6]

Zie ook[bewerken | brontekst bewerken]