Afgelopen vrijdag kwam naar buiten dat het bioscoopbedrijf Pathe ruim 19 miljoen euro is kwijtgeraakt aan CEO fraude (https://www.parool.nl/binnenland/ceo-fraude-kostte-pathe-19-miljoen-euro~a4607439). Dit komt nu aan het licht omdat de CFO zijn ontslag vanwege de affaire heeft aangevochten. Van veel zaken van CEO fraude wordt uit angst voor reputatieschade dan ook geen aangifte gedaan.

De term CEO fraude is in zekere zin niet helemaal correct want bij deze vorm van internetoplichting is het doelwit vaak de CFO. Hij/zij denkt te handelen in opdracht van de CEO en voert een frauduleuze transactie uit.

De fraude beperkt zich echter niet tot bedrijven met CEO’s en CFO’s. Ook binnen het MKB segment wordt deze fraude veelvuldig – met succes – toegepast.

Hoe werkt deze vorm van fraude?

De fraude is eigenlijk heel eenvoudig in opzet. Er wordt een mail gestuurd die afkomstig lijkt te zijn van de CEO. De mail is gericht aan degene die verantwoordelijk is voor de betalingen. Er is altijd urgentie en geheimhouding gewenst. Er moet snel geld betaald worden voor een bedrijfsovername of om een hoge boete te voorkomen.

De fraude werkt omdat de meeste mensen onderaan de streep gewoon uitvoeren wat ‘de baas’ ze opdraagt. Soms wordt deze fraude voorafgegaan door een inbraak in het emailsysteem maar dit hoeft absoluut niet zo te zijn. Mails worden ook vaak verstuurd vanuit een domeinnaam die heel erg lijkt op de domeinnaam van het bedrijf. Vooral als de domeinnaam van het bedrijf een “m” bevat moet je heel erg opletten, fraudeurs registreren jouw domeinnaam met ipv de letter “m” de letters “r” en “n”, dus “rn”. Dit is heel slecht van elkaar te onderscheiden!

Om een begin te maken om uzelf te wapenen tegen deze vorm van fraude kunt u zelf de namen van het eigen bedrijf die heel erg lijken op de correcte schrijfwijze alvast registreren!

Hoe kan ik mijn bedrijf beschermen?

De beste remedie om niet ten prooi te vallen voor dit soort scams is bewustwording bij medewerkers en protocollen. Maak een afspraak dat bij dergelijke verzoeken ALTIJD contact wordt gezocht met degene die het verzoek doet ter verificatie. Het verificatieverzoek moet vanzelfsprekend via een ander mechanisme dan email plaatsvinden! Het beste is om een afspraak te maken dat altijd telefonisch contact gemaakt dient te worden alvorens dergelijke overboekingen uit te voeren, zeker als je elkaars stem kent is dit een onfeilbaar mechanisme. Een 4-ogen principe is nog beter maar feitelijk is het hebben van de meest eenvoudige controleprocedure al oneindig veel beter dan het niet hebben van een procedure.

DTX heeft phishing testen en bewustwording procedures ontwikkeld. Daarnaast kunnen wij er technisch voor zorgen dat uw domeinnaam niet zomaar door anderen misbruikt kan worden om email te versturen.

Neem contact met ons op indien u hulp nodig heeft! Stuur ons een mail op samenwerken@dtx.nl of neem telefonisch contact op via: +31 (0)85 4011199.

Hulp nodig? Neem contact met ons op en wij helpen je graag.